- 论坛徽章:
- 0
|
我在cent系统上做了iptable
具体规则如下:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j DROP
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP
-A RH-Firewall-1-INPUT -p 50 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 25 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 110 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 119 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 143 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 1080 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 3128 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 8080 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 1111 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 1935 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.203 --dport 3306 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 80 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 21 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 25 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 110 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 119 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 143 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 1080 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 3128 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 8080 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 1935 -j DROP
-A RH-Firewall-1-INPUT -p tcp -d 192.168.1.204 --dport 1111 -j ACCEPT
# -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 1935 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 1111 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
我修改了配置文件后重新加载了iptable服务:/etc/rc.d/init.d/iptables restart,可是用Xscan扫描我的服务器还是扫描出我系统开放了25、110、119、143、1080、3128的服务;并提示这些服务存在一定的安全隐患。
我后来还运行了/sbin/iptables -F /sbin/iptables -X /sbin/iptables -Z,可是我通过客户端还是能telnet到服务器的25、110、119、143、1080、3128的端口服务。。。。
各位大哥,帮我看看是不是我的iptable文件有问题,还是我少执行了什么脚本!!!
急急急!!!! |
|