在multipath设备上建立逻辑卷之后,lvm相关命令出现“found duplicate pv”提示的说明与解决方法
2012-08-21 10:17
507 查看
# vi /etc/sysconfig/iptabels
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
2.参考网址:
http://phorum.study-area.org/viewtopic.php?t=41142
3.使用 setup 设定规则 filter table 中除了预设的 INPUT 、 OUTPUT 及 FORWARD 外再自行建立了 RH-Firewall-1-INPUT。
4.将 INPUT 及 FORWARD 导向 RH-Firewall-1-INPUT 中。
注:INPUT是指进入本机;FORWARD是指由一个介面流向另一个介面(例:eth0 <--> eth1)。
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
5.完全接受 loopback interface 的封包(主机可以存取本身的所有服务项目)
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
6.允许主机可以接受 ping 等 icmp 封包
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
7.下面这叁行与ipv6 有关,(224.0.0.251 is a multicast address ... you can disable it if you don't want to use mdns ...)
注:可删除规则下列规则
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
8.网际网路印表机服务
631/tcp # Internet Printing Protocol
631/udp # Internet Printing Protocol
注:可删除规则下列规则
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
9.允许连线出去后对方主机回应进来的封包(包括主动式与被动式的ftp连线)。
当主机对外要建立连线时,远端主机势必也要回应封包到原主机,所以回应的封包是要被允许的。
-m state --state ESTABLISHED 扮演很重要角色,那就是允许连线出去后对方主机回应进来的封包。
RELATED 配合 ip_conntrack_ftp (ip_nat_ftp)模组 可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截
在 /etc/sysconfig/iptables-config 中加入
IPTABLES_MODULES="ip_conntrack_ftp"
重新啟动 iptables 服务即可载入指定的模组!
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
10.允许连线服的项目(tcp/1000、tcp/873、tcp/22、tcp/80等)
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 873 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
11.除了允许的服务外其它回应 icmp封包 「icmp-host-prohibited」
每个type所对应的讯息如下:
icmp-net-unreachable => Destination Net Unreachable
icmp-host-unreachable => Destination Host Unreachable
icmp-port-unreachable => Destination Port Unreachable
icmp-proto-unreachable => Destination Protocol Unreachable
icmp-net-prohibited => Dest Unreachable, Bad Code: 9
icmp-host-prohibited => Dest Unreachable, Bad Code: 10
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
本文出自 “让爱走吧~!” 博客,请务必保留此出处http://ylj798.blog.51cto.com/110701/1063409
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
2.参考网址:
http://phorum.study-area.org/viewtopic.php?t=41142
3.使用 setup 设定规则 filter table 中除了预设的 INPUT 、 OUTPUT 及 FORWARD 外再自行建立了 RH-Firewall-1-INPUT。
4.将 INPUT 及 FORWARD 导向 RH-Firewall-1-INPUT 中。
注:INPUT是指进入本机;FORWARD是指由一个介面流向另一个介面(例:eth0 <--> eth1)。
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
5.完全接受 loopback interface 的封包(主机可以存取本身的所有服务项目)
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
6.允许主机可以接受 ping 等 icmp 封包
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
7.下面这叁行与ipv6 有关,(224.0.0.251 is a multicast address ... you can disable it if you don't want to use mdns ...)
注:可删除规则下列规则
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
8.网际网路印表机服务
631/tcp # Internet Printing Protocol
631/udp # Internet Printing Protocol
注:可删除规则下列规则
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
9.允许连线出去后对方主机回应进来的封包(包括主动式与被动式的ftp连线)。
当主机对外要建立连线时,远端主机势必也要回应封包到原主机,所以回应的封包是要被允许的。
-m state --state ESTABLISHED 扮演很重要角色,那就是允许连线出去后对方主机回应进来的封包。
RELATED 配合 ip_conntrack_ftp (ip_nat_ftp)模组 可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截
在 /etc/sysconfig/iptables-config 中加入
IPTABLES_MODULES="ip_conntrack_ftp"
重新啟动 iptables 服务即可载入指定的模组!
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
10.允许连线服的项目(tcp/1000、tcp/873、tcp/22、tcp/80等)
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 873 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
11.除了允许的服务外其它回应 icmp封包 「icmp-host-prohibited」
每个type所对应的讯息如下:
icmp-net-unreachable => Destination Net Unreachable
icmp-host-unreachable => Destination Host Unreachable
icmp-port-unreachable => Destination Port Unreachable
icmp-proto-unreachable => Destination Protocol Unreachable
icmp-net-prohibited => Dest Unreachable, Bad Code: 9
icmp-host-prohibited => Dest Unreachable, Bad Code: 10
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
本文出自 “让爱走吧~!” 博客,请务必保留此出处http://ylj798.blog.51cto.com/110701/1063409
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Win8系统打开excel提示“向程序发送命令时出现问题”的解决方法
- 安装交叉编译工具,执行arm-linux-gcc –v命令出现提示找不到该文件或目录?解决方法(转)
- 安装交叉编译工具,执行arm-linux-gcc –v命令出现提示找不到该文件或目录?解决方法
- Error:System.Data.SqlClient.SqlException: 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误,请检查远程连接是否开启。解决方法
- 安装交叉编译工具,执行arm-linux-gcc –v命令出现提示找不到该文件或目录?解决方法
- Centos7 Minni 安装 执行ifconfig命令出现 -bash ifconfig command not found 的解决方法
- 出现命令提示apt-get -f install的解决方法
- 安装了Mathtype之后出现“打开对话框命令无法执行”解决方法!
- 安装交叉编译工具,执行arm-linux-gcc –v命令出现提示找不到该文件或目录?解决方法
- 安装交叉编译工具,执行arm-linux-gcc–v命令出现提示找不到该文件或目录?解决方法
- Word提示:“向程序发送命令时出现问题”解决方法
- 加入域提示“设备不识别此命令 或者提示:指定的网络名不可用”解决方法
- 安装交叉编译工具,执行arm-linux-gcc –v命令出现提示找不到该文件或目录?解决方法
- 安装交叉编译工具,执行arm-linux-gcc –v命令出现提示找不到该文件或目录?解决方法
- win10系统微软账户出现“设备数量已达上限”提示的解决方法
- Word提示:“向程序发送命令时出现问题”解决方法
- PyCharm中出现No tests were found的一种解决方法及PyCharm建立测试类的官方原文及翻译
- 服务器断电之后,SQL服务器登录不了,提示“在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误。未找到或无法访问”
- adb 相关命令 以及无法adb识别设备的解决方法
- 安装交叉编译工具,执行arm-linux-gcc –v命令出现提示找不到该文件或目录?解决方法