鳥哥的伺服器10 防火牆
-
TCP Wrappers
TCP Wrappers 是通過兩個檔案來管理的一個類似防火牆的機制
/etc/hosts.allow
/etc/hosts.deny
並非所有的軟體都可以通過這兩個檔案來管理,只有下面這兩個軟體才可以通過這兩個檔案來管理防火牆規則:
有 super daemon(xinetd) 所管理的服務
支援 libwrap.so 模組的服務# 查出系統有沒有安裝xinetd ,若沒有請安裝,安裝完畢後,查詢 xinitd 管理的服務有哪些。 [root@CentOS ~]# yum install xinetd [root@CentOS ~]# chkconfig xinetd on [root@CentOS ~]# chkconfig --list chargen-stream: off daytime-dgram: off daytime-stream: off discard-dgram: off discard-stream: off echo-dgram: off echo-stream: off rsync: off tcpmux-server: off time-dgram: off #上述都可以由 TCP Wrappers 來簡易設定防火牆規則 # 請問,rsyslogd、sshd、xinetd、httpd(若服務不存在,請自行安裝),這四個程式有沒有支援 TCP Wrapers 的阻擋功能 [root@CentOS ~]# ldd $(which rsyslogd sshd inetd httpd) #輸出結果比較複雜,需要自己來看 [root@CentOS ~]# for name in rsyslogd sshd xinetd httpd; do echo $name; ldd $(which $name) | grep libwrap; done rsyslogd sshd libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f6204e8b000) xinetd libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fc8102cf000) httpd #如果出現 libwrap 檔名的話,代表找到了該函式庫,並支援 TCP Wrappers。所以,sshd、xinetd 支援,但是rsyslogd、httpd在這兩個程式不支援。也就是說,httpd與rsyslogd 不能夠使用 /etc/hosts/{allow|dent} 來進行防火牆機制的控制
-
/etc/hosts.{allow|dent} 的設定方式
#語法 <service(program_name)> : <IP, domain, hostname> <服務 (也就是程式名稱)> : (IP 或 域 或主機名> # 上面的><符號不存在與配置檔案中
防火牆規則的順序:
1 . 先以 /etc/hosts.allow 進行優化比對,該規則符合就給予以放行
2 . 再以 /etc/hosts.deny 比對,規則符合就予以抵擋
3 . 若不在這兩個檔案內,亦即規則都不符合,最終則予以放行# 先放開本機的 127.0.0.1 可以進行任何本機的服務,然後,讓區域網(192.168.1.0/24) 可以使用rsysc,同事10.0.0.100 頁能夠使用rsysc,但其他來源不允許使用rsysc。 [root@CentOS ~]# cat /etc/xinetd.d/rsync # default: off # description: The rsync server is a good addition to an ftp server, as it \ # allows crc checksumming etc. service rsync { disable = yes flags = IPv6 socket_type = stream wait = no user = root server = /usr/bin/rsync #rsysc 的服務啟動的檔名。檔名為rsysc server_args = --daemon log_on_failure += USERID } # 因為 rsysc 的服務啟動的檔名為rsysc。所以應該這樣設定: [root@CentOS ~]# vim /etc/hosts.allow ALL: 127.0.0.1 rsysc: 192.168.1.0/255.255.255.0 10.0.0.100 #不支援192.168.1.0/24這種寫法 [root@CentOS ~]# vim /etc/hosts.deny rsysc: ALL
-
iptables:linux 的資料包過濾軟體
根據資料包的分析資料“對比”預先定義的規則內容,若資料包資料與規則內容相同則進行動作,否則就繼續下一條規則的比對
如果規則都不符合,則執行預設策略
預設情況下。linux的iptables至少就有3個表格,包括管理本機進出的Filter、管理後端主機(防火牆內部的其他計算機)的NAT、管理特殊標誌使用的,angle(較少使用)。- Filter(過濾器):主要跟進入Linux本機的資料包有關,是預設的 table
INPUT:主要與想要進入linux本機的資料包有關
OUTPUT:主要與linux本機發炒股的資料包有關
FORWARF:與linux本機沒有關係,與NAT的 table 的相關性較高 - NAT(地址轉換):主要用來進行來源於目的地的IP或port的轉換,與linux本機無關,主要與linux主機後的區域網內計算機相關
PREROUTING:在進行路由判斷之前所要進行的規則(DNAT/REDIRECT)
POSTROUTING:在進行路由判斷之前所要進行的規則(SNAT/MASQUERADE)
OUTPUT:與傳送出去的資料包有關 - Mangle(破壞者):主要是與特殊的資料包煩人路由標誌有關。
- Filter(過濾器):主要跟進入Linux本機的資料包有關,是預設的 table
-
規則的檢視與清除
1 . 檢視規則
[root@CentOS ~]# iptables [-t tables] [-L] [-nv] -L:列出目前的規則 -n:不進行 IP 與 HOSTNAME 的反查,顯示資訊的速度會快很多 -v:列出更多資訊
