Linux防火墙设置-DNS服务器篇
? 親測可用,對于剛剛搭建了DNS服務器,需要開啟防火墻但又不知道該怎么設置的朋友,可以參考下面的內容,或者直接使用我下面給出的腳本程序。
????如果服務器是作為DNS服務器使用的,針對絕大多數的情況,為了開啟防火墻同時又能正常地提供相關的服務,一般的設置如下:
【1】第一步:清除默認防火墻規則
| 1 2 3 | iptables?-F iptables?-X iptables?-Z |
·參數說明:
-F:清除所有的已制定的規則
-X:清除所有用戶自定義的chain(應該說的是tables)
(擴展:table--Linux的iptables防火墻默認有三種表,Filter、NAT與Mangle,當然還有自定義的,其中Filter即是默認使用的表格,chain--條鏈,比如filter有INPUT、OUTPUT、FORWARD三條鏈)
-Z:將所有的chain的計數與流量統計清零
·設置原因:
filter的三條鏈中,默認策略都為ACCEPT,顯然對于INPUT來說,這是很危險的,可以使用命令iptables -L -n來查看默認設置,或者使用iptables-save命令(會列出更詳細的防火墻配置信息)。
【2】第二步:設置策略
| 1 2 3 | iptables?-P?INPUT?DROP iptables?-P?OUTPUT?ACCEPT iptables?-P?FORWARD?ACCEPT |
·設置原因:
DROP為丟棄,由1中可知,INPUT策略制定為DROP時才比較安全。
【3】第三步:根據所需服務制定各項規則
(1)將本機設置為信任設備
| 1 | iptables?-A?INPUT?-i?lo?-j?ACCEPT |
(2)制定ssh遠程連接規則
| 1 | iptables?-A(添加)?INPUT(鏈路)?-p(指定協議)?tcp(指定為TCP協議)?--dport(指定目標端口號)?22(指定目標端口號為22)?-j(指定操作)?ACCEPT(指定操作為接受) |
(3)制定dns服務規則
| 1 2 3 4 | iptables?-A?INPUT?-p?tcp?--dport?53?-j?ACCEPT iptables?-A?INPUT?-p?udp?--dport?53?-j?ACCEPT iptables?-A?INPUT?-p?tcp?--sport?53?-j?ACCEPT iptables?-A?INPUT?-p?udp?--sport?53?-j?ACCEPT |
·說明:
允許新的dns請求,同時允許以nslookup的方式來向服務器查詢,即以源端口號53來查詢dns信息。
(4)制定其它規則
| 1 | iptables?-A?INPUT?-p?icmp?-j?ACCEPT |
·說明:
可不用,但為了方便檢測服務器的網絡連通性,所以還是加上。
【4】寫入防火墻配置文件
| 1 | /etc/init.d/iptables?save |
·說明:
要保存,否則重啟服務器后上面所做的配置會失效。
完整的執行腳本如下:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | #!/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin;?export?PATH iptables?-F iptables?-X iptables?-Z iptables?-P?INPUT?DROP iptables?-P?OUTPUT?ACCEPT iptables?-P?FORWARD?ACCEPT iptables?-A?INPUT?-i?lo?-j?ACCEPT iptables?-A?INPUT?-p?tcp?--dport?22?-j?ACCEPT iptables?-A?INPUT?-p?tcp?--dport?53?-j?ACCEPT iptables?-A?INPUT?-p?udp?--dport?53??-j?ACCEPT iptables?-A?INPUT?-p?tcp?--sport?53??-j?ACCEPT iptables?-A?INPUT?-p?udp?--sport?53??-j?ACCEPT iptables?-A?INPUT?-p?icmp?-j?ACCEPT /etc/init.d/iptables?save |
保存為.sh文件,以管理員權限執行即可。
其它常用命令:
查看防火墻簡要配置
| 1 | iptables?-L?-n |
查看防火墻詳細配置
| 1 | iptables-save |
重要說明:
????進行防火墻的配置一定要格外小心,特別在遠程做配置時,如果不小心清除了已定義的規則,又把默認的INPUT規則設置為DROP,這時就沒有辦法遠程連接了,這點特別要注意。
總結
以上是生活随笔為你收集整理的Linux防火墙设置-DNS服务器篇的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C#事件浅淡(1)
- 下一篇: CDOJ1324-卿学姐与公主