- 浏览: 100650 次
- 性别:
- 来自: 珠海
文章分类
最新评论
-
babyjun1987:
看了那么多帖子,这个对我电脑有用,感谢楼主,好人一生平安!
4741G BIOS修复工具,黑刷bios有需要的收藏 -
jetli1989:
看了那么多帖子,这个对我电脑有用,感谢楼主,好人一生平安!
4741G BIOS修复工具,黑刷bios有需要的收藏 -
jetli1989:
点个赞
4741G BIOS修复工具,黑刷bios有需要的收藏 -
meihaoderizi123:
thanks,this article is very he ...
PHP 对象克隆 clone 关键字与 __clone() 方法
机房安全是必须考虑的事情。一些服务器设备必须暴露公网IP,很容易遭到攻击。配置硬件或软件防火墙,只开放可以访问的端口,拒绝其他不合法的IP的请求,包括端口扫描。甚至拒绝ping。将大大提升服务器的安全。
本脚本配置iptables,只允许北京和香港远程访问香港的服务器。但会开放web端口给任何IP访问。可以做出更严格的限制,只允许某几个IP访问。这样,规避大部分的随意的攻击。
本脚本缺省拒绝所有连接,这是必须小心的。如果用iptables -F来清空所有iptables的规则,可能导致远程无法访问服务器,必须先修改缺省规则为ACCEPT所有。所以有一种替代方法,在规则末尾增加一条drop任何包的规则。这样清除规则后,不会导致无法访问。 centos 5.2调试通过。
本脚本配置iptables,只允许北京和香港远程访问香港的服务器。但会开放web端口给任何IP访问。可以做出更严格的限制,只允许某几个IP访问。这样,规避大部分的随意的攻击。
本脚本缺省拒绝所有连接,这是必须小心的。如果用iptables -F来清空所有iptables的规则,可能导致远程无法访问服务器,必须先修改缺省规则为ACCEPT所有。所以有一种替代方法,在规则末尾增加一条drop任何包的规则。这样清除规则后,不会导致无法访问。 centos 5.2调试通过。
#!/bin/bash # 2010.10.14 modified by zhouhh ### 1.允许内网192.168.0.0,通过内网卡的所有协议 ### 2.允许北京电信、网通、电信通和香港26段共4个子网通过外网访问ssh端口,允许所有ping本机 ### 3.允许任何地址,通过任何网口访问本机web端口 ### 4.开放所有UDP端口 if [ $UID != 0 ]; then echo "must be root to run this script!" exit fi ### 定义子网变量 BJ_DXT=218.249.75.128/26 BJ_DX=219.141.178.96/28 BJ_CNC=123.127.24.128/25 HK_26=210.211.26.0/24 NET_LAN=192.168.1.0/24 ### 定义本地IP IP_LAN=192.168.1. IP_WAN=210.211.26. ### 定义服务端口 ssh_port=60000 web_port=80 sip_port=5060 ### 定义网络接口 ETH_LAN=eth0 ETH_WAN=eth1 ### 定义程序及路径变量 ipt=/sbin/iptables ### 具体规则 echo "[+]Flushing all rules..." iptables --flush service iptables stop echo "[+]Set default policy..." #缺省拒绝所有接入 $ipt -P INPUT DROP $ipt -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT $ipt -N TCP_ERR $ipt -I INPUT 2 -j TCP_ERR echo "[+]Creating rules for web port..." $ipt -A INPUT -p tcp --dport $web_port -m state --state NEW -j ACCEPT echo "[+] accept all UDP ports..." $ipt -A INPUT -p udp -j ACCEPT ### 允许北京和香港ping本机,其他拒绝 # ping 不限制,zhouhh comment # echo "[+]Creating icmp rules..." # $ipt -A INPUT -i $ETH_WAN -s $BJ-DXT -p icmp --cmp-type 8 -j ACCEPT # $ipt -A INPUT -i $ETH_WAN -s $BJ-DX -p icmp --cmp-type 8 -j ACCEPT # $ipt -A INPUT -i $ETH_WAN -s $BJ-CNC -p icmp --cmp-type 8 -j ACCEPT # $ipt -A INPUT -i $ETH_WAN -s $HK-26 -p icmp --cmp-type 8 -j ACCEPT # $ipt -A INPUT -i $ETH_WAN -p icmp -j DROP $ipt -A INPUT -p icmp -j ACCEPT ### 允许内网所有IP通信 echo "[+]Permit lan all..." $ipt -A INPUT -i $NET_LAN -s $NET_LAN -j ACCEPT $ipt -A INPUT -i lo -j ACCEPT ### 其他规则start ### 其他规则end ### 拒绝错误的TCP包 echo "[+]Creating TCP rules for new chain TCP_ERR..." $ipt -I TCP_ERR 1 -p tcp --tcp-flags ALL ALL -j DROP $ipt -I TCP_ERR 2 -p tcp --tcp-flags ALL NONE -j DROP $ipt -I TCP_ERR 3 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP $ipt -I TCP_ERR 4 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP $ipt -I TCP_ERR 5 -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG -m limit --limit 1/s --log-prefix "bad package" $ipt -I TCP_ERR 6 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP $ipt -I TCP_ERR 7 -p tcp ! --syn -m state --state NEW -j DROP ### 允许北京和香港访问ssh端口 echo "[+]Creating ssh rules..." $ipt -A INPUT -i $ETH_WAN -s $BJ_DXT -p tcp --dport $ssh_port -m state --state NEW -j ACCEPT $ipt -A INPUT -i $ETH_WAN -s $BJ_DX -p tcp --dport $ssh_port -m state --state NEW -j ACCEPT $ipt -A INPUT -i $ETH_WAN -s $BJ_CNC -p tcp --dport $ssh_port -m state --state NEW -j ACCEPT $ipt -A INPUT -i $ETH_WAN -s $HK_25 -p tcp --dport $ssh_port -m state --state NEW -j ACCEPT ### 保存配置让规则随系统启动 service iptables save
发表评论
-
mysql无法启动,报错 Can't start server: can't create PID file: No space left on device
2013-01-04 16:55 1213最近在维护linux服务器时发现,网站打不开了,经过检查发现是 ... -
linux apf 防火墙 安装 配置
2012-12-21 16:36 820APF(Advanced Policy Firewall) ... -
Linux CentOS 如何防止CC攻击和DDOS攻击
2012-12-20 13:48 1027一、查看系统当前连接情况 使用netstat命令,查看VP ... -
Linux简单处理CC攻击shell脚本
2012-12-20 12:37 1987第一个脚本是通过查找日志中访问次数过多的ip,并用iptabl ... -
如何在Linux系统下查看apache的并发连接数
2012-12-20 12:34 861即查看httpd的进程数(即prefork模式下Apache能 ... -
Linux(Centos)下安装 Zend Optimizer 3.3.9 实例
2012-12-20 11:04 689在centos 5.3上安装好了php之后,下载文件 wge ... -
Linux添加pear开发包
2012-12-19 13:54 859以添加XML_Serializer为例,进行 http://p ... -
linux下LFTP mirror的高级应用
2012-12-19 09:21 1532在我刚刚发现LFTP的时候,我就注意到了它功能强大的mirro ... -
[转]linux下使用lftp的小结
2012-12-18 23:26 968今天在解决一个远程服务器备份的问题时,用到了lftp的相关知识 ... -
rsync+inotify实现多台web数据动态同步
2012-12-18 21:06 734ps: 最新的可以从http://rsync.samba.or ... -
CentOS5下源码编译安装Apache-2.2.23 + PHP-5.2.17
2012-12-18 16:11 1610一、安装所需: 注:我自己的安装环境为centos 5.5 ... -
Centos5.5 php更新至5.2.17
2012-12-18 16:05 731先将以下地址导入。 # rpm --import http ... -
关于使用yum “The program package-cleanup is...” 的解决办法!
2012-12-18 14:18 796在使用yum 时总是有提示信息: The program p ... -
APCHE虚拟主机Conf配置
2012-11-16 13:48 917<VirtualHost *:80> ... -
VSFTP的虚拟用户配置方法
2012-11-12 16:09 11931、建立虚拟用户口令库 ... -
Linux服务器下用svn创建多个项目
2012-08-15 08:44 1382(1): 创建svn仓库路径 mkdir -p ... -
SVN源码自动发布至WEB目录
2012-06-14 10:13 1642一、cd /code/svndata/svn/hook,创建p ... -
Centos安装apache+svn结合的SVN服务器
2012-06-12 17:16 9981、yum安装下列的一些包: yum install apr ... -
使用sync进行服务器文件同步,并CRON定期执行
2012-05-02 15:46 1054一、创建sync.sh shell文件 #!/bin/sh ... -
快速开发一个PHP扩展(SO组件)教程
2012-05-01 18:44 2049本文通过非常快速的方式讲解了如何制作一个PHP 5.2 环境的 ...
相关推荐
Kylin_Iptables防火墙配置方法
iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版iptables防火墙终结版...
linux 防火墙配置 iptables
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
iptables防火墙加固任务,制订了一套iptables防火墙加固任务
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
RHEL5.7下iptables防火墙配置(上).docx
iptables防火墙规则配置
CentOS操作系统下配置iptables防火墙.docx
详细说明iptables的用法及具体实施。
iptables防火墙iptables防火墙iptables防火墙
因此需要配置防火墙规则,避免非法访问和未经许可的探测。 操作系统:Ubuntu 16.04 LTS 数据库:Mysql 8.0.22 Web组件:Apache Tomcat/8.0.0-RC1 防火墙版本:iptables v1.6.0 实施目标:服务器本机及指定...
linux iptables防火墙黑名单(封IP) Connection reset by peer
防火墙,配置文件,iptables,详解防火墙配置文件iptables详解
Linux上iptables防火墙的基本应用教程,简单明了,希望有用。
学习Linux防火墙的基础教程.包括Linux下的iptables防火墙的策略的学习和精通.
iptables防火墙学习笔记iptables防火墙学习笔记iptables防火墙学习笔记iptables防火墙学习笔记
Linux上iptables防火墙的基本应用教程.docx
iptables防火墙原理介绍和配置,还有详细的案例
Linux iptables防火墙实用模板