# 列出 filter table 的規則 [root@CentOS ~]# iptables -L -n Chain INPUT (policy ACCEPT) #INPUT鏈 target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) #FORWARD鏈 target prot opt source destination REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) #OUTPUT鏈 target prot opt source destination # 列出 nat table 的規則 [root@CentOS ~]# iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
target:代表進行的操作
prot:代表使用的資料包協議
opt:額外的說明
source:代表此規則是針對哪個來源IP進行限制
destination:代表此規則是針對哪個目標IP進行限制# 檢視完整的防火牆規則 [root@CentOS ~]# iptables-save [-t table] [root@CentOS ~]# iptables-save # Generated by iptables-save v1.4.7 on Wed Apr 5 08:30:35 2017 *nat :PREROUTING ACCEPT [17:1637] :POSTROUTING ACCEPT [1:60] :OUTPUT ACCEPT [1:60] COMMIT # Completed on Wed Apr 5 08:30:35 2017 # Generated by iptables-save v1.4.7 on Wed Apr 5 08:30:35 2017 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1909:187403] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Wed Apr 5 08:30:35 2017
2 . 清除規則
[root@CentOS ~]# iptables [-t tables] [-FXZ] -F:清除所有的已制訂的規則 -X:除掉所有使用者自動以的鏈 -Z:將所有的鏈的計數與流量統計都歸零
# 清除本機防火牆的所有規則 [root@CentOS ~]# iptables -F [root@CentOS ~]# iptables -X [root@CentOS ~]# iptables -Z # 會清除所有規則,但不會改變預設策略
-
定義預設策略
當資料包不在規則之內時,則該資料包的通過與否,是以預設策略為準[root@CentOS ~]# iptables [-t nat] [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP] -P:定義預設策略 ACCEPT:資料包可接受 DROP:該資料包直接丟棄 # 將本機的 INPUT 設定為 DROP, 其他設定為 ACCEPT [root@CentOS Desktop]# iptables -P INPUT DROP [root@CentOS Desktop]# iptables -P OUTPUT ACCEPT [root@CentOS Desktop]# iptables -P FORWARD ACCEPT [root@CentOS Desktop]# iptables-save # Generated by iptables-save v1.4.7 on Wed Apr 5 08:54:50 2017 *nat :PREROUTING ACCEPT [70:6483] :POSTROUTING ACCEPT [4:682] :OUTPUT ACCEPT [4:682] COMMIT # Completed on Wed Apr 5 08:54:50 2017 # Generated by iptables-save v1.4.7 on Wed Apr 5 08:54:50 2017 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Wed Apr 5 08:54:50 2017
-
資料包的基礎對比:IP、網路及介面裝置
[root@CentOS ~]# iptables [AI 鏈名] [-io 網路介面] [-p 協議] [-s 來源 IP/網路] [-d 目標IP/網路] -j [ACCEPT|DROP|REJECT|LOG] -AI:準對某條鏈進行規則的插入或累加 -io:網路介面,進或出 -P 協議:設定此規則適用於哪種資料包格式 -s 來源:來源IP/網路 -d:目標 IP/網路 -j:後面接操作
# 設定 lo 成為受信任的裝置,亦即進出 lo 的資料包都予以接受 [root@CentOS ~]# iptables -A INPUT -i lo -j ACCEPT # 只要是來自內網的192.168.100.0/24 的資料包統統接受 [root@CentOS ~]# iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j ACCEPT # 只要是來自192.168.100.10 就接受,但來自192.168.100.230這個來源的就丟棄 [root@CentOS ~]# iptables -A INPUT -i eth1 -s 192.168.100.10 -j ACCEPT [root@CentOS ~]# iptables -A INPUT -i eth1 -s 192.168.100.130 -j DROP # 檢視詳細規則 [root@CentOS ~]# iptables-save # Generated by iptables-save v1.4.7 on Wed Apr 5 09:20:57 2017 *nat :PREROUTING ACCEPT [132:12351] :POSTROUTING ACCEPT [25:2813] :OUTPUT ACCEPT [25:2813] COMMIT # Completed on Wed Apr 5 09:20:57 2017 # Generated by iptables-save v1.4.7 on Wed Apr 5 09:20:57 2017 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT -A INPUT -s 192.168.100.10/32 -i eth1 -j ACCEPT -A INPUT -s 192.168.100.203/32 -i eth1 -j DROP COMMIT # Completed on Wed Apr 5 09:20:57 2017
# 記錄想要記錄的某個規則的記錄(寫入核心日誌檔案) [root@CentOS ~]# iptables -A INPUT -s 192.168.2.200 -j LOG [root@CentOS ~]# iptables -L -n
-
