怎么关掉这个ip段对我的访问?

Snoopy · 发表于 2003-3-25 12:40:13

[root@Snoopy root]# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8
[root@Snoopy root]# iptables -L -n
Chain INPUT (policy ACCEPT)
target    prot opt source             destination

Chain FORWARD (policy ACCEPT)
target    prot opt source             destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source             destination

为什么从中看不出来呢??

还有一个问题是,,可不可以将多个端口转到一个端口上?

或是一个端口转到多个端口去??

比如我开ftp,21,http80,我想两个都用同一端口1026

或是将80端口转到1027和1028上,???可以的吗??

可以告诉我怎么弄吗?iptables的文章我看不懂,我需要例子才能

慢慢看得懂,麻烦你了 ~~~

BTworm · 发表于 2003-3-25 13:02:07

用iptables -L -t nat 可以看到。

多对多是肯定可以的，但一对多和多对一好象没什么意义。

比如我开ftp,21,http80,我想两个都用同一端口1026

当请求发到1026时，你怎么判断是什么请求呢？

或是将80端口转到1027和1028上,???可以的吗??

那就要开两个HTTP的守护进程，这样做有什么意义吗？

很喜欢和你讨论，你的问题挺有意思。

Snoopy · 发表于 2003-3-25 13:21:14

我的qq622556,msn:zjm@sogua.com

我们交流一下,,,,

其实我问到底,想实现的就是,我机开只开80端口

我想别人扫我机的端口时,显示全部端口都打开,其实相应端口的服

务是没有开的,,,上次我听网友说可以用iptables实现,,,,,

是不是有什么重定向什么的?可以将数据发到一个端口上???

BTworm · 发表于 2003-3-26 09:29:08

我想，你是在考虑安全问题吧。

把所有的端口都关掉是可以的，而且非常简单

iptables -P INPUT DROP

想开哪个端口，就开哪个端口, 如开TCP 80：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

这样做是足够安全了，但你会发现你根本没法和外界通讯！为什么呢？举个例子说明吧：比如你想看www.linuxsir.cn的网页，你� ... R的80或8080端口(HTTP的缺省端口)。

LINUXSIR的服务器接到你的请求，并返回一确认包。现在问题来了，这个确认包的目的端口肯定是12345(因为你的请求是从12345发出的)，当这个包到达你的机器时，首先被iptables截获。因为你的INPUT只开了80口，那么这个到12345口的包就被DROP了！此时，你的mozilla还在苦等回音，直到TIMEOUT，它会告诉你THE SERVER IS NOT AVAILABLE。

如果你是在防火墙上用iptables -P INPUT DROP，那是没有问题的，因为正常情况下，没有人会从防火墙上请求任何服务，而且防火墙只允许数据流过，对到它本身的任何数据的控制是非常严格的。

对普通的工作站来讲，提高安全性，就要作到尽可能的少开服务，如果一定要开某些服务，可以用iptables加以限定，使改服务只对某些主机或网段开放。
===================
写了这么多，难免前言不搭后语，如果你看得不是太明白，咱们可以在MSN讨论，我已经把你加到我得LIST里了，我的MSN ID是fdisksoon@yahoo.com

BTworm · 发表于 2003-3-26 09:37:21

这样做是足够安全了，但你会发现你根本没法和外界通讯！为什么呢？举个例子说明吧：比如你想看www.linuxsir.cn的网页，你的mozilla...R的80或8080端口(HTTP的缺省端口)。

应该是：

这样做是足够安全了，但你会发现你根本没法和外界通讯！为什么呢？举个例子说明吧：比如你想看LINUXSIR的网页，你的mozilla会发送一请求到LINUX的服务器，这个请求一定是从某个端口发出去的。是哪个端口呢？“某未知端口”。这里的未知是指“任何一不在/etc/services列出的端口”。我们不妨假设是12345端口，那么你的机器从12345端口发送一请求到LINUXSIR的80或8080端口(HTTP的缺省端口)。

Snoopy · 发表于 2003-3-26 12:26:45

那禁止所有人对我的22端口访问,除了把相应的服务关掉

iptables怎样禁止,,比如我要192.168.112.里面的人禁止对我22的

访问,除了192.168.112.99,,,,我知道这个很简单,但我需要例子

可以说得深点吗???iptables的drop是怎样的??

比如别人来个包对我80,但我用80禁止了所有人访问

别人来包时,,,iptables是怎样禁止?

在内存是怎样的???iptables禁止80端口,对小型的ddos禁止得掉吗

谢谢,,,

BTworm · 发表于 2003-3-26 13:38:08

兄弟，我看到你发了不少关于iptables的贴子，我也回了几个。如果你真想仔细研究的话，还是自己钻研一下吧，这样问来问去是学不到什么的。

www.netfilter.org

有些HOWTO和一些人写的例子，仔细看一下，会有很大收获的。另外，MANPAGE也应该读一下。

Snoopy · 发表于 2003-3-26 14:11:15

恩,,谢谢你了,,,再问一个吧,,有没办法伪造同机房人的ip发报文

BTworm · 发表于 2003-3-27 09:46:02

I服了U！
这个是iptables解决不了的。2.4.20内核里有伪造IP的功能，但我不直到怎么用，这次你真要考自己了。有了收获别忘了通知哥们一声。

Snoopy · 发表于 2003-3-27 12:51:56

一定,,,那iptables的forward是不是转到哪里??

比如:A开httpd,但这是b的ip,可以这样么?

访问b时,它本身没有开http,而是转到A去,,,可以这样实现的吗?

		自动登录	找回密码
密码			注册