构筑Linux防火墙之个人用户设置防火墙
作者:z苏苏575 | 来源:互联网 | 2017-11-07 13:16
文章标题:构筑Linux防火墙之个人用户设置防火墙。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类
作为例子,我们来为一个普通家庭用户创建一个防火墙。假设该家庭用户一般将自己的计算机用于Internet浏览、电子邮件等。我们所要做的就是允许所有必须的连接通过,而禁止所有不相关的连接。以下是防火墙配置文件的内容: 1 *filter 2 :INPUT DROP [0:0] 3 :FORWARD DROP [0:0] 4 :OUTPUT DROP [0:0] 5 6 # 允许本地loopback连接 7 -A INPUT -i lo -j ACCEPT 8 9 # drop非法连接 10 -A INPUT -m state --state INVALID -j DROP 11 -A OUTPUT -m state --state INVALID -j DROP 12 -A FORWARD -m state --state INVALID -j DROP 13 14 # 允许所有已经建立的和相关的连接 15 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 16 -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 17 18 # 允许连接的ISP的DNS服务器 19 -A OUTPUT -d 2.3.4.10 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT 20 -A OUTPUT -d 2.3.4.11 -m state --state NEW -p udp --dport 53 -o eth0 -j ACCEPT 21 22 # 允许向外连接到Web服务器 23 -A OUTPUT -d 0/0 -m state --state NEW -p tcp --dport http -o eth0 -j ACCEPT 24 -A OUTPUT -m state --state NEW -p tcp --dport https -o eth0 -j ACCEPT 25 26 # 允许向外连接到ISP的SMTP和POP3服务器 27 -A OUTPUT -d 2.3.4.5 -m state --state NEW -p tcp --dport smtp -o eth0 -j ACCEPT 28 -A OUTPUT -d 2.3.4.5 -m state --state NEW -p tcp --dport pop3 -o eth0 -j ACCEPT 29 30 # 记录其它试图向外进行的连接 31 -A OUTPUT -o eth0 -j LOG 32 # 缺省情况下是DROP向外的连接 33 34 COMMIT 有关具体命令行的意义参照上文很容易就可以理解,这里就不在赘述。事实上,只要熟悉了某一特定环境下防火墙的设置,我们就可以比较容易地为其它的应用环境创建相应的防火墙。 编后语: 这里,我们介绍了在Linux上使用iptables创立防火墙的基本方法。实际上,由于需求不同,因此并不存在什么完全的防火墙指南。我们只能在了解了基本概念和术语后再自己进行深入的学习。 随着计算机技术的发展,系统安全日益成为一个熟悉而又陌生的话题。因为,现在的计算机世界正日渐成为网络功能的技术集合,但是从概念上来看,网络和安全又是根本矛盾的。网络的设计目的是尽可能地实现一台计算机的开放性,而安全则要尽可能地实现一台计算机的封闭性。 因此,在现实中讨论的安全性,实际上是要在二者中寻找到一个平衡点,一个让用户可以接受的平衡点。从这个意义上讲,计算机安全是一个无穷无尽的主题,因此,在计算机领域没有终极的安全方案。也就是说,对于计算机来说,安全本身就是一个相对的概念。 此外,建议学习一些有关TCP/IP方面的知识。如果想要了解更全面的有关iptables的知识,可以查看以下链接,这是一个非常不错的iptables教程: http://iptables-tutorial.frozentux.net/
推荐阅读
Kubernetes 在云原生环境中的应用日益广泛,然而集群管理的复杂性也随之增加。为了提高管理效率,本文推荐了七款专业工具,这些工具不仅能够简化日常操作,还能提升系统的稳定性和安全性。从自动化部署到监控和故障排查,这些工具覆盖了集群管理的各个方面,帮助管理员更好地应对挑战。 ...
[详细]
蜡笔小新 2024-11-07 17:01:31
小王详解:内部网络中最易理解的NAT原理剖析,挑战你的认知极限 ...
[详细]
蜡笔小新 2024-11-07 15:11:42
在探讨REST与RPC这两种API架构风格的选择时,本文首先介绍了RPC(远程过程调用)的概念。RPC允许客户端通过网络调用远程服务器上的函数或方法,从而实现分布式系统的功能调用。相比之下,REST(Representational State Transfer)则基于资源的交互模型,通过HTTP协议进行数据传输和操作。本文将详细分析两种架构风格的特点、适用场景及其优缺点,帮助开发者根据具体需求做出合适的选择。 ...
[详细]
蜡笔小新 2024-11-07 12:00:58
SQL Server 2008 默认使用1433端口进行通信,但有时会误认为是5432端口,后者实际上已被IANA(互联网号码分配机构)指定为PostgreSQL的默认端口。本文详细解析了SQL Server 2008的端口配置,并提供了增强安全性的配置建议,包括更改默认端口、启用防火墙规则和实施严格的访问控制策略,以减少潜在的安全风险。 ...