TCP、UDP 的規則比對:針對埠設定
[root@CentOS ~]# iptables [-AI 鏈] [-io 網路介面] [-P tcp,udp] [-s 來源IP/網路] [--sport 埠範圍] [-d 目標IP/網路] [--dport 埠範圍] -j [ACCEPT|DROP|REJECT] --sport 埠範圍:限制來源埠號碼,埠號碼可以是連續的,例如 1024:65535
# 因為僅有TCP與UDP資料包具有埠號,因此要想使用--dport和--sport時,需要加上-P tcp 或-P udp 的引數才會成功。 # 想要連線進入本機 port 21 的資料包都阻擋掉 [root@CentOS Desktop]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP # 相連到本機的網路上的芳鄰(udp port 137,138 tcp port 139,445)就放行 [root@CentOS ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT [root@CentOS ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT [root@CentOS ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT # 只要來自 192.168.1.0/24 的1024:65535 埠的資料包,且想要連線到本機的ssh port 就給予阻擋 [root@CentOS ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65535 --dport ssh -j DROP # 將來自任何地方來源 port 1:1023 的主動連線到本機的1:1023連線丟棄 [root@CentOS ~]# iptables -A INPUT -i eth0 -p tcp --sport 1:1023 --dport 1:1023 --syn -j DROP #
-
iptables外掛模組:mac與state
[root@CentOS ~]# iptables -A INPUT [-m state] [[state 狀態] -m:一些iptables 的外掛模組,state或mac --state:一些資料包狀態 INVALID:無效的資料包 ESTABLISHED:已經成功連線的狀態 NEW:想要新建立的資料包狀態 RELATED:表示資料包與主機傳送出去的資料有關 ``` ``` # 只要已建立連線或已發出請求的資料包就予以通過,不合法資料包就丟棄 [root@CentOS ~]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [root@CentOS ~]# iptables -A INPUT -m state --state INVALID -j ACCEPT # 針對區域網的 aa:bb:cc:dd:ee:ff 主機開放其連線 [root@CentOS ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT
-
ICMP 資料包規則的比對:準對是否響應ping來設計
[root@CentOS ~]# iptables -A INPUT [-p icmp] [–icmp-type 型別] [-j ACCEPT
–icmp-typpe:後面必須接ICMP 的資料包型別,也可以使用代號,8是回顯請求讓0,3,4,11,12,14,16,18 的 ICMP type 可以進入本機
[root@CentOS ~]# vim somefile
#!/bin/bash
icmp_type=“0 3 4 11 12 14 16 18”
for typeicmp in $icmp_type
do
iptables -A INPUT -i eth0 -p icmp --icmp-type $typeicmp -j ACCEPT
done
[root@CentOS ~]# chmod +x somefile
[root@CentOS ~]# sh somefile -
超簡單的客戶端防火牆設計與防火牆規則儲存
如果將Linix主機作為客戶端且不提供網路服務時,應該圖和設計防火牆:
1 . 規則清零:iptables -F
2 . 預設策略,將INPUT設為DROP,其他ACCEPT
3 . 信任本機,lo必須設定為信任裝置
4 . 回應資料包讓本機通過主動向外發出請求而相應的資料可以進入本機(ESTABLISHED,RELATED)
5 . 信任使用者# 使用指令碼來設定 [root@CentOS ~]# vim firewall.sh #!/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH # 1. 清除規則 iptables -F iptables -X iptables -Z # 2. 設定策略 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # 3~5 制訂各項規則 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth0 -s 192.168.1..0/24 -j ACCEPT # 6. 寫入防火牆規則配置檔案 /etc/init.d/iptables save [root@CentOS ~]# ./firewall.sh iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] #chkconfig --listiptables。如果不寫指令碼直接修改/etc/sysconfig/iptables也可以 #若要讓這次修改的各種設定在下次開機時還儲存,那就需要對/etc/init.d/iptables save這個命令加引數
