[オペレーティングシステム] ---- Linuxのファイアウォールの設定レコード

ファイアウォールフィルタテーブルの設定

に＃クリアし、通常のチェーンフィルタプリセットテーブルのすべてのルールを
iptablesの-F

ユーザ定義のフィルタルールに＃クリアプリセットテーブルチェーン
のiptables -X

＃は、iptablesの設定を保存する
サービスは、保存iptablesの

＃サービスのiptablesを再起動する
サービスを再起動してiptablesの

＃は、iptablesのルール見る
iptablesの-L -n

ファイルを表示する＃iptablesのルールを
の/ etc /のsysconfig / iptablesのCAT

＃はデフォルトルールの設定
iptablesの入力DROP -P
ACCEPT iptablesの出力を-Pを
iptablesのはFORWARD DROP -P

＃22開いているポートの
iptablesの- INPUT --dport 22 -p TCP A -j ACCEPT
OUTPUT DROPは、TCP -p -A OUTPUTを追加するために配置された場合は--sportのiptables -j＃22 ACCEPT
TCP -p INPUTは22を--dport -Dポートのiptablesを閉じるために＃22 - J ACCEPT

＃オープン共通ポート
iptablesの-A TCP -p INPUTは-j 80を--dport ACCEPT
iptablesの-A INPUTはACCEPT -j 3306 --dport TCP -p
ACCEPT -j 80 --sport #iptables -A OUTPUT -p TCPを
ACCEPT -j 3306 --sport #iptables -A OUTPUT -p TCPを
#iptables -A INPUTを- p個のTCPはACCEPT -j 20を--dport
#iptablesを-A INPUTがACCEPT -j 21 --dport TCP -p
ACCEPT -j --dport 10000 #iptables -A INPUT -p tcpの
#iptables -A INPUT -pのtcp --dportを25 -j ACCEPT
ACCEPT -j --dport 110 TCP -p #iptables -A入力
#iptablesを-A UDP --dport -p INPUT 53 -j ACCEPT

＃允许ピング
のiptables -AをINPUT -p ICMP -j ACCEPT
OUTPUT如果位设置成DROP需要添加のiptables -A OUTPUT -p ICMP -j ACCEPT

＃允许ループバック
のiptables -A INPUT -i loの-pすべて-j ACCEPT
＃をOUTPUT如果设置成のDROP需要添加のiptables -A OUTPUT -o LO -pすべて- jはACCEPT

＃シールドは、IP指定
＃iptablesの-A -j TCP -s 192.168.10.1 DROPの-p INPUT

＃は安全でないポートの削減
＃のiptablesの-A TCP -j DROP 31337の--sport -p OUTPUT
＃iptablesの-A OUTPUT -p TCPを--dport DROP -j 31337

＃リモート接続は、IP許可
＃1のiptablesは-A 192.168.10.1 -p TCPは22 --dport -s INPUTはACCEPT -jであり、
＃はIPリモート接続用のセグメント可能
iptablesの-A INPUTは-s図22は、192.168.10.0/24がACCEPT -j --dport -p TCPで

指定されたネットワークによって許可され＃を、指定されたネットワークポートはSSHを介して接続されている
＃1のiptables -A INPUT -iはeth0 -p TCP -s 192.168.10.0/24 -状態22は、ACCEPT -j ESTABLESHED --state NEW -m DPORT、ある
＃のiptablesの-A OUTPUT -o eth0の-p TCP --sport -m状態22は、ACCEPT -j ESTABLISHED --stateある
＃のiptablesの-A INPUT -i eth0の-p TCP -s 192.168.10.0/24 --dport 22 -m状態--state ESTABLESHED -j ACCEPT
-o eth0の-p＃iptablesのTCPが22を--sport OUTPUTがESTABLISHED -j ACCEPT、--state NEW -m国家である-A

＃オープン転送が
-A FORWARD -i eth0の-o eth1の-m #iptables 、RELATED --state状態を-j ACCEPT ESTABLISHED
＃をiptablesの-A -o eth1のは、eth0 FORWARD -i -j ACCEPT

悪い捨てる＃のTCPパケットを
-A FORWARD -p TCPは！-m --syn国はDROP NEW -j --state＃のiptablesの

＃のIPフラグメンテーション処理を100秒可能な攻撃を防ぐために数、
＃iptablesの-A -f -m FORWARDを限定は--limitバーストACCEPT -j 100 / S 100 --limit

トリガーを制限、可能にするために、毎秒1つのパケットをICMPパケットのフィルタリング＃セット10のパケットことを条件と
＃のiptables -A -mは、ICMP --limit -p FORWARDを制限する。1月10日--limit -j ACCEPT S-バースト

＃廃棄を違法接続
のiptables -A無効な入力を-j -m状態は、ドロップ--state
iptablesの状態は、-m -A -j DROP OUTPUT INVALID --state
のiptables -A -j INVALID FORWARD -m状態はDROPを--stateを

＃すべての確立および関連する接続の許可
-A INPUT -mの状態がESTABLISHED --state、RELATEDはACCEPT iptablesの-j
RELATED -j ACCEPTは、iptablesの-A OUTPUT -mの状態がESTABLISHED --state、



ファイアウォールNATテーブル構成された

＃ビューのNATテーブルをルール
のiptables -L -t NAT

＃クリアNATルール
のiptables -F -t NATは
NATがT - -Xをiptablesの
NAT -t -Zをiptablesの

＃をIPネットワークとネットワーク外のなりすましを防ぐ
＃iptablesのは、NAT -a -t PREROUTING -i eth0のを- 10.0.0.0/8 -j DROP S
＃はPREROUTING -t NAT -A -j -i eth0の-s 172.16.0.0/12 DROP iptablesの
NAT -A -t＃iptablesのPREROUTING -s 192.168.0.0/16 -j -i eth0のをDROPの

＃は、IP-へのすべての接続を禁止する
＃iptablesの-A PREROUTING -t -d 192.168.10.1 NAT -j DROPの

＃は、ポート80を無効にする
＃iptablesの-A PREROUTING -t -p TCP NATは80 -j DROPの--dport

＃禁止をIPの80個のポート
#iptables -t NAT -A PREROUTING -p TCPは--dport 21 -d 192.168.10.1 -j DROP



サービスの再起動、iptablesの保存ファイルを

＃はiptablesのルールを保存する
サービスは、保存iptablesの

＃サービスのiptablesを再起動し
、サービスのiptablesを再起動します