iptables過濾telnet

Ⅰ linux如何在打開防火牆的狀態下讓別的客戶端telnet

需要注意iptables的鏈順序
-A INPUT -j REJECT --reject-with icmp-host-prohibited這種拒絕全部的需要放到最尾巴，就是
-A INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT必須在上面那個鏈的下面，不能追加在最尾巴
不然是拒絕全部埠先生效，你定義的23埠開放實際上是被屏蔽了。。。語文不好，湊合看吧。。。

給你個我的eg：
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 50000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A FORWARD -m tcp -p tcp --dport 8080 -j ACCEPT
-A FORWARD -m tcp -p tcp --dport 1521 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Ⅱ 某單位想用防火牆對 telnet 協議的命令進行限制，應選在什麼類型的防火牆

根據網路體系結構來進行的分類，可以有以下幾種類型的防火牆： 1.網路級防火牆 一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。 先進的網路級防火牆可以判斷這一點，它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。 下面是某一網路級防火牆的訪問控制規則： (1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1； (2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet(23口)到主機150.0.0.2上； (3)允許任何地址的E-mail(25口)進入主機150.0.0.3； (4)允許任何WWW數據（80口）通過； (5)不允許其他數據包進入。 網路級防火牆簡潔、速度快、費用低，並且對用戶透明，但是對網路的保護很有限，因為它只檢查地址和埠，對網路更高協議層的信息無理解能力。 2.應用級網關 應用級網關就是我們常常說的「代理伺服器」，它能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。但每一種協議需要相應的代理軟體，使用時工作量大，效率不如網路級防火牆。 常用的應用級防火牆已有了相應的代理伺服器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等，但是，對於新開發的應用，尚沒有相應的代理服務，它們將通過網路級防火牆和一般的代理服務。 應用級網關有較好的訪問控制，是目前最安全的防火牆技術，但實現困難，而且有的應用級網關缺乏"透明度"。在實際使用中，用戶在受信任的網路上通過防火牆訪問Internet時，經常會發現存在延遲並且必須進行多次登錄（Login） 才能訪問Internet或Intranet。 3.電路級網關 電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。 實際上電路級網關並非作為一個獨立的產品存在，它與其他的應用級網關結合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等產品。另外，電路級網關還提供一個重要的安全功能：代理伺服器（ProxyServer） ，代理伺服器是個防火牆，在其上運行一個叫做"地址轉移"的進程，來將所有你公司內部的IP地址映射到一個"安全"的IP地址，這個地址是由防火牆使用的。但是，作為電路級網關也存在著一些缺陷，因為該網關是在會話層工作的，它就無法檢查應用層級的數據包。 4.規則檢查防火牆 該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣， 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合公司網路的安全規則。 規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/服務機模式來分析應用層的數據， 它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。 目前在市場上流行的防火牆大多屬於規則檢查防火牆，因為該防火牆對於用戶透明，在OSI最高層上加密數據，不需要你去修改客戶端的程序，也不需對每個需要在防火牆上運行的服務額外增加一個代理。

Ⅲ Linux下telnet服務如何限制用戶和主機。

telnet服務沒這么多功能，甚至連獨立作為一個服務的能力都沒有，更沒有獨立的配置文件了

如果你想讓telnet服務允許root遠程登錄，執行下面的命令
mv /etc/securetty /etc/securetty.bak
如果你想限制訪問telnet服務的遠程主機IP，方法有兩個：

方法1：把不允許的IP地址寫到/etc/hosts.deny，或者把僅允許的IP寫到/etc/hosts.allow（註：其他一些服務也使用這兩個文件內容來限制允許/不允許的IP地址，所以這個方法不是一個好方法，下面的比較好）

方法2：
執行下面命令將阻止某IP訪問telnet服務
iptables -t filter -I INPUT -p tcp -s 要限制的IP地址 --dport 23 -j DROP
執行下面命令將「僅允許」某IP訪問telnet服務
iptables -t filter -A INPUT -p tcp -s 要允許的IP地址 --dport 23 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 23 -j DROP

