免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux新手园地 Linux文档专区 iptables for centos 4.4(简装版)
最近访问板块 发新帖
查看: 1108 | 回复: 0
打印 上一主题 下一主题

iptables for centos 4.4(简装版) [复制链接]

zzymonk

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2007-03-23 17:38 |只看该作者 |倒序浏览
iptables for centos 4.4(简装版)
1、修改参数
vi /etc/rc.local
echo "1" > /proc/sys/net/ipv4/ip_forward
启用转发
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
禁ping
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
简搞DDOS
2、添加外网IP(eth0为外网卡)
-rw-r--r--  1 root root   170 Nov  7 14:26 ifcfg-eth0
-rw-r--r--  1 root root    69 Nov  7 14:30 ifcfg-eth0:0
-rw-r--r--  1 root root    69 Nov  7 14:31 ifcfg-eth0:1
-rw-r--r--  1 root root    70 Nov  7 14:42 ifcfg-eth0:2
-rw-r--r--  1 root root    70 Nov  7 14:42 ifcfg-eth0:3
-rw-r--r--  1 root root    70 Nov  7 14:42 ifcfg-eth0:4
-rw-r--r--  1 root root    69 Nov 30 13:55 ifcfg-eth0:5
-rw-r--r--  1 root root    68 Dec  9 06:39 ifcfg-eth0:6
-rw-r--r--  1 root root   168 Nov  7 11:36 ifcfg-eth1
3、iptables 配置(218.55.88.210是假设的公网IP)
# Generated by iptables-save v1.2.11 on Fri Mar 23 13:06:06 2007
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [94:4722]
:OUTPUT ACCEPT [1461:157256]
:RH-Firewall-1-INPUT - [0:0]
[2400:250584] -A INPUT -j RH-Firewall-1-INPUT
[8:560] -A RH-Firewall-1-INPUT -i lo -j ACCEPT
[6:384] -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
[1962:180364] -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
[3:170] -A RH-Firewall-1-INPUT -s 218.55.88.210 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#只允许218.55.88.210访问本机SSH
[3:170] -A RH-Firewall-1-INPUT -s 218.55.88.210 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#只允许218.55.88.210访问本机WEB(mrtg)
[438:70091] -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Mar 23 13:06:06 2007
# Generated by iptables-save v1.2.11 on Fri Mar 23 13:06:06 2007
*nat
:PREROUTING ACCEPT [26:3922]
:POSTROUTING ACCEPT [3:177]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 218.55.88.219 -j DNAT --to-destination 192.168.0.219
#将192.168.0.219发布到外网IP为 218.55.88.219(很危险哦)
-A PREROUTING -s 218.55.88.210 -d 218.55.88.220 -p tcp -m tcp --dport 88 -j DNAT --to-destination 192.168.0.220
#将192.168.0.220 的80端口发布到外网IP 为218.55.88.210
[0:0] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to-source 218.55.88.219-218.55.88.222
#允许192.168.0.0可以通过218.55.88.219-218.55.88.222这几个公网IP动态负载访问互联网
COMMIT
# Completed on Fri Mar 23 13:06:06 2007
4、安装MRTG
yum install mrtg net-snmp-utils httpd ntp 
ntpdate 210.72.145.44
vi /etc/snmp/snmpd.conf
修两个地方
#       name           incl/excl     subtree         mask(optional)
view    systemview    included   .1.3.6.1.2.1.1
view    systemview    included   .1.3.6.1.2.1.25.1.1
view all   included  .1
# 定义一个可操作的范围(view)名, 这里是all,范围是 .1
#       group          context sec.model sec.level prefix read   write  notif
access  notConfigGroup ""      any       noauth    exact  all  none
#定义notConfigUser这个组在all这个view范围内可做的操作,这时定义了notConfigUser组的成员可对.1这个范围做只读操作
测试生成MRTG配置文件
#/usr/bin/cfgmaker –global ‘WorkDir: /var/www/mrtg’ –output /etc/mrtg/mrtg.cfg
public@127.0.0.1
执行indexmaker来生成统计页面
/usr/bin/indexmaker -output=/var/www/mrtg/index.html -title=”sofee.cn MRTG Graph” /etc/mrtg/mrtg.cfg
*/5 * * * * env LANG=C /usr/bin/mrtg /etc/mrtg/mrtg.cfg
3、自动更新系统
Fedora Core 中的 yum 包含了一个脚本,用以每日自动地更新整个系统。要激活每日的自动更新,输入命令:
su -c '/sbin/chkconfig --level 345 yum on; /sbin/service yum start'
手动更新
su -c 'yum update'
4、关闭没有的服务器
#ntsysv
acpid 提供高级电源管理
apmd Advanced Power Management,高级电源管理
autofs 实现光盘、软盘的自动加载
cups (PORT 631) Common UNIX Printing System,公共UNIX打印支持,为Linux提供打印功能
gpm gpm为文本模式下的Linux程序如mc(Midnight Commander)提供了鼠标的支持
irqbatance是否需要启动:如果你只安装了一个CPU,就不需要加载这个守护程序
netfs netfs Network Filesystem Mounter,安装和卸载NFS、SAMBA和NCP网络文件系统。网络文件共享服务器。
nfslock(启动netfs.此攻能有效,建意不启动
rawdevices在使用集群文件系统时用于加载raw设备的守护程序。
5、基本安装设置
  328  userdel adm
  329  userdel lp
  330  userdel sync
  331  userdel shutdown
  332  userdel halt
  333  userdel mail
  334  netstat -an
  335  netstat -ant
  336  userdel news
  337  userdel uucp
  338  userdel operator
  339  userdel games
  340  userdel gop
  341  userdel gopher
  342  userdel ftp
  343  groupdel adm
  344  groupdel lp
  345  groupdel mail
  346  groupdel news
  347  groupdel games
  348  groupdel dip
  349  groupdel pppusers
  350  groupdel popusers
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u1/33319/showart_263870.html
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP