開啟、關閉端口


轉至:http://www.wuwenhui.cn/3514.html
轉至:https://www.cnblogs.com/yaradish/p/10491845.html
轉至:https://blog.csdn.net/gyxinguan/article/details/95103945
轉至:https://www.cnblogs.com/shenyiyangle/p/10503754.html

 

一、linux下開啟和禁用不同端口

1、關閉所有的 INPUT FORWARD OUTPUT 只對某些端口開放。
下面是命令實現:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

再用命令

 iptables -L -n

查看 是否設置好, 好看到全部 DROP 了

這樣的設置好了,我們只是臨時的, 重啟服務器還是會恢復原來沒有設置的狀態
還要使用 service iptables save 進行保存

service iptables save

看到信息 firewall rules 防火牆的規則 其實就是保存在 /etc/sysconfig/iptables

可以打開文件查看 vi /etc/sysconfig/iptables

 

2、下面我只打開22端口,看我是如何操作的,就是下面2個語句

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

再查看下 iptables -L -n 是否添加上去, 看到添加了

復制代碼
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:22
Chain FORWARD (policy DROP)
target     prot opt source               destination
Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp spt:22復制代碼
復制代碼

現在Linux服務器只打開了22端口,用putty.exe測試一下是否可以鏈接上去。
可以鏈接上去了,說明沒有問題。

最后別忘記了保存 對防火牆的設置
通過命令:service iptables save 進行保存

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

針對這2條命令進行一些講解吧
-A 參數就看成是添加一條 INPUT 的規則
-p 指定是什么協議 我們常用的tcp 協議,當然也有udp 例如53端口的DNS
到時我們要配置DNS用到53端口 大家就會發現使用udp協議的
而 --dport 就是目標端口 當數據從外部進入服務器為目標端口
反之 數據從服務器出去 則為數據源端口 使用 --sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收

3、禁止某個IP訪問
1台Linux服務器,2台windows xp 操作系統進行訪問
Linux服務器ip: 192.168.1.99
xp1 ip: 192.168.1.2
xp2 ip: 192.168.1.8

下面看看2台xp 都可以訪問的

192.168.1.2 這是 xp1 可以訪問的,
192.168.1.8 xp2 也是可以正常訪問的。

那么現在我要禁止 192.168.1.2 xp1 訪問, xp2 正常訪問,
下面看看演示

通過命令

 iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP

這里意思就是 -A 就是添加新的規則, 怎樣的規則呢? 由於我們訪問網站使用tcp的,

我們就用 -p tcp , 如果是 udp 就寫udp,這里就用tcp了, -s就是 來源的意思,
ip來源於 192.168.1.2 ,-j 怎么做 我們拒絕它 這里應該是 DROP

好,看看效果。好添加成功。下面進行驗證 一下是否生效

一直出現等待狀態 最后 該頁無法顯示 ,這是 192.168.1.2 xp1 的訪問被拒絕了。

再看看另外一台 xp 是否可以訪問, 是可以正常訪問的 192.168.1.8 是可以正常訪問的


4、如何刪除規則
首先我們要知道 這條規則的編號,每條規則都有一個編號

通過 iptables -L -n --line-number 可以顯示規則和相對應的編號

1
2
3
4
5
6
iptables -L -n --line-number
 
num target     prot opt  source                destination
1    DROP       tcp -- 0.0.0.0 /0             0.0.0.0 /0            tcp dpt:3306
2    DROP       tcp -- 0.0.0.0 /0             0.0.0.0 /0            tcp dpt:21
3    DROP       tcp -- 0.0.0.0 /0             0.0.0.0 /0            tcp dpt:80

多了 num 這一列, 這樣我們就可以 看到剛才的規則對應的是 編號2

那么我們就可以進行刪除了

iptables -D INPUT 2

刪除INPUT鏈編號為2的規則。

再 iptables -L -n 查看一下 已經被清除了。


5、過濾無效的數據包
假設有人進入了服務器,或者有病毒木馬程序,它可以通過22,80端口像服務器外傳送數據。
它的這種方式就和我們正常訪問22,80端口區別。它發向外發的數據不是我們通過訪問網頁請求
而回應的數據包。

下面我們要禁止這些沒有通過請求回應的數據包,統統把它們堵住掉。

iptables 提供了一個參數 是檢查狀態的,下面我們來配置下 22 和 80 端口,防止無效的數據包。

iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

可以看到和我們以前使用的:

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

多了一個狀態判斷。

同樣80端口也一樣, 現在刪掉原來的2條規則,

iptables -L -n --line-number 

查看規則而且帶上編號。我們看到編號就可以

刪除對應的規則了。

iptables -D OUTPUT 1 

這里的1表示第一條規則。

當你刪除了前面的規則, 編號也會隨之改變。

好,我們刪除了前面2個規則,22端口還可以正常使用,說明沒問題了

下面進行保存,別忘記了,不然的話重啟就會還原到原來的樣子。

service iptables save

進行保存。

Saving firewall rules to /etc/sysconfig/iptables:          [ OK ]
其實就是把剛才設置的規則寫入到 /etc/sysconfig/iptables 文件中。


