高级搜索|网站地图|TAG标签RSS订阅[设为首页] [加入收藏]

搜索

热门标签:

当前位置: > Linux发行版 > Debian >

debian iptables配置步骤

时间:2016-07-25 15:55来源:linux.it.net.cn 作者:IT
debian iptables配置步骤



1、增加规则
在mysql主从设备上执行以下红色命令
iptables -A INPUT -p tcp -s 192.168.0.196/32 -d 192.168.0.199 –dport 3300 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.120/32 -d 192.168.0.199 –dport 3300 -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.0.199 –dport 3300 -j LOG –log-prefix “iptables denied: ” –log-level 4
iptables -A INPUT -p tcp -d 192.168.0.199 –dport 3300 -j REJECT
以下为相关命令的解释:
#允许特定主机连接mysql
#iptables -A INPUT -p tcp -s 192.168.0.196/32 -d 192.168.0.199–dport 3300 -j ACCEPT
#iptables -A INPUT -p tcp -s 192.168.0.120/32 -d 192.168.0.199–dport 3300 -j ACCEPT
#记录拒绝的连接到log中,log-level 4 is warning
#iptables -A INPUT -p tcp -d 192.168.0.199 –dport 3300 -j LOG –log-prefix “iptables denied: ” –log-level 4
#拒绝数据包,发起方提示连接失败
#iptables -A INPUT -p tcp -d 192.168.0.199 –dport 3300 -j REJECT
###以下几条规则便于今后参考,在配置中暂不使用。
#drop掉数据包,发起方无反应
#iptables -A INPUT -p tcp -d 192.168.206.121 –dport 3300 -j DROP
#查看iptables的规则匹配情况
#iptables -L -v
#查看日志
#tail -f /var/log/messages
#删除第几条规则
#iptables -D INPUT 1


2、保存规则到配置文件
# iptables-save >/etc/iptables.mysql.rules


3、保存规则到开机自启动iptables的配置文件
# iptables-save >/etc/iptables.mysql.up.rules



4、创建iptables的开机自启动文件
# vi /etc/network/if-pre-up.d/iptables
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.mysql.up.rules



5、给iptables的开机自启动文件增加执行权限
# chmod +x /etc/network/if-pre-up.d/iptables


6、将deny的数据包写入到/var/log/iptables.log
# vi /etc/rsyslog.conf
##for log denied ip packets to /var/log/iptables.log,not to default /var/log/messages.
kern.warning /var/log/iptables.log
重启日志进程
# /etc/init.d/rsyslog restart
查看log是否生效
#tail -f /var/log/iptables.log



7、配置完成,进行相应测试。

分别在不同的机器上测试

#mysql -uusername -p123456 -h192.168.0.199 -P3300

检查匹配数据包的个数

# iptables -L -v -n
Chain INPUT (policy ACCEPT 853K packets, 70M bytes)
pkts bytes target prot opt in out source destination
6 422 ACCEPT tcp — * * 192.168.0.196 192.168.0.199 tcp dpt:3300
453 28893 ACCEPT tcp — * * 192.168.0.120 192.168.0.199 tcp dpt:3300
1 60 LOG tcp — * * 0.0.0.0/0 192.168.0.199 tcp dpt:3300 LOG flags 0 level 4 prefix `iptables denied: ‘
1 60 REJECT tcp — * * 0.0.0.0/0 192.168.0.199 tcp dpt:3300 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 748K packets, 481M bytes)
pkts bytes target prot opt in out source destination


检查iptables拒绝数据包的log

# tail -f /var/log/iptables.log
Nov 18 14:08:51 db199 kernel: [199125.557827] iptables denied: IN=eth0 OUT= MAC=00:18:8b:e5:87:af:84:2b:2b:60:ab:d8:08:00 SRC=192.168.0.234 DST=192.168.0.199 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=15617 DF PROTO=TCP SPT=43469 DPT=3300 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 18 14:25:21 db199 kernel: [200332.168071] iptables denied: IN=eth0 OUT= MAC=00:18:8b:e5:87:af:00:1a:30:3c:24:00:08:00 SRC=124.128.18.161 DST=192.168.0.199 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=43242 DF PROTO=TCP SPT=15472 DPT=3300 WINDOW=5840 RES=0x00 SYN URGP=0

(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容
热点内容
免责申明 - 版权申明

Copyright © 2014 - 2022 IT网 版权所有 www.it.net.cn IT网.com IT网.cn Linux学习 IT.LINK