至於對mac地址作限制，沒啥意義（MAC地址是可以手工更改的，windows, linux都可以），如果需要，可以用iptables來作：
下面命令會禁止MAC地址XX:XX:XX:XX:XX:XX訪問本機的一切服務。
iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

PS: telnet的「不安全」可不像人們說的「PPTP不安全」那麼吹毛求疵，你簡單的抓一下包，就明白了，帳號和密碼清清楚楚的標在裡面。除了學校那些過期的書本上，沒人用telnet登錄伺服器，大家都用ssh的。
iptables是不保存的，如果你確定要使用哪條iptables命令，可以把它寫入/etc/rc.d/rc.local裡面，這樣就可以開機自動執行了。
需要更詳細的命令的話可以給我發個信息。

Ⅳ 啟動iptables，伺服器無法向外telnet

添加這條試一下
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ⅳ linux 除22埠外都訪問不通 設置iptables啟動失敗

一、查看哪些埠被打開 netstat -anp
二、關閉埠號內:iptables -A INPUT -p tcp --drop 埠號-j DROP
iptables -A OUTPUT -p tcp --dport 埠號-j DROP
三、打開端容口號：iptables -A INPUT -ptcp --dport 埠號-j ACCEPT
四、以下是linux打開埠命令的使用方法。
nc -lp 23 &(打開23埠，即telnet)
netstat -an | grep 23 (查看是否打開23埠)
五、linux打開埠命令每一個打開的埠，都需要有相應的監聽程序才可以

Ⅵ 為什麼打開iptables，本機無法telnet 3306埠了

看你用的CentOS，執行以下命令：
iptables -F
iptables -A INPUT -i lo -j ACCEPT <-----你缺少這個，導致的。
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21107 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -j DROP

如果版確認沒問題權了，執行
mv /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
iptables-save >/etc/sysconfig/iptables

Ⅶ 要一本至少包含SSH，telnet，iptables等等基本網路操作的書籍。最好中文，最好講得深入一點，鳥哥私房...

一本書能夠嗎。多幾本還差不多

Ⅷ 如何使用 IPTables 限制Ip訪問

可以先去下載tuziip軟體使用就能換個IP地址訪問的
手機電腦都支持連接使用的哦

Ⅸ linux telnet 連接拒絕

1、你的復內網地址在變動導致連制接斷開
2、ssh設置了連接超時自動斷開
3、伺服器上查看 iptables -L -n 看看是否有限制 ,/etc/host.deny 也有可能
4、其他原因
不是很清楚.1沒遇到過

Ⅹ 如何​在伺服器端使用iptables設置防火牆功能

iptables傳輸數據包的過程
① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。
② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。
③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。（）

iptables命令格式
iptables的命令格式較為復雜，一般的格式如下：
iptables [-t table] 命令 [chain] [rules] [-j target]
table——指定表明
命令——對鏈的操作命令
chain——鏈名
rules——規則
target——動作如何進行

1．表選項
表選項用於指定命令應用於哪個iptables內置表，iptables內置包括filter表、nat表、mangle表和raw表。

2．命令選項iptables命令格式
命令 說明
-P或–policy <鏈名> 定義默認策略
-L或–list <鏈名> 查看iptables規則列表
-A或—append <鏈名> 在規則列表的最後增加1條規則
-I或–insert <鏈名> 在指定的位置插入1條規則
-D或–delete <鏈名> 從規則列表中刪除1條規則
-R或–replace <鏈名> 替換規則列表中的某條規則
-F或–flush <鏈名> 刪除表中所有規則
-Z或–zero <鏈名> 將表中數據包計數器和流量計數器歸零

