N22-第十四周作业

系统的INPUT和OUTPUT默认策略为DROP;

~]# iptables -P INPUT DROP
~]# iptables -P OUTPUT DROP

1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;

~]# iptables -A INPUT  -s 0/0 -p tcp --dport 80 -m time --weekdays 1 -j DROP
~]# iptables -A INPUT  -s 0/0 -p tcp --dport 80 -m string --algo bm --string "admin" -j DROP
~]# iptables -A INPUT  -s 0/0 -p tcp --dport 80 -m limit --limit 100/second  -j ACCEPT
~]# iptables -A OUTPUT  -d 0/0 -p tcp --sport 80  -j ACCEPT

2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;

~]# iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -m limit --limit 5/minute -m time --timestart 08:30:00 --timestop 18:00:00 --weekdays 1,2,3,4,5 -j ACCEPT ;放行符合要求的请求报文
~]# iptables -A OUTPUT -d 172.16.0.0/16 -p tcp --sport 21 -j ACCEPT ;放行响应报文

3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;

~]# iptables -A INPUT -s 172.16.10.1/16,172.16.10.100/16 -p tcp --dport 22 -m limit --limit 2/minute -j ACCEPT
~]# iptables -A OUTPUT  -d 172.16.10.1/16,172.16.10.100/16 -p tcp --sport 22 -j ACCEPT

4、拒绝TCP标志位全部为1及全部为0的报文访问本机;

~]# iptables -A INPUT -s 0/0 -d localhost -p tcp --tcp-flags ALL ALL -j DROP
~]# iptables -A INPUT -s 0/0 -d localhost -p tcp --tcp-flags ALL NONE -j DROP

5、允许本机ping别的主机;但不开放别的主机ping本机;

~]# iptables -A OUTPUT -s localhost -d 0/0 -p icmp --icmp-type 8 -j ACCEPT ;允许本机向外发送ping请求
~]# iptables -A INPUT -s 0/0 -d localhost -p icmp --icmp-type 0 -j ACCEPT ;放行对方的ping回应报文
或者用 :
~]# iptables -A INPUT -s 0/0 -d localhost -p icmp -m state  --state ESTABLISHED -j ACCEPT ;放行对方的ping回应报文

6、判断下述规则的意义:
  # iptables -N clean_in
在filter表上新建一个自定义链 clean_in
  # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
所有发往本地网段的协议类型为icmp协议的报文都会被丢弃
  # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
所有发往172.16.0.0/16网段的协议类型为icmp协议的报文都会被丢弃

  # iptables -A clean_in -p tcp ! –syn -m state –state NEW -j DROP
非tcp连接三次握手中第一次连接的报文且状态为NEW的报文都丢弃
  # iptables -A clean_in -p tcp –tcp-flags ALL ALL -j DROP
tcp连接中,传输报文中所有标志位都为1的报文丢弃
  # iptables -A clean_in -p tcp –tcp-flags ALL NONE -j DROP
tcp连接中,传输报文中所有标志位都为0的报文丢弃
  # iptables -A clean_in -d 172.16.100.7 -j RETURN
当报文的目标地址为172.16.110.7时,结束clean_in链上的规则检查,返回调用它的主链

  # iptables -A INPUT -d 172.16.100.7 -j clean_in
INPUT链上引用一条自定义链,当报文目标地址为172.16.100.7时,调用clean_in
  # iptables -A INPUT  -i lo -j ACCEPT
放行从本地回环接口流入的报文
  # iptables -A OUTPUT -o lo -j ACCEPT
放行从本地回环接口流出的报文

  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 53,113,135,137,139,445 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机TCP的53,113,135,137,139,445端口
  # iptables -A INPUT  -i eth0 -m multiport -p udp –dports 53,113,135,137,139,445 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机UDP的53,113,135,137,139,445端口
  # iptables -A INPUT  -i eth0 -p udp –dport 1026 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机UDP的1026端口
  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 1433,4899 -j DROP
丢弃从本机eth0网卡流入的报文且目标端口为本机TCP的1433,4899端口

  # iptables -A INPUT  -p icmp -m limit –limit 10/second -j ACCEPT
本机1秒内最多允许10次的icmp请求进入

7、通过tcp_wrapper控制vsftpd仅允许192.168.1.0/255.255.255.0网络中的主机访问,但192.168.1.57除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;

