N22-第十四周作业

系统的INPUT和OUTPUT默认策略为DROP;

~]# iptables -P INPUT DROP
~]# iptables -P OUTPUT DROP

1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;

~]# iptables -A INPUT  -s 0/0 -p tcp --dport 80 -m time --weekdays 1 -j DROP
~]# iptables -A INPUT  -s 0/0 -p tcp --dport 80 -m string --algo bm --string "admin" -j DROP
~]# iptables -A INPUT  -s 0/0 -p tcp --dport 80 -m limit --limit 100/second  -j ACCEPT
~]# iptables -A OUTPUT  -d 0/0 -p tcp --sport 80  -j ACCEPT

2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;

~]# iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -m limit --limit 5/minute -m time --timestart 08:30:00 --timestop 18:00:00 --weekdays 1,2,3,4,5 -j ACCEPT ;放行符合要求的请求报文
~]# iptables -A OUTPUT -d 172.16.0.0/16 -p tcp --sport 21 -j ACCEPT ;放行响应报文

3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;

~]# iptables -A INPUT -s 172.16.10.1/16,172.16.10.100/16 -p tcp --dport 22 -m limit --limit 2/minute -j ACCEPT
~]# iptables -A OUTPUT  -d 172.16.10.1/16,172.16.10.100/16 -p tcp --sport 22 -j ACCEPT

4、拒绝TCP标志位全部为1及全部为0的报文访问本机;

~]# iptables -A INPUT -s 0/0 -d localhost -p tcp --tcp-flags ALL ALL -j DROP
~]# iptables -A INPUT -s 0/0 -d localhost -p tcp --tcp-flags ALL NONE -j DROP

5、允许本机ping别的主机;但不开放别的主机ping本机;

~]# iptables -A OUTPUT -s localhost -d 0/0 -p icmp --icmp-type 8 -j ACCEPT ;允许本机向外发送ping请求
~]# iptables -A INPUT -s 0/0 -d localhost -p icmp --icmp-type 0 -j ACCEPT ;放行对方的ping回应报文
或者用 :
~]# iptables -A INPUT -s 0/0 -d localhost -p icmp -m state  --state ESTABLISHED -j ACCEPT ;放行对方的ping回应报文

6、判断下述规则的意义:
  # iptables -N clean_in
在filter表上新建一个自定义链 clean_in
  # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
所有发往本地网段的协议类型为icmp协议的报文都会被丢弃
  # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
所有发往172.16.0.0/16网段的协议类型为icmp协议的报文都会被丢弃

  # iptables -A clean_in -p tcp ! –syn -m state –state NEW -j DROP
非tcp连接三次握手中第一次连接的报文且状态为NEW的报文都丢弃
  # iptables -A clean_in -p tcp –tcp-flags ALL ALL -j DROP
tcp连接中,传输报文中所有标志位都为1的报文丢弃
  # iptables -A clean_in -p tcp –tcp-flags ALL NONE -j DROP
tcp连接中,传输报文中所有标志位都为0的报文丢弃
  # iptables -A clean_in -d 172.16.100.7 -j RETURN
当报文的目标地址为172.16.110.7时,结束clean_in链上的规则检查,返回调用它的主链

  # iptables -A INPUT -d 172.16.100.7 -j clean_in
INPUT链上引用一条自定义链,当报文目标地址为172.16.100.7时,调用clean_in
  # iptables -A INPUT  -i lo -j ACCEPT
放行从本地回环接口流入的报文
  # iptables -A OUTPUT -o lo -j ACCEPT
放行从本地回环接口流出的报文

  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 53,113,135,137,139,445 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机TCP的53,113,135,137,139,445端口
  # iptables -A INPUT  -i eth0 -m multiport -p udp –dports 53,113,135,137,139,445 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机UDP的53,113,135,137,139,445端口
  # iptables -A INPUT  -i eth0 -p udp –dport 1026 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机UDP的1026端口
  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 1433,4899 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机TCP的1433,4899端口

  # iptables -A INPUT  -p icmp -m limit –limit 10/second -j ACCEPT
本机1秒内最多允许10次的icmp请求进入

7、通过tcp_wrapper控制vsftpd仅允许192.168.1.0/255.255.255.0网络中的主机访问,但192.168.1.57除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;

  先编辑/etc/hosts.allow编辑允许访问FTP服务的白名单:
           

[root@CentOS7 ~]# tail -n 1 /etc/hosts.allow
               vsftpd: 192.168.1. EXCEPT 192.168.1.57

  再编辑/etc/hosts.deny编辑黑名单为除白名单外的所有人,并记录访问拒绝日志:
       

[root@CentOS7 ~]# tail -n 1 /etc/hosts.deny
          vsftpd: ALL :spawn echo `date` login attempt denied from %c to %s. >> /var/log/tcp_wrapper.log

 

  FTP服务器地址192.168.1.67 ,分别以客户端192.168.1.57和192.168.1.58尝试访问:
       

~]# ifconfig 
          eth0      Link encap:Ethernet  HWaddr 00:0C:29:69:9A:88  
          inet addr:192.168.1.57  Bcast:192.168.1.255  Mask:255.255.255.0
  [root@CentOS6 ~]# ftp 192.168.1.67
Connected to 192.168.1.67 (192.168.1.67).
421 Service not available.
ftp> ls
Not connected.
ftp> exit

~]# ifconfig 
          eth0      Link encap:Ethernet  HWaddr 00:0C:29:69:9A:88  
          inet addr:192.168.1.58  Bcast:192.168.1.255  Mask:255.255.255.0
~]# ftp 192.168.1.67
Connected to 192.168.1.67 (192.168.1.67).
220 (vsFTPd 3.0.2)
Name (192.168.1.67:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,1,67,64,8).
150 Here comes the directory listing.
drwxr-xr-x    2 0        0              21 Nov 09 07:56 pub
drwxr-xr-x    2 14       0               6 Nov 09 09:46 upload
226 Directory send OK.
ftp> cd pub
250-you can download company information from here !
250 Directory successfully changed.
ftp> exit
221 Goodbye.