3．匹配選項
匹配 說明
-i或–in-interface <網路介面名> 指定數據包從哪個網路介面進入，如ppp0、eth0和eth1等
-o或–out-interface <網路介面名> 指定數據包從哪塊網路介面輸出，如ppp0、eth0和eth1等
-p或—proto協議類型 < 協議類型> 指定數據包匹配的協議，如TCP、UDP和ICMP等
-s或–source <源地址或子網> 指定數據包匹配的源地址
–sport <源埠號> 指定數據包匹配的源埠號，可以使用「起始埠號:結束埠號」的格式指定一個范圍的埠
-d或–destination <目標地址或子網> 指定數據包匹配的目標地址
–dport目標埠號 指定數據包匹配的目標埠號，可以使用「起始埠號:結束埠號」的格式指定一個范圍的埠

4．動作選項
動作 說明
ACCEPT 接受數據包
DROP 丟棄數據包
REDIRECT 與DROP基本一樣，區別在於它除了阻塞包之外， 還向發送者返回錯誤信息。
SNAT 源地址轉換，即改變數據包的源地址
DNAT 目標地址轉換，即改變數據包的目的地址
MASQUERADE IP偽裝，即是常說的NAT技術，MASQUERADE只能用於ADSL等撥號上網的IP偽裝，也就是主機的IP是由ISP分配動態的；如果主機的IP地址是靜態固定的，就要使用SNAT
LOG 日誌功能，將符合規則的數據包的相關信息記錄在日誌中，以便管理員的分析和排錯
iptables命令格式（）

iptables過濾條件（）

iptables的語法
1．定義默認策略
當數據包不符合鏈中任一條規則時，iptables將根據該鏈預先定義的默認策略來處理數據包，默認策略的定義格式如下。
iptables [-t表名] <-P> <鏈名> <動作> ?參數說明如下。
[-t表名]：指默認策略將應用於哪個表，可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認使用filter表。
<-P>：定義默認策略。
<鏈名>：指默認策略將應用於哪個鏈，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
<動作>：處理數據包的動作，可以使用ACCEPT（接受數據包）和DROP（丟棄數據包）。
2．查看iptables規則
查看iptables規則的命令格式為：
iptables [-t表名] <-L> [鏈名]
參數說明如下。
[-t表名]：指查看哪個表的規則列表，表名用可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認查看filter表的規則列表。
<-L>：查看指定表和指定鏈的規則列表。
[鏈名]：指查看指定表中哪個鏈的規則列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING，如果不指明哪個鏈，則將查看某個表中所有鏈的規則列表。
3．增加、插入、刪除和替換規則
相關規則定義的格式為：
iptables [-t表名] <-A | I | D | R> 鏈名 [規則編號] [-i | o 網卡名稱] [-p 協議類型] [-s 源IP地址 | 源子網] [--sport 源埠號] [-d目標IP地址 | 目標子網] [--dport目標埠號] <-j動作>
參數說明如下。
[-t表名]：定義默認策略將應用於哪個表，可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認使用filter表。
-A：新增加一條規則，該規則將會增加到規則列表的最後一行，該參數不能使用規則編號。
-I：插入一條規則，原本該位置上的規則將會往後順序移動，如果沒有指定規則編號，則在第一條規則前插入。
-D：從規則列表中刪除一條規則，可以輸入完整規則，或直接指定規則編號加以刪除。
-R：替換某條規則，規則被替換並不會改變順序，必須要指定替換的規則編號。
<鏈名>：指定查看指定表中哪個鏈的規則列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
[規則編號]：規則編號用於插入、刪除和替換規則時用，編號是按照規則列表的順序排列，規則列表中第一條規則的編號為1。
[-i | o 網卡名稱]：i是指定數據包從哪塊網卡進入，o是指定數據包從哪塊網卡輸出。網卡名稱可以使用ppp0、eth0和eth1等。
[-p 協議類型]：可以指定規則應用的協議，包含TCP、UDP和ICMP等。
[-s 源IP地址 | 源子網]：源主機的IP地址或子網地址。
[--sport 源埠號]：數據包的IP的源埠號。
[-d目標IP地址 | 目標子網]：目標主機的IP地址或子網地址。
[--dport目標埠號]：數據包的IP的目標埠號。
<-j動作>：處理數據包的動作，各個動作的詳細說明可以參考前面的說明。
4．清除規則和計數器
在新建規則時，往往需要清除原有的、舊的規則，以免它們影 ?響新設定的規則。如果規則比較多，一條條刪除就會十分麻煩， ?這時可以使用iptables提供的清除規則參數達到快速刪除所有的規 ?則的目的。
定義參數的格式為：
iptables [-t表名] <-F | Z>
參數說明如下。
[-t表名]：指定默認策略將應用於哪個表，可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認使用filter表。
-F：刪除指定表中所有規則。
-Z：將指定表中的數據包計數器和流量計數器歸零。
NAT的定義
NAT英文全稱是Network Address Translation，稱是網路地址轉換，它是一個IETF標准，允許一個機構以一個地址出現在Internet上。NAT將每個區域網節點的地址轉換成一個IP地址，反之亦然。它也可以應用到防火牆技術里，把個別IP地址隱藏起來不被外界發現，使外界無法直接訪問內部網路設備，同時，它還幫助網路可以超越地址的限制，合理地安排網路中的公有Internet 地址和私有IP地址的使用。
NAT的類型
靜態NAT(Static NAT)
靜態NAT設置起來最為簡單和最容易實現的一種，內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址。
動態地址NAT(Pooled NAT)
動態地址NAT是在外部網路中定義了一系列的合法地址，採用動態分配的方法映射到內部網路。
動態地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用於撥號，對於頻繁的遠程聯接也可以採用動態NAT。
網路地址埠轉換NAPT（Port－Level NAT）
NAPT是把內部地址映射到外部網路的一個IP地址的不同埠上。
最熟悉的一種轉換方式。NAPT普遍應用於接入設備中，它可以將中小型的網路隱藏在一個合法的IP地址後面。NAPT與動態地址NAT不同，它將內部連接映射到外部網路中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP埠號。

iptables實例
禁止客戶機訪問不健康網站
【例1】添加iptables規則禁止用戶訪問域名為www.sexy.com的網站。
iptables -I FORWARD -d www.sexy.com -j DROP
【例2】添加iptables規則禁止用戶訪問IP地址為20.20.20.20的網站。
iptables -I FORWARD -d 20.20.20.20 -j DROP
禁止某些客戶機上網
【例1】添加iptables規則禁止IP地址為192.168.1.X的客戶機上網。
iptables -I FORWARD -s 192.168.1.X -j DROP
【例2】添加iptables規則禁止192.168.1.0子網里所有的客戶機上網。
iptables -I FORWARD -s 192.168.1.0/24 -j DROP
禁止客戶機訪問某些服務
【例1】禁止192.168.1.0子網里所有的客戶機使用FTP協議下載。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 21 -j DROP
【例2】禁止192.168.1.0子網里所有的客戶機使用Telnet協議連接遠程計算機。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 23 -j DROP
強制訪問指定的站點
【例】強制所有的客戶機訪問192.168.1.x這台Web伺服器。
iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.x:80
禁止使用ICMP協議
【例】禁止Internet上的計算機通過ICMP協議ping到NAT伺服器的ppp0介面，但允許內網的客戶機通過ICMP協議ping的計算機。
iptables -I INPUT -i ppp0 -p icmp -j DROP
發布內部網路伺服器
【例1】發布內網10.0.0.3主機的Web服務，Internet用戶通過訪問防火牆的IP地址即可訪問該主機的Web服務。
iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT –to-destination 10.0.0.3:80
【例2】發布內網10.0.0.3主機的終端服務（使用的是TCP協議的3389埠），Internet用戶通過訪問防火牆的IP地址訪問該機的終端服務。
iptables -t nat -I PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 10.0.0.3:3389

案例詳解
【案例1】做為客戶端/終端的基本配置 ?DNS PING LO
【案例2】做為服務端的基本配置：SSH DNS WWW FTP EMAIL （）
【案例3】做為網關的基本配置：SSH DNS WWW FTP EMAIL NAT ）SNAT DNAT）限速 （）
【案例4】狀態檢測（）