  先编辑/etc/hosts.allow编辑允许访问FTP服务的白名单:
           

[root@CentOS7 ~]# tail -n 1 /etc/hosts.allow
               vsftpd: 192.168.1. EXCEPT 192.168.1.57

  再编辑/etc/hosts.deny编辑黑名单为除白名单外的所有人,并记录访问拒绝日志:
       

[root@CentOS7 ~]# tail -n 1 /etc/hosts.deny
          vsftpd: ALL :spawn echo `date` login attempt denied from %c to %s. >> /var/log/tcp_wrapper.log

 

  FTP服务器地址192.168.1.67 ,分别以客户端192.168.1.57和192.168.1.58尝试访问:
       

~]# ifconfig 
          eth0      Link encap:Ethernet  HWaddr 00:0C:29:69:9A:88  
          inet addr:192.168.1.57  Bcast:192.168.1.255  Mask:255.255.255.0
  [root@CentOS6 ~]# ftp 192.168.1.67
Connected to 192.168.1.67 (192.168.1.67).
421 Service not available.
ftp> ls
Not connected.
ftp> exit

~]# ifconfig 
          eth0      Link encap:Ethernet  HWaddr 00:0C:29:69:9A:88  
          inet addr:192.168.1.58  Bcast:192.168.1.255  Mask:255.255.255.0
~]# ftp 192.168.1.67
Connected to 192.168.1.67 (192.168.1.67).
220 (vsFTPd 3.0.2)
Name (192.168.1.67:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,1,67,64,8).
150 Here comes the directory listing.
drwxr-xr-x    2 0        0              21 Nov 09 07:56 pub
drwxr-xr-x    2 14       0               6 Nov 09 09:46 upload
226 Directory send OK.
ftp> cd pub
250-you can download company information from here !
250 Directory successfully changed.
ftp> exit
221 Goodbye.

查看tcp_wrapper日志文件:

~]# cat /var/log/tcp_wrapper.log
2016年 11月 21日 星期一 09:09:41 CST login attempt denied from 192.168.1.57 to vsftpd@192.168.1.67.

原创文章,作者:上海-brown,如若转载,请注明出处:http://www.178linux.com/67083

(0)
上海-brown上海-brown
上一篇 2017-03-15
下一篇 2017-03-15

相关推荐

  • nginx+varnish+httpd小试牛刀

    简介: Varnish 是一款高性能且开源的反向代理服务器和 HTTP 加速器,其采用全新的软件体系机构,和现在的硬件体系紧密配合,与传统的 squid 相比,varnish 具有性能更高、速度更快、管理更加方便等诸多优点; 此次试验的目的是让Nginx做前端访问负载均衡,varnish代理后端的web服务器,并缓存结果 1.准备机器,做好时间同步,主机名解…

    Linux干货 2017-06-27
  • Linux发展史

    简 述 Linux是一套自由加开放源代码的类Unix操作系统,诞生于1991年10月5日(第一次正式向外公布),由芬兰学生Linus Torvalds和后来陆续加入的众多爱好者共同开发完成。 Linux是一个基于POSIX和Unix的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议,可支持32位和64位硬件。…

    2016-10-14
  • Linux 文本编辑器三剑客之 sed

    参考手册: http://www.gnu.org/software/sed/manual/sed.html 转载请注明:马哥教育!!

    Linux干货 2017-01-12
  • Linux文件系统

    1、Linux文件系统层级标准 为什么Linux的不同发行版中的目录结构基本上都一样? Linux有一个组织叫LSB定义的Linux发行版基础目录名称命名法则及功用规定,这种标准叫做 FHS(Filesystem Hierarchy Standard),文件系统层级标准。 /boot:系统引导启动时要加载的静态文件:kernel, initramfs(ini…

    Linux干货 2016-10-29
  • 用户,组和权限管理 基础命令整理

    安全3A任何一个安全策略都应该有Authentication(认证)、Authentication(授权)、Accouting|Audition(审计)这三个措施。 用户(User)Linux用户是安全3A中的Authentication(认证)措施。用户在登录时,系统会检查用户输入的用户名和密码。如果用户输入的用户名和密码匹配,会根据用户信息给用户分配一个…

    Linux干货 2017-03-16