CentOS iptables与系统安全
一、禁ping
1.暂时性:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
永久性:
2.vi /etc/sysctl.conf
增加:
net.ipv4.icmp_echo_ignore_all = 1
保存后执行sysctl -p
3. iptables –A –INPUT –p icmp –s 192.168.1.10 –j DROP
Iptables –A –INPUT –p icmp –j DROP
service iptables save
二、禁止访问网页
1. Iptables –A INPUT –p tcp –s 192.168.1.10 –d 192.168.2.20 –dport 80 –j DROP访问web服务目的是192.168.1.20 访问192.168.2.20 的丢弃
2. Iptables –A INPUT –p tcp –d 192.168.1.20 –dport 80 –j DROP 访问web服务目只要是目的是192.168.1.20全丢
3. Iptables –A INPUT –p tcp –s 192.168.1.34 –dport 80 –j DROP 访问web服务目只要是源ip为192.168.1.34全丢
三、禁止DNS解析
Iptables –A INPUT –p udp --sport 53 –j ACCEPT 禁止所有DNS访问请求
四、清除、查看、保存iptables规则
Iptabls –F 清除filter
Iptables –N 清除nat
Iptables –L 查看
Service iptables save 保存
五、拒绝所有访问
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptabes –P FORWARD DROP
可以访问web iptables-A INPUT -p tcp --dport 80 -j ACCEPT
Iptables –A OUTP -P tcp --sport 80 -J ACCEPT
可以访问dns iptables -A INPUT -p udp --dport 53 -j ACCEPT
Iptables -A OUTP -P udp --sport 53 -J ACCEPT
限制流量
Iptables -A INPUT -p icmp -m --limit 2/s --limit --limit burst 4 -j ACCEPT
NAT地址转换
Eth1外网网卡
做NAT前关闭所有转发iptables –P FORWARD DROP
多地址转换
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 192.168.2.20
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth0 -j DNAT –to 192.168.2.20
网关 转换
iptables -A PREROUTING -i eth1 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A POSTROUTING -o eth1 -s 192.168.1.100 -j SNAT --to 202.110.123.100
Iptables -t nat -A PREROUTING –P TCP –d 184.164.72.181 -dport 80 –J DNAT –to 192.168.1.10 网站服务映射
Iptables –t nat –A PREROUTING –p tcp –dport 80 –j DNAT –to 218.2.135.1 所有内网访问80全部重定向到 218.2.135.1
Iptables –t nat –A PREROUTING –P udp –I eth0 –dport 53 –j DNAT –TO 8.8.8.8 所有内网DNS解析都使用8.8.8.8
发表吐槽
你肿么看?
既然没有吐槽,那就赶紧抢沙发吧!