标签汇整: Linux

Linux防火墙iptables基本使用方法

iptables是Linux上常用的防火墙软件，一般VPS系统里面默认都有集成。

1、安装iptables防火墙

如果没有安装iptables需要先安装，CentOS执行：
yum install iptables

Debian/Ubuntu执行：
apt-get install iptables
2、清除已有iptables规则
iptables -F
iptables -X
iptables -Z
3、开放指定的端口
#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 20 -j ACCEPT
#如果有其他端口的话，规则也类似，稍微修改上述语句就行
#禁止其他未允许的规则访问（注意：如果22端口未加入允许规则，SSH链接会直接断开。）
1）.用DROP方法
iptables -A INPUT -p tcp -j DROP
2）.用REJECT方法
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
4、屏蔽IP
#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
4、查看已添加的iptables规则
iptables -L -n

v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
x：在 v 的基础上，禁止自动单位换算（K、M） vps侦探
n：只显示IP地址和端口号，不将ip解析为域名

5、删除已添加的iptables规则

将所有iptables以序号标记显示，执行：
iptables -L -n –line-numbers

比如要删除INPUT里序号为8的规则，执行：
iptables -D INPUT 8
6、iptables的开机启动及规则保存

CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：
chkconfig –level 345 iptables on

将其加入开机启动。

CentOS上可以执行：service iptables save保存规则。

Debian/Ubuntu上iptables是不会保存规则的。

需要按如下步骤进行，让网卡关闭是保存iptables规则，启动时加载iptables规则。
如果当前用户不是root,即使使用了sudo,也会提示你没有权限,无法保存,所以执行本命令,你必须使用root用户.
可以使用sudo -i快速转到root,使用完成,请及时使用su username切换到普通帐户.
为了重启服务器后,规则自动加载,我们创建如下文件:
sudo vim /etc/network/if-pre-up.d/iptables#!/bin/bash
iptables-save > /etc/iptables.rules

添加执行权限。
chmod +x /etc/network/if-pre-up.d/iptables

附上基础规则：
*filter
:INPUT ACCEPT [106:85568]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [188:168166]
:RH-Firewall-1-INPUT – [0:0]
#允许本地回环接口(即运行本机访问本机)
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允许已建立的或相关连的通行
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
-A OUTPUT -j ACCEPT
#允许PPTP拨号到外网
-A INPUT -p tcp -m tcp –dport 1723 -j ACCEPT
#仅特定主机访问Rsync数据同步服务
-A INPUT -s 8.8.8.8/32 -p tcp -m tcp –dport 873 -j ACCEPT
#仅特定主机访问WDCP管理系统
-A INPUT -s 6.6.6.6/32 -p tcp -m tcp –dport 8080 -j ACCEPT
#允许访问SSH
-A INPUT -p tcp -m tcp –dport 1622 -j ACCEPT
#允许访问FTP
-A INPUT -p tcp -m tcp –dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 20 -j ACCEPT
#允许访问网站服务
-A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
#禁止所有未经允许的连接
-A INPUT -p tcp -j DROP
#注意：如果22端口未加入允许规则，SSH链接会直接断开。
#-A INPUT -j REJECT
#-A FORWARD -j REJECT
COMMIT

可以使用以下方法直接加载：
1、复制上面的规则粘贴到这里,保存本文件
sudo vim /etc/iptables.test.rules
2、把本规则加载,使之生效,注意,iptables不需要重启,加载一次规则就成了
sudo iptables-restore < /etc/iptables.test.rules 3、查看最新的配置,应该所有的设置都生效了. sudo iptables -L -n 4、保存生效的配置,让系统重启的时候自动加载有效配置（iptables提供了保存当前运行的规则功能） iptables-save > /etc/iptables.rules

======
转载自open-open.com

Linux端口转发和3389远程桌面等实用工具

1 则留言

介绍两个不错的Linux下的实用工具：

1、端口转发：rinetd
作用：转发到达指定端口的请求到另一个IP的指定端口
Ubuntu下可以直接使用apt-get进行安装，也可以从官方下载源码编译：http://www.boutell.com/rinetd/
使用方法：apt-get后默认自启，修改/etc/rinetd.conf并在末尾添加配置即可
格式为原目标IP 原端口转发目标IP 转发目标端口
例如：

0.0.0.0 5100 192.168.43.121 5100
0.0.0.0 80 192.168.43.121 80

1 2	0.0.0.0 5100 192.168.43.121 5100 0.0.0.0 80 192.168.43.121 80

表示转发所有连接该服务器5100和80端口的请求到192.168.43.121上。

2、Linux下连接Windows远程桌面：rdesktop
可以从官网下载后编译安装：http://www.rdesktop.org/
使用方法：rdesktop 192.100.129.201
具体参数可参看帮助说明，例如指定分辨率：rdesktop 192.100.129.201 -g 1440×768

