debian iptables配置步骤

 debian  iptables配置步骤

一、iptables应具有的功能
1、满足上述第二条保证数据库安全的需求
2、对拒绝掉的数据包记录到log
3、机器重启后iptables 自动激活

 

二、配置步骤

1、增加规则

在mysql主从设备上执行以下红色命令

iptables -A INPUT -p tcp  -s 192.168.0.196/32   -d 192.168.0.199 --dport 3300 -j ACCEPT

iptables -A INPUT -p tcp  -s 192.168.0.120/32  -d 192.168.0.199 --dport 3300 -j ACCEPT

iptables -A INPUT -p tcp  -d 192.168.0.199   --dport 3300 -j LOG  --log-prefix "iptables denied: " --log-level 4

iptables -A INPUT -p tcp  -d 192.168.0.199   --dport 3300 -j REJECT

 

以下为相关命令的解释：

#允许特定主机连接mysql

#iptables -A INPUT -p tcp -s 192.168.0.196/32   -d 192.168.0.199--dport 3300 -j ACCEPT

#iptables -A INPUT -p tcp -s 192.168.0.120/32  -d 192.168.0.199--dport 3300 -j ACCEPT

#记录拒绝的连接到log中，log-level 4 is warning

#iptables -A INPUT -p tcp  -d 192.168.0.199  --dport 3300 -j LOG  --log-prefix "iptables denied: " --log-level 4

#拒绝数据包，发起方提示连接失败

#iptables -A INPUT -p tcp  -d 192.168.0.199 --dport 3300 -j REJECT

###以下几条规则便于今后参考，在配置中暂不使用。

#drop掉数据包，发起方无反应

#iptables -A INPUT -p tcp  -d 192.168.206.121  --dport 3300 -j DROP

#查看iptables的规则匹配情况

#iptables -L -v 

#查看日志

#tail -f  /var/log/messages

#删除第几条规则

#iptables -D INPUT 1

 

2、保存规则到配置文件

# iptables-save >/etc/iptables.mysql.rules 

 

3、保存规则到开机自启动iptables的配置文件

# iptables-save >/etc/iptables.mysql.up.rules

 

4、创建iptables的开机自启动文件

# vi /etc/network/if-pre-up.d/iptables

#!/bin/bash

/sbin/iptables-restore < /etc/iptables.mysql.up.rules

 

5、给iptables的开机自启动文件增加执行权限

# chmod +x /etc/network/if-pre-up.d/iptables

 

6、将deny的数据包写入到/var/log/iptables.log

# vi /etc/rsyslog.conf 

##for log denied ip packets to /var/log/iptables.log,not to default /var/log/messages.

kern.warning  /var/log/iptables.log

重启日志进程

# /etc/init.d/rsyslog  restart

查看log是否生效

#tail -f  /var/log/iptables.log

 

7、配置完成，进行相应测试。

分别在不同的机器上测试

#mysql -uusername -p123456 -h192.168.0.199 -P3300

 

检查匹配数据包的个数

# iptables -L -v -n                       

Chain INPUT (policy ACCEPT 853K packets, 70M bytes)

 pkts bytes target     prot opt in     out     source               destination         

    6   422 ACCEPT     tcp  --  *      *       192.168.0.196       192.168.0.199      tcp dpt:3300 

  453 28893 ACCEPT     tcp  --  *      *       192.168.0.120      192.168.0.199      tcp dpt:3300 

    1    60 LOG        tcp  --  *      *       0.0.0.0/0            192.168.0.199      tcp dpt:3300 LOG flags 0 level 4 prefix `iptables denied: ' 

    1    60 REJECT     tcp  --  *      *       0.0.0.0/0            192.168.0.199      tcp dpt:3300 reject-with icmp-port-unreachable 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 748K packets, 481M bytes)

 pkts bytes target     prot opt in     out     source               destination        

 

检查iptables拒绝数据包的log

# tail -f  /var/log/iptables.log          

Nov 18 14:08:51 db199 kernel: [199125.557827] iptables denied: IN=eth0 OUT= MAC=00:18:8b:e5:87:af:84:2b:2b:60:ab:d8:08:00 SRC=192.168.0.234 DST=192.168.0.199 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=15617 DF PROTO=TCP SPT=43469 DPT=3300 WINDOW=5840 RES=0x00 SYN URGP=0 

Nov 18 14:25:21 db199 kernel: [200332.168071] iptables denied: IN=eth0 OUT= MAC=00:18:8b:e5:87:af:00:1a:30:3c:24:00:08:00 SRC=124.128.18.161 DST=192.168.0.199 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=43242 DF PROTO=TCP SPT=15472 DPT=3300 WINDOW=5840 RES=0x00 SYN URGP=0