linux系统防火墙拦截网络,用Linux系统防火墙功能抵御网络攻击
如果要阻止的是218.202.8的整个网段,加入:本文引用地址:http://www.eepw.com.cn/article/201609/304236.htm
-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
* 直接用命令行
加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢,而且在ipchains重起的瞬间,可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。
假定要阻止的是218.202.8.151到80的连接,命令:
ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT
如果要阻止的是218.202.8的整个网段,命令:
ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
其中,-I的意思是插入,input是规则连,1是指加入到第一个。
您可以编辑一个shell脚本,更方便地做这件事,命令:
vi blockit
内容:
#!/bin/sh
if [ ! -z $1 ] ; then
echo Blocking: $1
ipchains -I input 1 -p tcp -s $1 -d 0/0 http -y -j REJECT
else
echo which ip to block?
fi
保存,然后:
chmod 700 blockit
使用方法:
./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0
上述命令行方法所建立的规则,在重起之后会失效,您可以用ipchains-save命令打印规则:
ipchains-save
输出:
:input ACCEPT
:forward ACCEPT
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y
您需要把其中的Saving `input'.去掉,然后把其他内容保存到/etc/sysconfig/ipchains文件,这样,下次重起之后,建立的规则能够重新生效。
3. 如果使用iptables
RH 8.0以上开始启用iptables替代ipchains,两者非常类似,也有差别的地方。
* 启用iptables
如果/etc/sysconfig/下没有iptables文件,可以创建:
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
linux系统防火墙拦截网络,用Linux系统防火墙功能抵御网络攻击相关推荐
- linux 查看防火墙对应的进程,Linux系统防火墙进程查看的实用方法
Linux系统防火墙进程查看的实用方法 作者 HonestQiao 2008年03月17日 16:00 启动防火墙 1) 重启后生效 开启: chkconfig iptables on 关闭: chk ...
- linux系统防火墙关闭22端口,Linux系统防火墙关闭及端口开放
一.关闭虚拟机中的防火墙服务. 桌面--管理--安全级别与防火墙,将防火墙设置为:disable即可.或用root登录后,执行 service iptables stop --停止 service i ...
- linux 关闭防火墙scp功能,在 Linux 下使用 scp 命令
将文件或文件夹从网络上的一个主机拷贝到另一个主机当中去. here:在 Linux 下使用 scp 命令 摘要: scp 是安全拷贝协议(Secure Copy Protocol)的缩写, scp 是 ...
- linux怎么命令设置网络连接,Linux网络操作命令
文章目录 [隐藏] netstat nslookup host命令 finger Ping 命令 Linux 系统常用的网络操作命令包括netstat.nslookup. host finger 和p ...
- 基于pxe技术实现linux自动安装原理,网络安装Linux的技术原理分析及实现
网络安装Linux的技术原理分析及实现 李怀刚;邱建新 [期刊名称]<计算机应用与软件> [年(卷),期]2006(023)009 [摘要]对自动化Linux网络安装所使用的相关技术原理进 ...
- linux显示 防火墙配置文件,怎么查看Linux防火墙配置方法
当Linux系统的防火墙的状态和信息时候,我们可以用哪些命令查看呢.下面由学习啦小编为大家整理了查看Linux系统防火墙的命令详解,希望对大家有帮助! 查看Linux系统防火墙的命令详解 查看Linu ...
- win7系统如何映射服务器,win7系统如何映射网络驱动器 win7系统映射网络驱动器方法...
很多用户在平时的工作当中,经常都需要访问局域网文件夹,不过每次都需要在网络中去连接打开很麻烦,所以我们可能需要设置一下映射网络驱动器,那么win7系统如何映射网络驱动器呢?今天为大家分享win7系统映 ...
- 网吧无盘系统服务器安装,网吧网络无盘系统的安装方法
网吧网络无盘系统的安装主要分为两个方面,一个是服务器的安装,一个是客户机的安装. 一.网吧服务器的安装和设置 1.服务器的操作系统为为windowsNT4SP6,分区格式为NTFS6.0. 2.挂盘: ...
- 舆情监控系统计算机 书籍,网络舆情监测系统方案建议书.doc
STYLEREF 标题 \* MERGEFORMAT 目 录 xx省网络舆情监测系统方案建议书 目 录 TOC \o "1-3" \h \z \u HYPERLINK \l &qu ...
最新文章
- jQuery Datatable 实用简单实例
- 加载spring上下文的多种方式总结
- Webdynpro check error - check function in Workbench
- 《并行计算的编程模型》一1.4 数据类型
- 【渝粤教育】 国家开放大学2020年春季 2064管理学基础 参考试题
- 秋招注意事项和面试通关攻略
- 微信第三方平台-授权流程经验分享
- macbook android 屏幕共享,Mac 自带功能屏幕共享
- 大数据为你解读2017年全国出差地图
- 服务器维修工程师个人简历,机械维修工程师个人简历模板精选
- dubbo之failed to connect to server /xx.xx.xx.xx:20880 client-side timeout问题解决
- Japanese Student Championship 2021
- 跨省游开放首展,海峡旅博会和休闲旅博会将在厦门举行
- STM32f429开发中USB读写文件涉及到的库移植
- mvn assembly:single打包报错:Error reading assemblies: No assembly descriptors found.
- java 找不到方法_Java程序找不到主方法,在哪里加上呢
- Recovery 恢复
- ipv6 dns修改方法
- Estimator::relativePose
- ai人工智能课程百度云_云AI就像核电