Iptalbes练习题(三)

最新推荐文章于 2022-01-04 15:02:05 发布
最新推荐文章于 2022-01-04 15:02:05 发布
阅读量64 收藏
点赞数
原文链接:http://www.cnblogs.com/XYJK1002/p/5271812.html
版权

场景需求:

(1)员工在公司内部(192.168.124.0/24 ,192.168.122.0/24 )能访问服务器上任何服务

(2)当员工出差,通过VPN连接到公司

(3)公司门户网站允许公网访问

解:

(2)外网======》VPN服务器======》公司的服务

常见允许访问外网的服务:

网站www:  http  80/tcp

       https  443/tcp

邮件mail:  smtp  25/tcp

       smtps  465/tcp

      pop3  110/tcp

      pop3s  995/tcp

      imap  143/tcp

一些常见不允许外网访问的服务:

文件服务器:  NFS  123/UDP

        SAMBA  137,138,139/tcp,445/tcp

        FTP    20/tcp,21/tcp

远程管理:   SSH   22/tcp

数据库:    MYSQL      3306/tcp

        ORACLE  1521/tcp

配置规则基本思路:

ACCEPT规则:1)允许本地访问。2)允许已监听状态数据包通过。3)允许规则中允许的数据包通过。(千万别忘记22端口)

DENY规则:拒绝未被允许的数据包。

iptables规则保存成配置文件

开始。。。。。。。。。

满足条件1:

[root@test1 ~]# iptables -I INPUT -i lo -j ACCEPT
[root@test1 ~]# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@test1 ~]# iptables -A INPUT -s 192.168.124.0/24 -j ACCEPT
[root@test1 ~]# iptables -A INPUT -s 192.168.122.0/24 -j ACCEPT
[root@test1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  192.168.124.0/24     0.0.0.0/0           
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

满足条件2,3:

[root@test1 ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@test1 ~]# iptables -A INPUT -p tcp --dport 1723 -j ACCEPT(VPN常用端口)
[root@test1 ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@test1 ~]# iptables -A INPUT -j REJECT
[root@test1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  192.168.124.0/24     0.0.0.0/0           
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

保存到配置文件,设置开机自启动后,自动加载:

[root@test1 ~]# /etc/init.d/iptables save
iptables:将防火墙规则保存到 /etc/sysconfig/iptables:     [确定]
[root@test1 ~]# cat /etc/sysconfig/ip
ip6tables         ip6tables.old     iptables-config   iptables.save     
ip6tables-config  iptables          iptables.old      
[root@test1 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Sun Mar 13 00:27:10 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [69:8172]
-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -s 192.168.124.0/24 -j ACCEPT 
-A INPUT -s 192.168.122.0/24 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-port-unreachable 
COMMIT
# Completed on Sun Mar 13 00:27:10 2016

