实现8个功能 最好能帮忙简单说下怎么测试这八个功能和简单注释1. reject all ftp packets from external networks, but still allow internal ftp.2. allow ssh remote connections but deny telnet.3. deny ping.4. reject all traffic coming to port 21 and 80.5. reject all traffic coming to all UDP ports (see if you can block all of them, if youcannot then try to block some UDP ports).6. block all email coming in and out of your network. Internal email is allowed.7. block all traffic from two particular networks. You can pick any two networks youlike.8. allow traffic coming to a particular port but reject traffic coming out through that port.
答案:
iptabls规则是从上往下应用,当找到能通过的规则,不管下面是否有规则冲突,也一样通过eth0 连接内部网络的网卡eth1 连接外部网络的网卡lo 本地环路1,丢弃所有来自外网的ftp包,内网例外iptables -A -i lo -j ACCEPT(允许本机内部所有网络通信,必须的)iptables -A -i eht0 -p tcp --dport 21 -j ACCEPT(在本机开放21端口,即ftp控制端口)iptables -A -i eth0 -p tcp --dport 20 -j ACCEPT(在本机开放20端口,即ftp传输端口)iptables -A -i eth1 -j DROP(禁止所有数据包通过){禁止外部ftp}2,允许ssh禁止telnetiptables -A -i lo -j ACCEPT(允许本机内部所有网络通信,必须的)iptables -A -i eth0 -p tcp --dport 22 -j ACCEPTiptables -A -i eth1 -p tcp --dport 22 -j ACCEPT(在本机开放22端口,即ssh服务端口)iptables -A -i eth1 -p tcp --dport 23 -j DROP(在本机关闭23端口,即telnet服务端口)或者用iptables -A -i eth0 -j DROP3,禁止使用ping命令,ping本机iptables -A -p icmp --icmp-type 8 -s 0/0 -j DROP(0/0所有网络)iptables -A -p icmp --icmp-type 0 -s 0/0 -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1(本机ip) -j DROPiptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.29.1 -j ACCEPT这样的配置是你能ping别人,别人不能ping你4,禁止访问21端口(ftp)和80端口(web)iptables -A -i eth1 -p tcp --dprot 21 -j DROPiptables -A -i eth0 -p tcp --dprot 21 -j DROPiptables -A -i eth1 -p tcp --dprot 80 -j DROPiptables -A -i eth0 -p tcp --dprot 80 -j DROP5,禁止所有udp端口iptables -A -i eth0 -p udp -j DROPiptables -A -i eth1 -p udp -j DROP6,禁止外部邮件通信,内部允许(禁止pop3,110和smtp,25) iptables -A -i eth0 -p tcp --dprot 25 -j ACCEPTiptables -A -i eth0 -p tcp --dprot 110 -j ACCEPTiptables -A OUTPUT -i eth1 -p tcp --sprot 25 -j DROPiptables -A OUTPUT -i eth1 -p tcp --sprot 110 -j DROP7,禁止2个特定网络访问本机iptables -A -i eth1 -s 192.168.1.0/24 -j DROPiptables -A -i eth1 -s 172.16.0.0/16 -j DROP8,允许从特的端口进入,但禁止对外iptables -A -i eht1 --dport [端口号] -j ACCEPTiptables -A OUTPUT -i eht1 --dport [端口号] -j DROP