查看tcp_wrapper日志文件:

~]# cat /var/log/tcp_wrapper.log
2016年 11月 21日 星期一 09:09:41 CST login attempt denied from 192.168.1.57 to vsftpd@192.168.1.67.

原创文章,作者:上海-brown,如若转载,请注明出处:http://www.178linux.com/67083

(0)
上海-brown上海-brown
上一篇 2017-03-15
下一篇 2017-03-15

相关推荐

  • 常用大数据词汇中英文对照表

    A 聚合(Aggregation) – 搜索、合并、显示数据的过程 算法(Algorithms) – 可以完成某种数据分析的数学公式 分析法(Analytics) – 用于发现数据的内在涵义 异 常检测(Anomaly detection) – 在数据集中搜索与预期模式或行为不匹配的数据项。除了“Anomalies”,用来表示异常的词有以下几种:outlie…

    Linux干货 2015-03-10
  • N28-第二周博客作业

    常用通配符
    *:表示任意长度的任意字符;

    ?:表示任意的单个字符;

    []:表示在指定范围内的单个字符:[a-z];

    [^]:脱字符,是取反的意思,即在指定范围以外的任意字符,如 [^0-9]表示除数字以外的一切字符。

    [:digit:] 表示所有的数字,相当于0-9

    [:lower:] 表示所有的小写字母

    [:upper:] 表示所有的大写字母

    [:alpha:] 表示所有的字母,

    [:alnum:] 相当于[0-9a-z]

    [:space:] 相当于空白字符

    [:punct:] 表示所有的标点符号

    1、Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示。

    2、bash的工作特性之命令执行状态返回值和命令行展开所涉及的内容及其示例演示。

    3、请使用命令行展开功能来完成以下练习:

    (1)、创建/tmp目录下的:a_c, a_d, b_c, b_d

    (2)、创建/tmp/mylinux目录下的:
    mylinux/
    ├── bin
    ├── boot
    │?? └── grub
    ├── dev
    ├── etc
    │?? ├── rc.d
    │?? │?? └── init.d
    │?? └── sysconfig
    │?? └── network-scripts
    ├── lib
    │?? └── modules
    ├── lib64
    ├── proc
    ├── sbin
    ├── sys
    ├── tmp
    ├── usr
    │?? └── local
    │?? ├── bin
    │?? └── sbin
    └── var
    ├── lock
    ├── log
    └── run

    4、文件的元数据信息有哪些,分别表示什么含义,如何查看?如何修改文件的时间戳信息。

    5、如何定义一个命令的别名,如何在命令中引用另一个命令的执行结果?

    6、显示/var目录下所有以l开头,以一个小写字母结尾,且中间至少出现一位数字(可以有其它字符)的文件或目录。

    7、显示/etc目录下,以任意一个数字开头,且以非数字结尾的文件或目录。

    8、显示/etc目录下,以非字母开头,后面跟了一个字母以及其它任意长度任意字符的文件或目录。

    9、在/tmp目录下创建以tfile开头,后跟当前日期和时间的文件,文件名形如:tfile-2016-05-27-09-32-22。

    10、复制/etc目录下所有以p开头,以非数字结尾的文件或目录到/tmp/mytest1目录中。

    11、复制/etc目录下所有以.d结尾的文件或目录至/tmp/mytest2目录中。

    12、复制/etc/目录下所有以l或m或n开头,以.conf结尾的文件至/tmp/mytest3目录中。

    Linux干货 2017-12-11
  • 浅谈用户和组相关配置文件

    用户、组和权限的管理 Linux如何像Windows系统那样,可以不输入密码直接进入图形界面?那么如何如何自动登录图形界面呢?这就要用到编辑配置文件: nano  /etc/gdm/custom.cof  ,在里面加上   automaticLoginEnable=true automaticLogin=root 退出…

    Linux干货 2016-10-23
  • ansible配置详解

    概述     ansible是一款无需在被管理主机上安装客户端,基于SSH对多台目标主机进行同时操作的轻量级的管理软件,借助各个内部的功能模块,实现了批量系统配置、批量程序部署、批量运行命令等功能。本篇就介绍一些关于ansible的基础配置相关的内容,具体包括:     1、an…

    Linux干货 2016-11-05
  • CentOS6+ LAMP+ wordpress 搭建个人博客站

        每个IT工程师都期待拥有一个自己的博客站,本文讲述在CentOS 6系统LAMP环境下使用WordPress框架构建个人博客站的详细过程。     —-构建LAMP环境—- 1,安装apache,mysql php yum install -y httpd mysql…

    2017-07-11
  • 细说linux上的特殊权限位

    linux上的文件的权限 linux的哲学思想之一就是一切皆文件。这样说来,每台安装了linux的主机上,就会有大量的文件。而另一方面,linux在安全方面有着极为出色的表现。众所周知,linux是一个多用户的系统,因此为一个文件加上合适的权限为显得非常有必要了。linux上的基本权限我就不一一介绍了,请不熟悉的同学自行百度脑补。我们来说说linux上文件和…

    Linux干货 2017-04-10