或者将文件保存未shell文件,将shell文件写到rc.local文件中:例如

 sh /root/shell/myiptables.sh

写到rc.local中。。。

转载于:https://www.cnblogs.com/XYJK1002/p/5271812.html

dengpo5552
关注
运维面试题
wx25051的博客
04-10 8895
NETWORK 1 请描述 TCP/IP 协议中主机与主机之间通信的要素 参考答案 IP 地址(IP address) 子网掩码(subnet mask) IP 路由(IP router) 2 请描述 IP 地址的分类及每一类的范围 参考答案 A 类 1-26 B 类 128-191 C 类 192-223 D 类 224-239 组播(多播) E 类 240-254 科研 3 请描述 A、B、...
iptables 实现防御CC攻击
bugall的专栏
05-21 3200
一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代
Iptalbes练习题(二)
03-13 80
接着上节,上节课,基本功能设置后,现在我们telnet本机一下,发现问题: [root@test1 ~]# telnet 127.0.0.1 22 Trying 127.0.0.1... telnet: connect to address 127.0.0.1: Connection timed out [root@test1 ~]# curl www.baidu.com ...
Iptalbes练习题(一)
03-12 77
实验环境: KVM 虚拟机 centos6.7 test1:192.168.124.87 test2:192.168.124.94 场景一: 要求:1.对所有地址开放本机的tcp(80、22、10-21)端口的访问。 2.对所有主机开放本机的基于ICMP协议的数据包访问    3.其他未被访问 的端口禁止访问 答:2表达的意思是禁止ping 步骤...
OSTA-LINUX3-选择题练习题整理
dichi9321的博客
11-24 1924
Linux操作系统内核创始人是: A. BillGates B. Richard Stallman √C. Linus Torvalds D. Dennis M· Ritchie、Ken Thompson 什么是交换空...
iptables详解
u013485792的专栏
05-05 289
一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。
linux系统日常管理
weixin_33910759的博客
10-14 58
笔者在前面介绍的内容都为linux系统基础类的,如果你现在把前面的内容全部很好的掌握了,那最好了。不过笔者要说的是,即使你完全掌握了,你现在还是不能作为一名合格的linux系统管理员的,毕竟系统管理员要会做的事情太多了。本章以及后面章节笔者会陆续教给你作为linux系统管理员所必备的知识。只要你熟练掌握那绝对可以胜任一个最初级的管理员职位,不过只是初级的,因为你还需要在日常的管理工作中获得成长。 ...
实施运维企业面试题-5
热门推荐
dan_dan的博客
01-04 21万+
NETWORK 1 请描述 TCP/IP 协议中主机与主机之间通信的要素 参考答案 IP 地址(IP address) 子网掩码(subnet mask) IP 路由(IP router) 2 请描述 IP 地址的分类及每一类的范围 参考答案 A 类 1-26 B 类 128-191 C 类 192-223 D 类 224-239 组播(多播) E 类 240-254 科研 3 请描述 A、B、C 类 IP 地址的默认子网掩码 参考答案 A 类 255.0.0.0 B 类 255.255.0.0 C 类
iptables之类NAT篇
Linux&ubuntu资源分享
12-20 1942
 当您好不容易把 Linux 机器连上 Internet 之後,别以为就只有它一台机器能上网哦。下面教您的法子是如何用一台 Linux 机器让本地网路中所有的机器都能同时上网! 设定 Proxy 我们在“网路基础”中的“防火墙”那边已经知道,能做到以上要求的方法很多,之一是使用 proxy 。至於它的好处,前文已经说了许多,这里就不再重复了。假如您只想让其他机器到 Internet 上流览一下
IBM-海尔人力资源转型会议(报告全文).pdf
05-08
IBM-海尔人力资源转型会议(报告全文).pdf
《刘禹锡《秋词》》PPT课件教案模板.pptx
05-08
《刘禹锡《秋词》》PPT课件教案模板.pptx
sentinel-spring-webmvc-adapter-1.8.0.jar中文文档.zip
05-08
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第方jar包,组件,开源组件,第方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
毕业论文-场地预定V2.17.0+收银V1.10.0+会员V1.80.0+小程序-整站商业源码.zip
05-08
毕业论文-场地预定V2.17.0+收银V1.10.0+会员V1.80.0+小程序-整站商业源码.zip
模块化多电平换流器(MMC)基于Matlab-Simulink的最近电平逼近调制与双闭环控制策略仿真研究
05-08
内容概要:本文详细介绍了模块化多电平换流器(MMC)在Matlab-Simulink平台上的仿真研究。重点讨论了采用N=22的MMC结构,通过最近电平逼近调制(NLM)技术和功率外环、电流内环的双闭环控制策略进行仿真分析。具体来说,电流内环采用了PI+前馈解耦控制方法,并引入电容电压排序优化子模块的选择。仿真结果显示,该系统能够获得对称的相电压和电流波形,电容电压波形良好,系统在功率提升后依然保持稳定运行。 适合人群:从事电力系统、电力电子技术研究的专业人士,尤其是关注高压直流输电(HVDC)领域的研究人员和技术人员。 使用场景及目标:适用于需要深入了解MMC仿真建模、控制策略优化及其实现效果的研究项目。目标是验证MMC结构和控制策略的有效性,为实际电力系统应用提供理论支持和技术依据。 其他说明:本文不仅展示了具体的仿真步骤和参数设置,还深入分析了各部分的工作原理和优化措施,有助于读者全面掌握MMC技术的应用和发展方向。
jakarta.servlet-api-4.0.4.jar中文文档.zip
05-08
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第方jar包,组件,开源组件,第方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
springfox-spring-webflux-3.0.0.jar中文文档.zip
最新发布
05-08
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第方jar包,组件,开源组件,第方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
【电子设计竞赛】端口DC-DC变换器设计与制作:光伏电池供电及电池组充放电模式自动切换系统
05-08
内容概要:本文档是2021年全国大学生电子设计竞赛试题之一,主题为端口DC-DC变换器。竞赛规定了严格的参赛规则,包括时间安排、队伍人数、身份验证以及比赛期间的行为准则。题目要求设计并制作一个端口DC-DC变换器,该变换器具有两种工作模式:模式I用于模拟光伏电池向负载供电并为电池组充电,模式II用于模拟光伏电池和电池组同时为负载供电。基本要求包括在不同输入电压和负载条件下确保输出电压稳定在30V,并达到特定的电压调整率、负载调整率和效率。发挥部分则增加了自动模式切换、最大功率点跟踪等功能的要求。评分标准涵盖了设计方案、电路与程序设计、理论分析、测试方案及结果等多个方面,总分为120分。; 适合人群:参加全国大学生电子设计竞赛的本科组学生,尤其是对电力电子、DC-DC变换器设计感兴趣的电子工程专业学生。; 使用场景及目标:①帮助参赛学生理解端口DC-DC变换器的工作原理及其设计要点;②指导学生完成从方案论证到最终测试的全过程;③确保学生能够在规定时间内高效完成设计并满足各项性能指标。; 其他说明:参赛队伍需严格遵守竞赛规则,确保设计方案的安全性和可靠性。此外,评分标准详细列出了各部分的具体要求和分值,有助于学生有针对性地准备和优化设计方案。
313398228_按序号_新文科建设下经济类专业人才需求市场调研问卷_2487_2487.xlsx
05-08
313398228_按序号_新文科建设下经济类专业人才需求市场调研问卷_2487_2487.xlsx
Hyperstudy中文教程 2.pdf
05-08
Hyperstudy中文教程 2.pdf
多举例几个iptalbes规则
06-09
当然,这是没有问题的。以下是几个iptables规则的示例: 1. 允许SSH流量通过防火墙: ``` iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. 阻止来自特定IP地址的所有流量: ...iptables -A INPUT -s 192.168....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值