臨時(shí)iptables、selinux

發(fā)展壯大離不開(kāi)廣大客戶長(zhǎng)期以來(lái)的信賴與支持，我們將始終秉承“誠(chéng)信為本、服務(wù)至上”的服務(wù)理念，堅(jiān)持“二合一”的優(yōu)良服務(wù)模式，真誠(chéng)服務(wù)每家企業(yè)，認(rèn)真做好每個(gè)細(xì)節(jié)，不斷完善自我，成就企業(yè)，實(shí)現(xiàn)共贏。行業(yè)涉及成都宣傳片制作等，在成都網(wǎng)站建設(shè)、成都營(yíng)銷網(wǎng)站建設(shè)、WAP手機(jī)網(wǎng)站、VI設(shè)計(jì)、軟件開(kāi)發(fā)等項(xiàng)目上具有豐富的設(shè)計(jì)經(jīng)驗(yàn)。

service iptables stop

setenforce 0

永久關(guān)閉iptables、selinux

chkconfig iptables off

sed -i 'SELINUX=/enforcing/disabled' /etc/selinux/config

iptables

不存在/etc/sysconfig/iptables文件

#iptables -P OUTPUT ACCEPT

#service iptables save

# iptables -F 清除預(yù)設(shè)表filter中的所有規(guī)則鏈的規(guī)則

# iptables -X 清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則

nmap可以掃描一個(gè)服務(wù)器的端口

yum install -y nmap

命令格式#nmap ip

netfilter/iptables,類似于ipvs和LVS的關(guān)系

iptables的規(guī)則鏈分為三種：輸入，轉(zhuǎn)發(fā)，輸出

配置規(guī)則/etc/sysconfig/iptables

:fliter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

這三個(gè)冒號(hào)優(yōu)先級(jí)最低。ACCEPT默認(rèn)全部通過(guò)，防火墻形同虛設(shè)，三種模式：

1、全部ACCEPT

2、全部DROP，只有新加的指定的可以ACCEPT

3、INPUT設(shè)為DROP，只有指定的可以進(jìn)來(lái)，OUTPUT設(shè)為ACCEPT，默認(rèn)都可以出去

-A INPUT -m state --state ESTABLISHED.RELATED -j ACCEPT

命令為iptables -A INPUT -p tcp --dport 80 -j ACCEPT

禁止一個(gè)IP訪問(wèn),加入-A INPUT -S 192.168.1.1 -j DROP

#-A INPUT -j REJECT（丟棄） --reject-with icmp-host-prohibited（icmp禁止返回信息）

意為除了上面的INPUT鏈生效其他的和下面的鏈都會(huì)禁止，優(yōu)先級(jí)比上面的三個(gè)冒號(hào)優(yōu)先級(jí)高

#-A OUTPUT -j REJECT（丟棄） --reject-with icmp-host-prohibited（icmp禁止返回信息）

#iptables --list 看哪些服務(wù)能過(guò)防火墻

本機(jī)端口轉(zhuǎn)發(fā)用nat表，中的prerouting鏈

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

iptables -t nat -A PREROUTING -d 192.168.2.102 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.103:8080

iptables -t nat -A OUTPUT -d 192.168.2.1 -p tcp --dport 80 -j REDIRECT --to-port 8080

（-t是選表，prerouting是nat表里的一個(gè)鏈）

允許yum

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 10000:65535 -j ACCEPT
/etc/rc.d/init.d/iptables save
service iptables restart

允許ping

-A INPUT -p icmp -j ACCEPT

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞標(biāo)題：Linux服務(wù)器安全篇-創(chuàng)新互聯(lián)
本文路徑：http://weahome.cn/article/eehij.html