CentOS 의 기본 iptables 규칙 을 조심 하 십시오.

3944 단어 iptablesICMPfilteredunfiltered
오늘 nmap 실험 을 할 때 iptables 가 열 리 면 모든 탐측 이 filered 가 되 었 습 니 다.
[[email protected] 23:00 ~]
#nmap -sA -p 53,80,3306 192.168.10.129

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-10-04 23:01 PDT
Interesting ports on CentOS.2 (192.168.10.129):
PORT     STATE    SERVICE
53/tcp   filtered domain
80/tcp   filtered http
3306/tcp filtered mysql
MAC Address: 00:0C:29:42:99:CF (VMware)

Nmap finished: 1 IP address (1 host up) scanned in 0.094 seconds
 
iptables 를 보 니 기본 규칙 에 다음 이 있 습 니 다.
  
[[email protected] 23:06 ~]
#iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255 
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 
 
    바로 'REJECT all - 0.0.0.0 / 0 0.0.0.0 / 0 reject - with icmp - host - prohibited' 라 는 문장 으로 nmap 탐지 icmp 응답 을 차단 했다.
    우 리 는 / etc / sysconfig / iptables 의 인 자 를 수정 해 야 합 니 다. 기본 값 은 다음 과 같 습 니 다.
  
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

 
 
    우 리 는 단지 "- A RH - Firewall - 1 - INPUT - j REJECT -- reject - wish icmp - host - prohibited" 이 용 "\ #" 호 를 주석 하면 icmp 의 관련 기능 을 열 수 있다.
    테스트 는 다음 과 같 습 니 다:
[[email protected] 23:00 ~]
#nmap -sA -p 53,80,3306 192.168.10.129

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-10-04 23:00 PDT
Interesting ports on CentOS.2 (192.168.10.129):
PORT     STATE      SERVICE
53/tcp   UNfiltered domain
80/tcp   UNfiltered http
3306/tcp UNfiltered mysql
MAC Address: 00:0C:29:42:99:CF (VMware)

Nmap finished: 1 IP address (1 host up) scanned in 0.084 seconds

 
 
--------------------------------------------------------------------
sudo apt - get update 출현: 공개 키 가 없어 서 다음 서명 을 검증 할 수 없습니다: NOPUBKEY F42ED6FBAB17C 654 다운로드 불가http://packages.ros.org/ros...
curl 명령 으로 파일 다운로드 속도 가 져 오기

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다
best100-homepage