以上，推荐给工作上有需要的人，也当作自己的笔记。
======
kujou_rin

Linux下查看pptpd等VPN拨入日志的方法

发布留言

使用pptpd和xl2tpd搭建VPN之后，会发现在/var/log下并没有详细的日志，在syslog中虽然有IP记录和拨入时间，但却没有帐户和连接等信息，当需要查看当前连接的用户，或者之前的使用日志则无从查起。
之前的文章中介绍过利用shell脚本对VPN拨入的PPP连接进行限速，原理是利用ppp拨入时会加载ip-up，事实上在ppp断开时也会加载ip-down。参考pptpd帮助可以得知其中可以使用的参数。因此可以用如下方法：
在ip-up结尾添加

echo "##################################" >> /var/log/pptpd.log
echo "Now User $PEERNAME is connected!!!" >> /var/log/pptpd.log
echo "##################################" >> /var/log/pptpd.log
echo "time: `date -d today +%F_%T`" >> /var/log/pptpd.log
echo "clientIP: $6" >> /var/log/pptpd.log
echo "username: $PEERNAME" >> /var/log/pptpd.log
echo "device: $1" >> /var/log/pptpd.log
echo "vpnIP: $4" >> /var/log/pptpd.log
echo "assignIP: $5" >> /var/log/pptpd.log

echo "##################################" >> /var/log/pptpd.log

echo "Now User $PEERNAME is connected!!!" >> /var/log/pptpd.log

echo "##################################" >> /var/log/pptpd.log

echo "time: `date -d today +%F_%T`" >> /var/log/pptpd.log

echo "clientIP: $6" >> /var/log/pptpd.log

echo "username: $PEERNAME" >> /var/log/pptpd.log

echo "device: $1" >> /var/log/pptpd.log

echo "vpnIP: $4" >> /var/log/pptpd.log

echo "assignIP: $5" >> /var/log/pptpd.log

在ip-down结尾添加

echo "#####################################" >> /var/log/pptpd.log
echo "Now User $PEERNAME is disconnected!!!" >> /var/log/pptpd.log
echo "#####################################" >> /var/log/pptpd.log
echo "time: `date -d today +%F_%T`" >> /var/log/pptpd.log
echo "clientIP: $6" >> /var/log/pptpd.log
echo "username: $PEERNAME" >> /var/log/pptpd.log
echo "device: $1" >> /var/log/pptpd.log
echo "vpnIP: $4" >> /var/log/pptpd.log
echo "assignIP: $5" >> /var/log/pptpd.log
echo "connect time: $CONNECT_TIME s" >> /var/log/pptpd.log
echo "bytes sent: $BYTES_SENT B" >> /var/log/pptpd.log
echo "bytes rcvd: $BYTES_RCVD B" >> /var/log/pptpd.log

echo "#####################################" >> /var/log/pptpd.log

echo "Now User $PEERNAME is disconnected!!!" >> /var/log/pptpd.log

echo "#####################################" >> /var/log/pptpd.log

echo "time: `date -d today +%F_%T`" >> /var/log/pptpd.log

echo "clientIP: $6" >> /var/log/pptpd.log

echo "username: $PEERNAME" >> /var/log/pptpd.log

echo "device: $1" >> /var/log/pptpd.log

echo "vpnIP: $4" >> /var/log/pptpd.log

echo "assignIP: $5" >> /var/log/pptpd.log

echo "connect time: $CONNECT_TIME s" >> /var/log/pptpd.log

echo "bytes sent: $BYTES_SENT B" >> /var/log/pptpd.log

echo "bytes rcvd: $BYTES_RCVD B" >> /var/log/pptpd.log

之后当连接拨入和断开时则写入日志，如果担心日志过大可以在crontab写一个自动清理脚本即可。

======
kujou_rin

利用shell脚本对VPN拨入的PPP连接进行限速

发布留言

　　在Linux下使用xl2tpd或pptpd架设VPN服务后，如果需要对拨入的用户进行限速可以用shell脚本实现。笔者使用tc进行限速，该命令一般默认于Linux中。Linux的VPN在每一个用户拨入后，会建立一个名为ppp+数字编号的连接并加载 /etc/ppp/ip-up 脚本，因此我们可以把限速的脚本写在这个文件里，每次ppp连接建立执行脚本为新连接应用限速规则。
　　具体方法是在ip-up的文件末尾加入如下几行：

down=400kbps
upload=400kbps
iprange=192.168.8.0/24
#down
/sbin/tc qdisc del dev $1 root
/sbin/tc qdisc add dev $1 root handle 2:0 htb
/sbin/tc class add dev $1 parent 2:1 classid 2:10 htb rate $down
/sbin/tc class add dev $1 parent 2:2 classid 2:11 htb rate 1024kbps
/sbin/tc qdisc add dev $1 parent 2:10 handle 1: sfq perturb 1
/sbin/tc filter add dev $1 protocol ip parent 2:0 u32 match ip dst $iprange flowid 2:10
#upload
/sbin/tc qdisc add dev $1 handle ffff: ingress
/sbin/tc filter add dev $1 parent ffff: protocol ip u32 match ip dst $iprange police rate $upload burst 100k drop flowid 2:11

down=400kbps

upload=400kbps

iprange=192.168.8.0/24

#down

/sbin/tc qdisc del dev $1 root

/sbin/tc qdisc add dev $1 root handle 2:0 htb

/sbin/tc class add dev $1 parent 2:1 classid 2:10 htb rate $down

/sbin/tc class add dev $1 parent 2:2 classid 2:11 htb rate 1024kbps

/sbin/tc qdisc add dev $1 parent 2:10 handle 1: sfq perturb 1

/sbin/tc filter add dev $1 protocol ip parent 2:0 u32 match ip dst $iprange flowid 2:10

#upload

/sbin/tc qdisc add dev $1 handle ffff: ingress

/sbin/tc filter add dev $1 parent ffff: protocol ip u32 match ip dst $iprange police rate $upload burst 100k drop flowid 2:11

　　其中down为下行速率，upload为上行速率，这里的400就是400k/s，iprange是你为拨入用户分配的ip位址，该位址以外的ip将不受限速规则影响。以上方式笔者在Ubuntu测试通过。