iptables安装与工作使用记录
1.准备(必备)
centos安装telnet-server,默认启动23端口,通过telnet客户端可以连接telent-server服务器,正常执行linux的操作,但是因为telnet在网络上是通过明文传输的,不安全,所以升级完ssh之后需要重新关闭telnet-server服务。
执行步骤
yum install -y telnet-server xinetd
telnet-server托管于linux的超级进程xinetd,配置xinetd,执行
vi /etc/xinetd.d/telnet
如果文件不存在的话则新建文件,如果文件存在,检查disable
参数是否设置为no
,如果是yes
,则改为no
service telnet
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
disable = no
}
重启xinetd
service xinetd restart
#或者根据操作系统的版本不同
systemctl restart xinetd
查看telnet端口是否启动,看到23端口(默认)也有可能是其他端口 即正常启动
netstat -ntlp |grep xinetd
默认情况下,telnet不允许root远程登录,我们此处使用普通用户登录telnet,如果需要root权限,用普通用户登录 通过su root
切换至root即可
2.使用iptables先关闭自带的防火墙
sudo systemctl stop firewall.service
sudo systemctl disable firewall.service
3.安装与设置开机启用iptables:
sudo yum install iptables-services
sudo systemctl restart iptables.service
sudo systemctl enable iptables.service
4.端口拦截的使用
# 清除规则链中已有的条目
iptables -F
# 比如需要限制22端口
iptables -A INPUT -s 172.16.140.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 10.209.192.131/32 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable
iptables -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
# 保存并重启
service iptables save
service iptables restart
# 查看生效规则
iptables -vxnL
5.如果没问题,则关闭telnet-server,避免不安全的漏洞
service xinetd stop
rpm -e telnet-server xinetd