linux缩印版(7)

来源：用户分享时间：2021-06-02 本文由

说明：文章内容仅供预览，部分内容可能不全，需要完整文档或者需要复制内容，请下载word后使用。下载word有问题请添加微信号:xxxxxx或QQ：xxxxxx 处理（尽可能给您提供完整文档），感谢您的支持与谅解。

linux系统基本的安全防范策略

1）保护物理环境安全2）确保用户口令的安全性3）检查文件系统的安全性4）设置好内部用户的权限5）加强对系统运行的监控和记录6）数据备份

三种安全方法等级：高级、中级、无防火墙级。 3. iptables的表和链

iptables处理不同种类的数据包时使用不同的规则表。当一个数据包到达一条链时，系统就会从第一条规则开始检查，看是否符合规则；若符合，系统根据该规则定义方法处理数据包；若不符合，继续下一条规则。如果数据包都不满足链中所有规则，系统按链定义阻止或丢弃数据包。 filter表1）INPUT链2）OUTPUT链3）FORWARD链

nat表1）PREROUTING链2）OUTPUT链3）POSTROUTING链

mangle表1）PREROUTING链2）INPUT链3）POSTROUTING链4）FORWARD链5）OUTPUT链

4. iptables的调用格式

iptables [ -t table] option [chain] [rule-matcher] [ -j target] table为表名，默认为filter。option包括添加、删除、更新等。chain为链名。rule-matcher为匹配规则。target为目标动作。 5. 掌握ppt上给出示例的iptables的设置规则。

1. 在/etc/rc.d/目录下用touch命令建立firewall脚本文件 # touch /etc/rc.d/firewall 2. 执行chmod命令以更改文件属性 # chmodu+x /etc/rc.d/firewall 3. 编辑/etc/rc.d/rc.local文件，在末尾加上/etc/rc.d/firewall以确保开机时能自动执行该脚本

# echo “etc/rc.d/firewall” >> /etc/rc.d/rc.local 4. 刷新所有的链规则

可以给出屏幕显示信息，命令如下： echo “Starting iptables rules ” 刷新链规则，命令如下： iptables –F

5. 首先设置防火墙禁止转发所有的包，所以要设置FORWARD链的策略为DROP，命令如下：

iptables –P FORWARD DROP 6. 设置关于服务器的包过滤规则

服务器/客户机交互是双向的，所以我们除了要设置数据包出去的规则，还要设置数据包返回的规则，这里先建立针对来自Internet数据包的过

滤规则。

（1）WWW服务：服务端口为80，采用tcp或udp协议。规则为：eth0=>允许目的为内部网WWW服务器的包。操作如下：iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j ACCEPT

（2）FTP服务：FTP服务有点特别，因为需要两个端口。其中命令端口为21，数据端口为20，并且有主动和消极两种服务模式，其消极模式连接过程为：FTP客户端首先向FTP服务器发起连接请求，三步握手后建立命令通道，然后由FTP服务器请求建立数据通道，成功后开始传输数据，现在大多数FTP客户端均支持消极模式，因为这种模式可以提高安全性。FTP服务采用tcp协议。规则为：eth0=>仅允许目的为内部网ftp服务器的包。操作：iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j ACCEPT

（3）EMAIL服务：包含两个协议，一是smtp，一是pop3。出于安全性考虑，通常只提供对内的pop3服务，所以在这里我们只考虑针对smtp的安全性问题。smtp端口为21，采用tcp协议。eth0=>仅允许目的为email服务器的smtp请求。操作：iptables -A FORWARD -p tcp -d 198.168.80.13 --dportsmtp -i eth0 -j ACCEPT

7. 设置针对Intranet客户的过滤规则

在本例中我们的防火墙位于网关的位置，所以我们主要是防止来自Internet的攻击，不能防止来自Intranet的攻击。假如我们的服务器都是基于linux的，也可以在每一部服务器上设置相关的过滤规则来防止来自Intranet的攻击。对于Internet对Intranet客户的返回包，定义如下规则：

iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i eth0 -j ACCEPT

iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT

iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT 8. 接受来自整个Intranet的数据包过滤，定义如下规则

iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT 9. 处理ip碎片，定义如下规则

iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

10. 设置icmp包过滤，定义如下规则

iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

将以上规则定义加入firewall脚本，最后执行脚本，使之生效。 rmp的使用

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新外语学习linux缩印版(7)全文阅读和word下载服务。

linux缩印版(7).doc 将本文的Word文档下载到电脑，方便复制、编辑、收藏和打印

下载这篇word文档

本文链接：https://www.diyifanwen.net/wenku/1206546.html（转载请注明文章来源）

上一篇：2014上海银行招聘考试每日一练(7.20)
下一篇：论泰罗科学管理理论的基本特点和借鉴意义