6、DNS端口53設置
下面我們來看看如何設置iptables來打開DNS端口,DNS端口對應的是53

目前只開放22和80端口, 我現在看看能不能解析域名。

hostwww.google.com   

輸入這個命令后,一直等待,說明DNS不通

出現下面提示 :
;; connection timed out; no servers could be reached

ping 一下域名也是不通

[root@localhost ~]#pingwww.google.com
ping: unknown hostwww.google.com

我這里的原因就是 iptables 限制了53端口。

有些服務器,特別是Web服務器減慢,DNS其實也有關系的,無法發送包到DNS服務器導致的。

下面演示下如何使用 iptables 來設置DNS 53這個端口,如果你不知道 域名服務端口號,你

可以用命令 : 

grep domain /etc/services

 

[root@localhost] ~ #grep domain /etc/services
domain          53/tcp                          # name-domain server
domain          53/udp
domaintime      9909/tcp                        # domaintime
domaintime      9909/udp                        # domaintime

看到了吧, 我們一般使用 udp 協議。

好了, 開始設置。。。

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

這是我們 ping 一個域名,數據就是從本機出去,所以我們先設置 OUTPUT,

我們按照ping這個流程來設置。

然后 DNS 服務器收到我們發出去的包,就回應一個回來

iptables -A INPUT -p udp --sport 53 -j ACCEPT

同時還要設置

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT

好了, 下面開始測試下, 可以用 iptables -L -n 查看設置情況,確定沒有問題就可以測試了

[root@localhost ~iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     udp -- 0.0.0.0/0            0.0.0.0/0           udp spt:53
ACCEPT     udp -- 0.0.0.0/0            0.0.0.0/0           udp dpt:53

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp spt:22 state ESTABLISHED
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp spt:80 state ESTABLISHED
ACCEPT     udp -- 0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     udp -- 0.0.0.0/0            0.0.0.0/0           udp spt:53

可以測試一下 是否 DNS 可以通過iptables 了。

復制代碼
[root@localhost ~]#hostwww.google.com
www.google.comis an alias forwww.l.google.com.
www.l.google.comis an alias for www-china.l.google.com.
www-china.l.google.com has address 64.233.189.104
www-china.l.google.com has address 64.233.189.147
www-china.l.google.com has address 64.233.189.99
復制代碼

正常可以解析 google 域名。

ping 方面可能還要設置些東西。

用 nslookup 看看吧

[root@localhost ~]#nslookup >www.google.com Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: www.google.comcanonical name =www.l.google.com. www.l.google.com canonical name = www-china.l.google.com. Name: www-china.l.google.com Address: 64.233.189.147 Name: www-china.l.google.com Address: 64.233.189.99 Name: www-china.l.google.com Address: 64.233.189.104

說明本機DNS正常, iptables 允許53這個端口的訪問。

7、iptables對ftp的設置
現在我開始對ftp端口的設置,按照我們以前的視頻,添加需要開放的端口
ftp連接端口有2個 21 和 20 端口,我現在添加對應的規則。

[root@localhost root]#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@localhost root]#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
[root@localhost root]#iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[root@localhost root]#iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

 

好,這樣就添加完了,我們用瀏覽器訪問一下ftp,出現超時。
所以我剛才說 ftp 是比較特殊的端口,它還有一些端口是 數據傳輸端口,
例如目錄列表, 上傳 ,下載 文件都要用到這些端口。
而這些端口是 任意 端口。。。 這個 任意 真的比較特殊。
如果不指定什么一個端口范圍, iptables 很難對任意端口開放的,
如果iptables允許任意端口訪問, 那和不設置防火牆沒什么區別,所以不現實的。
那么我們的解決辦法就是 指定這個數據傳輸端口的一個范圍。
下面我們修改一下ftp配置文件。
我這里使用vsftpd來修改演示,其他ftp我不知道哪里修改,大家可以找找資料。

[root@localhost root]#vi /etc/vsftpd.conf

 

在配置文件的最下面 加入

pasv_min_port=30001
pasv_max_port=31000

 

然后保存退出。

這兩句話的意思告訴vsftpd, 要傳輸數據的端口范圍就在30001到31000 這個范圍內傳送。

這樣我們使用 iptables 就好辦多了,我們就打開 30001到31000 這些端口。

[root@localhost root]#iptables -A INPUT -p tcp --dport 30001:31000 -j ACCEPT
[root@localhost root]#iptables -A OUTPUT -p tcp --sport 30001:31000 -j ACCEPT
[root@localhost root]#service iptables save

