2. 程式人生 > >linux 檢視並對外開放埠(防火牆攔截處理)

linux 檢視並對外開放埠(防火牆攔截處理)

阿新 發佈:2018-12-15

檢視埠是否可訪問:telnet ip 埠號 (如本機的35465:telnet localhost 35465)

開放的埠位於/etc/sysconfig/iptables中

檢視時通過 more /etc/sysconfig/iptables 命令檢視

如果想開放埠(如:8889)

(1)通過vi /etc/sysconfig/iptables 進入編輯增添一條-A INPUT -p tcp -m tcp --dport 8889 -j ACCEPT 即可

(2)執行 /etc/init.d/iptables restart 命令將iptables服務重啟

#(3)儲存 /etc/rc.d/init.d/iptables save

注:如若不想修改iptables表,可以直接輸入下面命令:

iptables -I INPUT -p tcp --dport 8889 -j ACCEPT

若/etc/sysconfig/iptables不存在,

原因:在新安裝的linux系統中,防火牆預設是被禁掉的,一般也沒有配置過任何防火牆的策略,所有不存在/etc/sysconfig/iptables檔案。

解決:

  1. 在控制檯使用iptables命令隨便寫一條防火牆規則,如:iptables -P OUTPUT ACCEPT
  2. 使用service iptables save進行儲存,預設就儲存到了/etc/sysconfig目錄下的iptables檔案中

一、概要
1、防火牆分類
      ①包過濾防火牆(pack filtering)在網路層對資料包進行選擇過濾,採用訪問控制列表(Access control table-ACL)檢查資料流的源地址,目的地址,源和目的埠,IP等資訊。
      ②代理伺服器型防火牆
2、iptables基礎
      ①規則(rules):網路管理員預定義的條件
      ②鏈(chains): 是資料包傳播的路徑
      ③表(tables):內建3個表filter表,nat表,mangle表分別用於實現包過濾網路地址轉換和包重構的功能
      ④filter表是系統預設的,INPUT表(進入的包),FORWORD(轉發的包),OUTPUT(處理本地生成的包),filter表只能對包進行授受和丟棄的操作。
      ⑤nat表(網路地址轉換),PREROUTING(修改即將到來的資料包),OUTPUT(修改在路由之前本地生成的資料包),POSTROUTING(修改即將出去的資料包)
      ⑥mangle表,PREROUTING,OUTPUT,FORWORD,POSTROUTING,INPUT
3、其它
   iptables是按照順序讀取規則
   防火牆規則的配置建議
    Ⅰ 規則力求簡單
    Ⅱ 規則的順序很重要
    Ⅲ 儘量優化規則
    Ⅳ 做好筆記
二、配置
1、iptables命令格式
     iptables [-t 表] -命令 匹配 操作 (大小寫敏感)
   動作選項
     ACCEPT          接收資料包
     DROP             丟棄資料包
     REDIRECT      將資料包重新轉向到本機或另一臺主機的某一個埠,通常功能實現透明代理或對外開放內網的某些服務
     SNAT             源地址轉換
     DNAT             目的地址轉換
     MASQUERADE       IP偽裝
     LOG               日誌功能
2、定義規則
   ①先拒絕所有的資料包,然後再允許需要的資料包
      iptalbes -P INPUT DROP
      iptables -P FORWARD DROP
      iptables -P OUTPUT ACCEPT
   ②檢視nat表所有鏈的規則列表
      iptables -t nat -L
   ③增加,插入,刪除和替換規則
     iptables [-t 表名] <-A|I|D|R> 鏈名 [規則編號] [-i|o 網絡卡名稱] [-p 協議型別] [-s 源ip|源子網] [--sport 源埠號] [-d 目的IP|目標子網] [--dport 目標埠號] [-j 動作]
    引數:-A 增加
               -I 插入
               -D 刪除
               -R 替換

三、例子
①iptables -t filter -A INPUT -s 192.168.1.5 -i eth0 -j DROP
禁止IP為192.168.1.5的主機從eth0訪問本機②iptables -t filter -I INPUT 2 -s 192.168.5.0/24 -p tcp --dport 80 -j DROP
禁止子網192.168.5.0訪問web服務③iptables -t filter -I INPUT 2 -s 192.168.7.9 -p tcp --dport ftp -j DROP
禁止IP為192.168.7.9訪問FTP服務
④iptables -t filter -L INPUT
檢視filter表中INPUT鏈的規則
⑤iptables -t nat -F
刪除nat表中的所有規則
⑥iptables -I FORWARD -d wwww.playboy.com -j DROP
禁止訪問

www.playboy.com網站
⑦iptables -I FORWARD -s 192.168.5.23 -j DROP
禁止192.168.5.23上網

相關推薦

linux 檢視對外開放防火牆攔截處理

檢視埠是否可訪問:telnet ip 埠號 (如本機的35465:telnet localhost 35465) 開放的埠位於/etc/sysconfig/iptables中 檢視時通過 more /etc/sysconfig/iptables 命令檢視 如果想開放

linux檢視某串列或串列終端的波特率等屬性

要檢視某個串列埠的波特率等資訊,可在控制檯輸入 stty -F /dev/ttyS0 -a #ttyS0為要檢視的串列埠 也可以用stty設定串列埠引數 stty -F /dev/ttyS0 isp

linux檢視日誌過濾寫法TODO 待彙總

tail -fn 200 logs/catalina.out | grep -E "手動|賬單資料|供應商|話單|同步" --color     tail -fn&n

Linux 檢視檔案修改時間精確到秒

Linux 下檢視檔案時,ls –l 預設是不顯示秒的: $ ls -l total 0 -rw-r--r-- 1 gps gps 0 2012-06-12 16:21 README.txt -rw-r--r-- 1 gps gps 0 2012-06-12 16:21 test.txt 要顯示秒(實

linux 檢視和修改檔案許可權

1. 使用 ls -l 或者 ll 檢視檔案許可權  第一位表示檔案型別:d 表示資料夾 - 表示普通檔案 r (read)表示可讀 w (write)表示可寫 x 表示執行許可權:通常指可以執行的程式檔案或者指令碼檔案     rwx 三個

Linux下Centos7對外開放

概要 最近在docker下搭建MySQL和Redis環境,遠端linux主機內部網路都走通了,但是就是外網 無法連線遠端伺服器的MySQL和Redis。經過一番查詢和學習,終於找到了問題,不僅遠端服 務器上docker要做好內部和外部埠的對映,關鍵還要對對外開放的埠新增到防火牆中。 內容介紹的邏輯是

Linux - 檢視修改當前的系統時間

轉載自Linux系統檢視當前時間的命令 檢視和修改Linux的時區 檢視當前時區 命令 : date -R 修改設定Linux伺服器時區 方法 A 命令 : tzselect 方法 B 僅限於RedHat Linux 和 CentOS 命令 : timeconfig 方法 C 適用於Debi

linux檢視程序和

linux檢視是否有某個執行的程序命令 linux檢視是否有某個執行的程序命令:例如,查詢是否包含 “my_post” 關鍵字的程序 ps aux | grep my_post ps aux | grep my_post | grep -v grep

檢視系統中磁碟加磁碟陣列空間的使用情況(AIX、Linux和Windows系統)

在一次統計工作中,遇到要統計本地磁碟和外接儲存(磁碟陣列)使用情況的問題,對於不同系統,檢視方法不盡相同。本文介紹的是在系統中檢視的方法,當然如果有許可權和賬號,也可以登入到儲存自帶的管理介面中去統計外接儲存的分配情況。 1.AIX: [email protected]_/# l

Linux串列serial、uart驅動程式設計

一、核心資料結構串列埠驅動有3個核心資料結構,它們都定義在<#include linux/serial_core.h>1、uart_driveruart_driver包含了串列埠裝置名、串列埠驅動名、主次裝置號、串列埠控制檯(可選)等資訊,還封裝了tty_dri

Linux程式中執行shell程式、指令碼獲得輸出結果

1. 前言 2. 使用臨時檔案 3. 使用匿名管道 4. 使用popen 5. 小結

oracle中Job定期執行儲存過程重新整理物化檢視記錄異常我的物化檢視不能自己刷

(一)問題: 最近一個專案,我們的系統中需要處理老資料,但是有一些客觀限制:(都是Oracle11.2.0.2) (1)這些老資料儲存在人家的資料庫中 (2)這些老資料還會持續更新 (3)不能動人家的資料庫 (4)我們需要針對人家的資料庫中的兩張表做左連結 最終我們決定用D

linux下mysql對外開放3306及常用命令

mysql對外開放 /etc/mysql/mysql.conf.d/mysqld.cnf 註釋掉 #bind-address        = 127.0.0.1 重啟服務: service mysql restart 授權 mys

Linux 檢視日誌檔案命令整合

當日志儲存檔案很大時,我們就不能用 vi 直接去檢視日誌了,就需要Linux的一些內建命令去檢視日誌檔案. 系統Log日誌位置: /var/log/message 系統啟動後的資訊和錯誤日誌,是Red Hat Linux中最常用的日誌之一 /var/log/secu

linux 檢視使用者所在組groups指令的使用 含例項

經常將某個資料夾的許可權賦給某個使用者的時候,也需要配置該使用者所在的組,因此,我們需要檢視該使用者有哪些組,我們可以使用如上命令檢視使用者所在組[[email protected] ~]$ vi /etc/grouproot:x:0:rootbin:x:1:ro

linux開啟或關閉親測有效

自從我入職現在這家公司後,公司一直用的都是window server 2008 R2作為伺服器,導致我好久都沒有用過linux啦!今天比較空閒,就自己安裝了一個linux虛擬機器搗鼓搗鼓。 安裝好JDK和Tomcat,然後啟動Tomcat,發現訪問8080埠沒有響應,噢!

檢視記憶體】Linux檢視記憶體使用情況

用 'top -i' 看看有多少程序處於 Running 狀態,可能系統存在記憶體或 I/O 瓶頸,用 free 看看系統記憶體使用情況,swap 是否被佔用很多,用 iostat 看看 I/O 負載情況... 還有一種辦法是 ps -ef | sort -k7 ,將程序按執行時間排序,看哪個程序消耗的cp

linux :關閉tomcat命令方式

 複雜方式pstree -aup|grep tomcat # 列舉執行中的tomcat kill -9 PID # 殺死指定埠的tomcat簡單方式linux 使用命令關閉tomcat 的8080埠命

檢視關閉solaris 10防火牆

# svcs -a |grep network |egrep "pfil|ipf" enable        4:36:25 svc:/network/pfil:default online         23:41:33 svc:/network/ipfilter:default #svcadm

linux 程序、執行緒or子程序、資源佔用檢視以及顯示資料的意義

檢視程序: ps -ef | more  (-e:所有程序,-f:全格式) ++++++++++++++++++++++++++++++++++++ + UID :使用者ID                     + + PID :程序ID