zoukankan      html  css  js  c++  java

  • centeros iptable模板文件

    iptables规则是空的。而且他们的selinux是关闭了的,这等同于把系统裸奔(总比windows裸奔好)。
     
    使用方法:
    1、用root用户登录后

    vi /etc/sysconfig/iptables

    2、删掉原来的所有规则,粘贴上以下内容

    # Generated by iptables-save v1.4.7 on Mon Mar 26 09:52:21 2012
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD DROP [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT
    # Completed 

    3、按一下Esc后,保存退出

    :wq

    4、重启iptables

    service iptables start

    关于iptables的几点参数说明:
    -A 选项来附加(新增)规则到某条链
    -i 选项(interface「界面」之意)来指定那些符合或来自 lo(localhost、127.0.0.1)界面的封包
    -j(jump「跳至」)符合这条规则的目标动作
    -m 选项来装入一个模块(state)。state 模块能够查看一个封包并判断它的状态是 NEW、ESTABLISHED 抑或 RELATED。NEW 指进入的封包属于不是由主机初始化的新增连接。ESTABLISHED 及 RELATED 指进入的封包隶属于一条现存的连接,或者与现存的连接有关系。
     
    Asdfghjkl123 
     
     vi /etc/sysconfig/iptables
    增加:
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 10622 -j ACCEPT
    注掉22端口
    service iptables restart
     
     
    vi /etc/ssh/sshd_config
    增加Port 10622
    重启sshd:   service sshd restart
     
     
     

    /etc/sysconfig/iptables 模板

    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD DROP [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

    -A INPUT -m state --state NEW -m tcp -p tcp --dport 10622 -j ACCEPT
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT

    /etc/fail2ban/jail.conf中增加以下配置:
    [ssh-iptables]
    enabled = true
    filter = sshd
    action = iptables[name=SSH, port=ssh, protocol=tcp]

    #action = iptables[name=SSH, port=10622, protocol=tcp]

    sendmail-whois[name=SSH, dest=hujha@chanjet.com, sender=fail2ban@email.com]
    # Debian 系的发行版
    #logpath =/var/log/auth.log
    # Red Hat 系的发行版
    logpath =/var/log/secure
    # ssh 服务的最大尝试次数
    maxretry =3
    findtime =60
    bantime =600

    测试:

    fail2ban-client status ssh-iptables

    fail2ban-client ping

     
     
  • 相关阅读:
    真正VC++.net笔记1系统时间的获取
    真正VC++.net笔记5MessageBox变MessageBoxA?
    Judge Online 系统流程设计
    杂谈1:事情因每个人的参与而不同
    ESX/ESXi 4.1 Update 1 or later 同步NTP
    iSCSI CHAP认证
    JSTL中c:set标签的要点和技巧
    JSTL 判断对象是否为空
    Smartmontools——linux磁盘检测工具
    ECMAScript 对象类型
  • 原文地址:https://www.cnblogs.com/hujihon/p/5147590.html
Copyright © 2011-2022 走看看