最后進行保存, 然后我們再用瀏覽器范圍下 ftp。可以正常訪問

用個賬號登陸上去,也沒有問題,上傳一些文件上去看看。

上傳和下載都正常。 再查看下 iptables 的設置

[root@localhost root]#iptables -L -n

 

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp dpt:22
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp dpt:21
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp dpt:20
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp dpts:30001:31000

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp spt:22
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp spt:21
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp spt:20
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0          tcp spts:30001:31000

這是我為了演示ftp特殊端口做的簡單規則,大家可以添加一些對數據包的驗證
例如 -m state --state ESTABLISHED,RELATED 等等要求更加高的驗證

以此來記錄編程之路,偶爾需要靜下心來寫點東西。

 

二、Server 2008 禁用本地端口的兩種方法

Windows系統默認情況下很多端口都是開放的。通過關閉某些端口,可以在一定程度上提高Windows系統的安全性,特別是對於服務器來說。

 

通過命令“netstat -an”可以知道系統當前監聽的端口。

在Windows server 2008系統上,有兩種途經可以禁用本地端口:

1、通過Windows防火牆(比較簡單,設置方便)

2、通過IP安全策略(比較復雜,功能強大,不依賴防火牆)

 

一、通過Windows防火牆禁用端口:

1、點擊 “控制面板-Windows防火牆”,確保啟用了Windows防火牆。在左邊欄點擊“高級設置”,系統會自動彈出Windows防火牆高級配置窗口。

2、點擊“入站規則”,然后再點“新建規則…”,在向導窗口中選擇要創建的規則類型,這里選“端口”,點擊“下一步”。

3、接下來選擇你要禁用的網絡類型(TCP或者UDP),在“特定本地端口”寫入你要禁用的端口,例如“80”,然后下一步。選擇“阻止連接”,下一步,應用規則看情況修改,可以維持不變,繼續下一步,填寫名稱“禁用80端口”,點擊完成。

4、到這里應該就完成了,默認情況下新建的規則會直接啟用。如果沒有,那么右鍵 “啟用規則”即可。

 

二、通過IP安全策略禁用端口:

1、點擊“控制面板-管理工具”,打開“本地安全策略”。在左邊欄點擊“IP安全策略,在本地計算機”,然后在右邊的空白處右鍵,選擇“創建IP安全策略”,將彈出IP安全策略向導。

 

 

 

2、點下一步,填寫名稱“禁用80端口策略”,然后下一步,不要改動,繼續下一步,點擊完成。

3、系統彈出“屬性”對話框。取消右下角“使用添加向導”的勾選,然后再點擊“添加”,隨后彈出“新規則屬性”對話框,點擊“添加”,又彈出了“IP篩選列表”,填寫名稱“禁用80端口”,在頁面中取消“使用添加向導”的勾選,然后點“添加”,將彈出“IP篩選器屬性”。

 

 

4、進入“篩選器屬性”對話框,源地址選“任何IP地址”,目標地址選“任何IP地址或者我的IP地址(這個看個人需求)”。接下來點擊“協議”選項卡,在“選擇協議類型”中選擇“TCP”,到此端口填“80”,接着點擊“描述”選項卡,填寫描述“禁用80”,點擊“確定”。

5、在“新規則屬性”對話框中,選中“禁用80端口”然后點擊其左邊的復選框,表示已經激活。然后點擊“篩選器操作”選項卡中,取消“使用添加向導”的勾選,點擊“添加”按鈕,在“新篩選器操作屬性”的“安全方法”選項卡中,選擇“阻止”,然后點擊 “確定”。接着點擊“阻止操作”左邊的復選框,然后點擊“確定”。

 

 

6、最后“新IP安全策略屬性”對話框,在“禁用80端口策略”左邊打鈎,按確定關閉對話框。在“本地安全策略”窗口,鼠標右鍵新添加的IP安全策略,然后選擇“分配”。

 

 

 

 

 

 

 

 

 

 

 

 

三、Linux查看端口命令

第一種:

lsof -i:端口號

 

第二種:

netstat -nltp | grep 端口號

-a:顯示本機所有連接和監聽地端口

-n:網絡IP地址的形式,顯示當前建立的有效連接和端口

-r:顯示路由表信息

-s:顯示按協議的統計信息

-v:顯示當前有效的連接

-t:顯示所有TCP協議連接情況

-u:顯示所有UDP協議連接情況

-i:顯示自動配置端口的狀態

-l:僅僅顯示連接狀態為listening的服務網絡狀態

-p:顯示pid/program name

 

TCP連接的幾種狀態

             ESTABLISHED    已建立

             CLOSED   已關閉

              LISTENING  正在監聽

              FIN-WAIT-2   等待連接關閉

              TIME-WAIT   等待足夠時間,確保服務器正常關閉該連接
————————————————
版權聲明:本文為CSDN博主「tiny@ant」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/gyxinguan/article/details/95103945

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM