通州北大青鳥校區學術部老師提供:
擴展閱讀:
通州北大青鳥校區:Linux的iptables入門教程--設置靜態防火墻之一
通州北大青鳥校區:Linux的iptables入門教程--設置靜態防火墻 之二
8、復雜嗎?到此iptables可以按你的要求進行包過濾了。你可以再設定一些端口,允許你的機器訪問這些端口。這樣有可能,你不能訪問QQ,也可能不能打網絡游戲,是好是壞,還是要看你自己而定了。順便說一下,QQ這個東西還真是不好控制,用戶與服務器連接使用的好像是8888端口,而QQ上好友互發消息使用的又是udp的4444端口(具體是不是4444還不太清楚)。而且QQ還可以使用www的80端口進行登錄并發消息,看來學無止境,你真的想把這個家伙控制住還不容易呢?還是進入我們的正題吧。(通州北大青鳥校區)
如果你的機器是服務器,怎么辦?
9、如果不巧你的機器是服務器,并且要提供www服務。顯然,以上的腳本就不能符合我們的要求了。但只要你撐握了規則,稍作修改同樣也能很好的工作。在最后面加上一句
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
這一句也就是將自己機器上的80端口對外開放了,這樣internet上的其他人就能訪問你的www了。當然,你的www服務器得工作才行。如果你的機器同時是smtp和pop3服務器,同樣的再加上兩條語句,將--dport后面的80改成25和110就行了。如果你還有一個ftp服務器,呵呵,如果你要打開100個端口呢……
我們的工作好像是重復性的打入類似的語句,你可能自己也想到了,我可以用一個循環語句來完成,對,此處可以有效的利用shell腳本的功能,也讓你體驗到了shell腳本語言的威力。看下文:(通州北大青鳥校區)
10、用腳本簡化你的工作,閱讀下面的腳本. (通州北大青鳥校區)
#!/bin/bash
# This is a script
# Edit by liwei
# establish a static firewall
# define const here(通州北大青鳥校區)
Open_ports="80 25 110 10" # 自己機器對外開放的端口
Allow_ports="53 80 20 21" # internet的數據可以進入自己機器的端口
#init
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP #we can use another method to instead it
iptables -A INPUT -i ! ppp0 -j ACCEPT
# define ruler so that some data can come in.
for Port in "Allow_ports" ; do
iptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
done
for Port in "Open_ports" ; do
iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
done
這個腳本有三個部分(最前面的一段是注釋,不算在這三部分中)(通州北大青鳥校區)
第一部分是定義一些端口:訪問你的機器"Open_ports"端口的數據,允許進入;來源是"Allow_ports"端口的數據,也能夠進入。(通州北大青鳥校區)
第二部分是iptables的初始化,第三部分是對定義的端口具體的操作。(通州北大青鳥校區)
如果以后我們的要求發生了一些變化,比如,你給自己的機器加上了一個ftp服務器,那么只要在第一部分"Open_ports"的定義中,將ftp對應的20與21端口加上去就行了。呵呵,到此你也一定體會到了腳本功能的強大的伸縮性,但腳本的能力還遠不止這些呢!(通州北大青鳥校區)(未完待續)
