91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Linux自帶防火墻開啟IP白名單的的配置詳解

發布時間:2020-08-07 15:26:16 來源:ITPUB博客 閱讀:192 作者:lusklusklusk 欄目:建站服務器
防火墻配置文件名稱/etc/sysconfig/iptables

Red Hat Enterprise Linux Server release 6.0開始默認配置如下
[root@DMT-Oracle-server ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

--iptables文件配置,從上至下生效,參考如上默認配置,如果去掉倒數第三、第二行關于REJECT的內容后service iptables start,相當于放開了所有權限,和沒有開啟防火墻的結果一樣
--默認INPUT、OUTPUT、FORWARD都是ACCEPT的
--不添加規則,則對所有端口的數據來者不拒


[root@DMT-Oracle-server ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -s 192.168.128.118 --dport 1521 -j ACCEPT
-A INPUT -p tcp -s 192.168.131.0/24 --dport 1521 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
--以上配置表示放開IP192.168.128.118和網段192.168.131的訪問服務器1521端口,必須放在兩行REJECT之前
--通過命令iptables -L -n 查看設置是否生效


各個參數解釋,參考man iptables
-A, --append chain rule-specification,表示添加一條規則
-D, --delete chain rule-specification,表示刪除一條規則
-R, --replace chain rulenum rule-specification,表示修改一條規則
-p, --protocol protocol,表示使用什么協議,TCP還是UDP
-s, --source address[/mask][,...],表示來源的IP或網段
-j, --jump target,This specifies the target of the rule  --后面接動作,主要的動作有接受(ACCEPT)、丟棄(DROP)、拒絕(REJECT)及記錄(LOG)



INPUT、OUTPUT、dport、sport的區別:
INPUT:進入本機的規則
OUTPUT:本機出去的規則
dport:目的端口
sport:來源端口

例子1:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
這條INPUT規則可以這么描述:
        1.這是一條從外部進入內部本地服務器的數據。
        2.數據包的目的(dport)地址是22,就是要訪問我本地的22端口。
        3.允許以上的數據行為通過。

例子2:
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
這條INPUT規則可以這么描述:       
        1.這是一條從外部進入內部本地服務器的數據。
        2.數據包的來源端口是(sport)22,就是對方的數據包是22端口發送過來的。
        3.允許以上數據行為。

例子3:
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
這條OUTPUT規則可以這么描述:       
        1.這是一條從內部出去的數據。
        2.出去的目的(dport)端口是22。
        3.允許以上數據行為。

例子4:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
這條OUTPUT規則可以這么描述:   
        1.這是一條從內部出去的數據。
        2.數據包的來源端口是(sport)22,從本服務器的22端口發出數據。
        3.允許以上數據行為。


收集白名單IP(也就是經常連接數據庫的IP)的腳本
[root@DMT-Oracle-server ~]# cat /iso/scripts/netstat_37.sh
#!/bin/sh
date>>/iso/scripts/log/netstat37.log
netstat -apnT|grep DW |awk '{print $5}'|sort -u >>/iso/scripts/log/netstat37.log
echo "++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++" >>/iso/scripts/log/netstat37.log
#其中DW是OracleSID的部分關鍵字
#要加上-T否則太長的IP會統計不準確  -T, --notrim  stop trimming long addresses

cat /iso/scripts/log/netstat37.log|grep 192|grep -v 37:1521|grep -v ffff|awk -F ":" '{print $1}'
cat /iso/scripts/log/netstat37.log|grep 192|grep -v 37:1521 | awk -F ":"  '{print $4}'|sort -u

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

明溪县| 从江县| 东丰县| 邻水| 股票| 漳浦县| 新巴尔虎左旗| 会昌县| 古田县| 浠水县| 西乌珠穆沁旗| 荥阳市| 托克托县| 香格里拉县| 曲周县| 巴东县| 噶尔县| 长沙县| 乌什县| 道真| 乐陵市| 西丰县| 阿瓦提县| 紫金县| 南和县| 南陵县| 北海市| 龙江县| 曲阜市| 桓台县| 任丘市| 高陵县| 郯城县| 正阳县| 浪卡子县| 晴隆县| 鸡西市| 铜山县| 广水市| 永和县| 信丰县|