tcp_wrappers和iptables的配置

技术分享 Story 87浏览 0评论

tcp_wrappers
.使用libwrap.so保護某種tcp協定的服務器
.配置文件/etc/hosts.deny和/etc/hosts.allow
.支持tcp_wrappers的服務器
sshd,mysald,vsftpd,tcpd,xinetd(所有用sinetd啟動的服務器)
.配置文件語法
daemon: client list
e.g
vsftpd: 192.168.0.2 10.0.0.0.0/255.255.255.0
sshd: .example.com

例子:
保護sshd服務器
.要求: 192.168.0.0/255.255.255.0中除了192.168.0.254之外都能夠訪問本地的ssh服務器
.配置文件
/etc/hosts.allow
sshd:192.168.0 EXCEPT 192.168.0.254
/etc/hosts.deny
sshd:ALL

iptables
.iptables [-t table] 命令 鏈 [條件] [-j 處理]
常用命令: -A ,-D ,-F ,-I ,-R , -L
條件: -i, -o, -s, -d, -p, --dport, --sport, -m
處理方式: ACCEPT,DROP,REJECT,LOG
例:
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -D 192.168.0.254 -j ACCEPT
iptables -D INPUT 1
iptables -A INPUT -S 192.168.0.0/24 -p tcp --dprot 80 -j ACCEPT
默認策略
#iptables -nL
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
包的狀態檢查
狀態: NEW,ESTABLISHED,RELATED
#iptables -A INPUT -s 192.168.0.0/24 -P tcp -dport 22 -m state --state ESTABLISHED -j ACCEPT
配置實例
.要求: 192.168.0.0/255.255.255.0中除了
192.168.0.254之外都能訪問本地的 ssh服務器
.命令:
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -A INPUT -s 192.168.0.254 -j DROP
#iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
#iptables -A OUTPUT -D 192.168.0.0/24 -p tcp --sport 22 -m state --stat ESTABLISHED -j ACCEPT

转载请注明:成长的对话 » tcp_wrappers和iptables的配置