[详细]
蜡笔小新 2024-10-29 09:26:10
端口转发(Port Forwarding)类似于服务重定向,许多路由器中也称其为虚拟服务器(Virtual Server)。通过合理配置端口转发,可以实现外部网络对内部网络中特定设备和服务的高效访问,从而提高通信效率和灵活性。此外,正确设置端口转发还能增强网络安全,确保只有授权的流量能够进入内网,有效防止未授权访问和潜在威胁。 ...
[详细]
蜡笔小新 2024-10-24 14:06:09
作为软件工程专业的学生,我深知课堂上教师讲解速度之快,很多时候需要课后自行消化和巩固。因此,撰写这篇Java Web开发入门教程,旨在帮助初学者更好地理解和掌握基础知识。通过详细记录学习过程,希望能为更多像我一样在基础方面还有待提升的学员提供有益的参考。 ...
[详细]
蜡笔小新 2024-11-07 13:36:27
本文详细探讨了HTTPS协议在保障Web安全中的重要作用。首先分析了HTTP协议的不足之处,包括数据传输过程中的安全性问题和内容加密的缺失。接着介绍了HTTPS如何通过使用公钥和私钥的非对称加密技术以及混合加密机制,确保数据的完整性和机密性。最后强调了HTTPS的安全性和可靠性,为现代网络通信提供了坚实的基础。 ...
[详细]
蜡笔小新 2024-11-07 11:43:59
在 CentOS 7 中,为了扩展可用软件包的数量,通常需要配置多个第三方软件源。这些第三方源包括 EPEL、Nux Dextop 和 ELRepo 等,它们提供了大量官方源中未包含的软件包,从而增强了系统的功能性和灵活性。通过正确配置这些源,用户可以轻松安装和管理更多种类的软件,满足不同的需求。 ...
[详细]
蜡笔小新 2024-11-07 10:18:48
在JavaWeb项目架构中,NFS(网络文件系统)的实现与优化是关键环节。NFS允许不同主机系统通过局域网共享文件和目录,提高资源利用率和数据访问效率。本文详细探讨了NFS在JavaWeb项目中的应用,包括配置、性能优化及常见问题的解决方案,旨在为开发者提供实用的技术参考。 ...
[详细]
蜡笔小新 2024-11-06 15:58:12
《我的世界》Java版与Windows 10版(基岩版)有何不同? ...
[详细]
蜡笔小新 2024-11-05 17:51:34
西北工业大学作为陕西省三所985和211高校之一,虽然在农业和林业领域不如某些顶尖院校,但在航空航天领域的实力尤为突出。该校的计算机科学专业在科研和教学方面也具有显著优势,是考研的理想选择。 ...
[详细]
蜡笔小新 2024-10-29 19:04:10
Nmap 是一款强大的网络扫描工具,能够高效地进行主机发现、端口扫描和服务识别。它不仅能够检测网络中活跃的主机,还能详细列出这些主机上开放的端口及其对应的服务和版本信息。此外,Nmap 还具备操作系统指纹识别和硬件地址探测功能,为网络安全评估提供了全面的数据支持。 ...
[详细]
蜡笔小新 2024-10-29 16:33:30
本文详细探讨了 PyQt5 中 QTextEdit 组件在 Python 多功能 GUI 库中的应用与实现。PyQt5 是 Qt 框架的 Python 绑定,提供了超过 620 个类和 6000 个函数及方法,广泛应用于跨平台应用程序开发。QTextEdit 作为其中的重要组件,支持丰富的文本编辑功能,如富文本格式、文本高亮和自定义样式等。PyQt5 的流行性不仅在于其强大的功能,还在于其易用性和灵活性,使其成为开发复杂用户界面的理想选择。 ...
[详细]
蜡笔小新 2024-10-28 23:56:36
网宿科技正式宣布全面兼容最新QUIC (HTTP/3)协议标准 ...
[详细]
蜡笔小新 2024-10-24 20:04:16
在网络通信中,大多数数据交换依赖于TCP/IP协议,该协议以IP地址为基础。因此,计算机在互联网上进行通信时,主要通过如“202.96.134.133”这样的IP地址来识别目标设备。然而,为了提高用户体验和便于记忆,DNS(域名系统)应运而生,将易于理解的域名转换为IP地址,确保高效且准确的网络连接。本文详细解析了DNS解析的整个流程,包括域名查询、缓存机制及递归解析等关键环节,帮助读者深入了解这一核心网络技术。 ...
[详细]
蜡笔小新 2024-10-24 16:07:50