马哥教育网络班21期+第14周课程练习

系统的INPUT和OUTPUT默认策略为DROP;

1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;

INPUT链

# iptables -I INPUT 1 -p tcp --dport 80 -m connlimit ! --connlimit-above 100 -m time ! --weekdays Mon -j ACCEPT

OUTPUT链

# iptables  -I OUTPUT 1 -p tcp --sport 80 -m string --string "admin" --algo kmp -j REJECT

#iptables -I OUTPUT 2 -m state --state ESTABLISHED,RELATED -j ACCEPT

2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;

INPUT链

# iptables -I INPUT 1 -s 172.16.0.0/16 -p tcp --dport 21 -m connlimit ! --connlimit-above 5 -j ACCEPT

OUTPUT链

# iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务器端口离开本机;

INPUT链

# iptables -I INPUT 1 -p tcp --dport 22 -m iprange --src-range 172.16.53.1-172.16.53.100 -mlimit --limit 2/minute -j ACCEPT

OUTPUT链

# iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

4、拒绝tcp标志位全部为1及全部为0的报文访问本机;

INPUT链

# iptables -I INPUT 1 -p tcp --tcp-flags ALL ALL -j DROP
# iptables -I INPUT 2 -p tcp --tcp-flags ALL -j DROP

5、允许本机ping别的主机;但不开放别的主机ping本机;

INPUT链

# iptables -I INPUT 1 -p icmp --icmp-type 0 -j ACCEPT

OUTPUT链

# iptables -I OUTPUT 1 -p icmp --icmp--type 8 -j ACCEPT

6、判断下列规则的意义:

# iptables -N clean_in
新建一条自定义链“clean_in”
# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP 
丢弃所有同一物理网段或子网及172.16网络的icmp

# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP 
丢弃tcp标记除syn以外所有连接状态为新建的数据包
# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP
# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
防止tcp NULL扫描
# iptables -A clean_in -d 172.16.100.7 -j RETURN
停止执行当前链中目标地址为172.16.100.7的后续Rules,并返回到调用链中

原创文章,作者:Jeason,如若转载,请注明出处:http://www.178linux.com/58302

(0)
上一篇 2016-11-14 08:27
下一篇 2016-11-14 08:28

相关推荐

  • 26期全程班-第三周博客作业

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。     # who | cut -d” ” -f 1 | sort -u   2、取出最后登录到当前系统的用户的相关信息。     # id `last …

    Linux干货 2017-02-18
  • Linux内核编译以及自制Linux系统

    内核编译 单内核体系设计、但充分借鉴了微内核设计体系的优点,为内核引入模块化机制。   内核组成部分: kernel: 内核核心,一般为bzImage,通常在/boot目录下,名称为vmlinuz-VERSION-RELEASE; kernel object: 内核对象,一般放置于/lib/modules/VERSION-RELEASE/ [ ]:…

    2016-09-21
  • 学习标准I/O和管道的心得体会

    重定向、标准输出、标准输入、标准错误、管道的命令整理

    2017-11-20
  • 用户与权限管理

    用户与权限管理      昨天学完了用户与权限管理,讲解了用户的运行机制和权限的作用。 用户的产生来源于3A机制:    认证(Authentication):就是验证用户身份的。    授权(Authorization) :验证完身份后,…

    2017-07-27
  • DevOpsDays大会,818坐标上海,我们来啦!!!

    DevOpsDays 818, 坐标上海, DevOpsDays上海大会, 我们来啦!!! 我们来啦!!! 我们来啦!!! 重要的事情说三遍。 标签: 运维  移动开发  IT技术  DevOps  2008年的敏捷会议上,Andrew Clay Shafer 和 Patrick Debois 讨论了关于“敏…

    Linux干货 2017-08-10
  • CentOS6主机启动流程

    CentOS6主机启动流程 流程 一台Linux主机从开机到登录界面提示输入账号密码的时间中进行了好多动作,了解这些动作有助于了解Linux系统的过程,并能够对开机过程出现的故障进行troubleshooting。 主机启动后最先运行的是主板阶段,一旦电源开启,主板进行POST加点自检动作,自检完成后无故障,主板会读取BIOS信息,根据BIOS信息中的Boo…

    Linux干货 2017-05-13

评论列表(1条)

  • 马哥教育
    马哥教育 2016-11-16 15:48

    写的很好, 期待你以后的佳作