debian iptables配置步骤

debian iptables配置步骤
一、iptables应具有的功能

1、满足上述第二条保证数据库安全的需求

2、对拒绝掉的数据包记录到log

3、机器重启后iptables 自动激活



二、配置步骤

1、增加规则

在mysql主从设备上执行以下红色命令

iptables -A INPUT -p tcp -s 192.168.0.196/32 -d 192.168.0.199 --dport 3300 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.0.120/32 -d 192.168.0.199 --dport 3300 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.0.199 --dport 3300 -j LOG --log-prefix "iptables denied: " --log-level 4

iptables -A INPUT -p tcp -d 192.168.0.199 --dport 3300 -j REJECT



以下为相关命令的解释：

#允许特定主机连接mysql

#iptables -A INPUT -p tcp -s 192.168.0.196/32 -d 192.168.0.199--dport 3300 -j ACCEPT

#iptables -A INPUT -p tcp -s 192.168.0.120/32 -d 192.168.0.199--dport 3300 -j ACCEPT

#记录拒绝的连接到log中，log-level 4 is warning

#iptables -A INPUT -p tcp -d 192.168.0.199 --dport 3300 -j LOG --log-prefix "iptables denied: " --log-level 4

#拒绝数据包，发起方提示连接失败

#iptables -A INPUT -p tcp -d 192.168.0.199 --dport 3300 -j REJECT

###以下几条规则便于今后参考，在配置中暂不使用。

#drop掉数据包，发起方无反应

#iptables -A INPUT -p tcp -d 192.168.206.121 --dport 3300 -j DROP

#查看iptables的规则匹配情况

#iptables -L -v

#查看日志

#tail -f /var/log/messages

#删除第几条规则

#iptables -D INPUT 1



2、保存规则到配置文件

# iptables-save >/etc/iptables.mysql.rules



3、保存规则到开机自启动iptables的配置文件

# iptables-save >/etc/iptables.mysql.up.rules



4、创建iptables的开机自启动文件

# vi /etc/network/if-pre-up.d/iptables

#!/bin/bash

/sbin/iptables-restore < /etc/iptables.mysql.up.rules



5、给iptables的开机自启动文件增加执行权限

# chmod +x /etc/network/if-pre-up.d/iptables



6、将deny的数据包写入到/var/log/iptables.log

# vi /etc/rsyslog.conf

##for log denied ip packets to /var/log/iptables.log,not to default /var/log/messages.

kern.warning /var/log/iptables.log

重启日志进程

# /etc/init.d/rsyslog restart

查看log是否生效

#tail -f /var/log/iptables.log



7、配置完成，进行相应测试。

分别在不同的机器上测试

#mysql -uusername -p123456 -h192.168.0.199 -P3300



检查匹配数据包的个数

# iptables -L -v -n

Chain INPUT (policy ACCEPT 853K packets, 70M bytes)

pkts bytes target prot opt in out source destination

6 422 ACCEPT tcp -- * * 192.168.0.196 192.168.0.199 tcp dpt:3300

453 28893 ACCEPT tcp -- * * 192.168.0.120 192.168.0.199 tcp dpt:3300

1 60 LOG tcp -- * * 0.0.0.0/0 192.168.0.199 tcp dpt:3300 LOG flags 0 level 4 prefix `iptables denied: '

1 60 REJECT tcp -- * * 0.0.0.0/0 192.168.0.199 tcp dpt:3300 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 748K packets, 481M bytes)

pkts bytes target prot opt in out source destination



检查iptables拒绝数据包的log

# tail -f /var/log/iptables.log

Nov 18 14:08:51 db199 kernel: [199125.557827] iptables denied: IN=eth0 OUT= MAC=00:18:8b:e5:87:af:84:2b:2b:60:ab:d8:08:00 SRC=192.168.0.234 DST=192.168.0.199 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=15617 DF PROTO=TCP SPT=43469 DPT=3300 WINDOW=5840 RES=0x00 SYN URGP=0

Nov 18 14:25:21 db199 kernel: [200332.168071] iptables denied: IN=eth0 OUT= MAC=00:18:8b:e5:87:af:00:1a:30:3c:24:00:08:00 SRC=124.128.18.161 DST=192.168.0.199 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=43242 DF PROTO=TCP SPT=15472 DPT=3300 WINDOW=5840 RES=0x00 SYN URGP=0