iptables 和 SELinux 是Red Hat/ CentOS 的两个很有力的工具,如果配置的好就能起到对服务器进一步的保护作用,但是如果配置的不好往往会遭到管理员的抛弃。总有“老人”提醒我别开iptables和SELinux,但是我觉得既然开发出来还是可以加以利用的。

但是值得注意的是尽管iptables防火墙的功能很强大,但是有一个硬件防火墙还是很必要的。

因为有了其他设备,因此我既用不到转发也不用网络地址转换(NAT),我只要把握好让那些数据流可以进入哪些不能进入就行了。不过我不太清楚ROS(Router Operating System,软路由操作系统)是不是也有这个机制。

关于iptables的用法和注意事项,网上各大论坛和IT网站都进行了热烈的讨论和文章展示。在此就不赘述了!

  1. [root@localhost ~]# service iptables status 
  2. Table: nat 
  3. Chain PREROUTING (policy ACCEPT) 
  4. num  target     prot opt source               destination          
  5.  
  6. Chain POSTROUTING (policy ACCEPT) 
  7. num  target     prot opt source               destination          
  8.  
  9. Chain OUTPUT (policy ACCEPT) 
  10. num  target     prot opt source               destination          
  11.  
  12. Table: mangle 
  13. Chain PREROUTING (policy ACCEPT) 
  14. num  target     prot opt source               destination          
  15.  
  16. Chain INPUT (policy ACCEPT) 
  17. num  target     prot opt source               destination          
  18.  
  19. Chain FORWARD (policy ACCEPT) 
  20. num  target     prot opt source               destination          
  21.  
  22. Chain OUTPUT (policy ACCEPT) 
  23. num  target     prot opt source               destination          
  24.  
  25. Chain POSTROUTING (policy ACCEPT) 
  26. num  target     prot opt source               destination          
  27.  
  28. Table: filter 
  29. Chain INPUT (policy ACCEPT) 
  30. num  target     prot opt source               destination          
  31. 1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0            
  32. 2    ACCEPT     udp  --  10.0.0.0/8           0.0.0.0/0           udp dpt:53  
  33. 3    ACCEPT     tcp  --  10.0.0.0/8           0.0.0.0/0           tcp dpt:443  
  34. 4    ACCEPT     tcp  --  10.0.0.0/8           0.0.0.0/0           tcp dpt:80  
  35.  
  36. Chain FORWARD (policy ACCEPT) 
  37. num  target     prot opt source               destination          
  38. 1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0            
  39.  
  40. Chain OUTPUT (policy ACCEPT) 
  41. num  target     prot opt source               destination          
  42.  
  43. Chain RH-Firewall-1-INPUT (2 references) 
  44. num  target     prot opt source               destination          
  45. 1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            
  46. 2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255  
  47. 3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED  
  48. 4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22  
  49. 5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8006  
  50. 6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8007  
  51. 7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8008  
  52. 8    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080  
  53. 9    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8443  
  54. 10   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:111  
  55. 11   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:111  
  56. 12   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:892  
  57. 13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:892  
  58. 14   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:875  
  59. 15   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:875  
  60. 16   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:662  
  61. 17   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:662  
  62. 18   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2049  
  63. 19   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:32803  
  64. 20   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:32769  
  65. 21   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited  
  66.  
  67. [root@localhost ~]#