-
IPv4 的核心管理功能:/etc/sys/net/ipv4/*
1 . /proc/sys/net/ipv4/tcp_syncookies:預防SYN泛洪攻擊,可以啟用核心SYN Cookie模組。
當啟動SYN Cookie 時,主機在傳送SYN/ACK確認包前,會要求Client 端在短時間內回覆一個序號買這個序號包含許多原SYN資料包的資訊,包括IP ‘port等。多Client端可以回覆一個正確的序號,俺麼主機就確定該資料包為可信的,因此會傳送SYN/ACK資料包,否則就不理會此資料包# 啟動SYN Cookie模組(會造成某些服務延遲)。 [root@CentOS ~]# echo "1" > /proc/sys/net/ipv4/tcp_syncookies
2 . /peoc/sys/net/icmp_echo_ignore_broadcasts:預防ping of death 攻擊,可以取消ICMP型別8的回顯就是了。
某些區域網內的常見的服務(例如DHCP)會使用ping的方式來偵測是否有重複的IP,所以最好不要取消所有的ping響應 /proc/sys/net/ipv4內的icmp_echo_ignore_broadcasts:僅有ping broadcast 地址時才取消ping的回應 /proc/sys/net/ipv4內的icmp_echo_all:全部的ping都不回應
[root@CentOS ~]# echo "1" > /proc/sys/net/ipv4icmp_echo_ignore_broadcasts
3 . /proc/sys/net/ipv4/conf/網路介面/*
rp_filter:逆向路徑過濾
log_martians:可以用來啟動記錄不合法的IP來源的功能
accept_source_route
accept_redirects
send_redirects:傳送一個ICMP redirect資料包# 可以使用echo 1 > /proc/sys/net/ipv4/conf/網路介面/rp.filter # 建議修改配置檔案 [root@CentOS ~]# vim /etc/sysctl.conf net.ipv4.tcp_syncookies = 1 net.ipv4.icmp_echo_ignore_broadcast = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.cong .default.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.lo.rp_filter = 1 [root@CentOS ~]# sysctl -p
-
設定單機防火牆的一個例項
規則草擬
外網網路卡eth0
內網網路卡eth1,切內部使用192.168.100.0/24網段
主機,預設開放的服務有WWW,SSH,HTTPS
filter table 預設策略:INPUT DROP,OUPUT ACCEPT, FORWARD ACCEPT# 將整個指令碼分為3部分: # iptable.rule:設定最基本的規則 # iptables.deny:設定阻擋 # iptables.allow:設定放行
[root@CentOS ~]# mkdir -p /usr/local/virus/iptables [root@CentOS ~]# cd /usr/local/virus/iptables [root@CentOS iptables]# vim iptables.rule #!/bin/bash # 請先輸入相關引數,不要輸入錯誤 EXTIF="eth0" # 這個是可以來你上public ip 的網路介面 INIF="eth1" #內部LAN 的網路連線,若無則寫成 INIF="" INNET="192.168.100.0/24" # 若無內網路介面,請填寫 INNET="" export EXTIF INIF INNEF # 第一部分,針對本機的防火牆設定 # 1 . 先設定好核心的網路功能 echo "1" > /proc/sys/net/ipv4/tcp_syncookies echo "1" > /proc/sys/net/ipv4icmp_echo_ignore_broadcasts for i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians}; do echo "1" > $i done for i in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,send_redirects}; do echo "0" > $i done # 2 . 清除規則、設定預設策略及開放 lo 與相關的設定值 PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin; export PATH iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FPRWARD ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -nm state -state RELATED,ESTABLISHED -j ACCEPT # 3 . 啟動額外的防火牆script模組 if [ -f /usr/local/virus/iptables/iptables.deny ]; then sh /usr/local/virus/iptables/iptables.deny fi if [ -f /usr/local/virus/iptables/iptables.allow ]; then sh /usr/local/virus/iptables/iptables.allow fi if [ -f /usr/local/virus/iptables/iptables.http ]; then sh /usr/local/virus/iptables/iptables.http fi # 4 . 允許某些型別的 ICMP 資料包進入 AICMP ="0 3 3/4 11 12 14 16 18" for tyicmp in $AICMP do iptables -A INPUT -i #EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT done # 5 . 允許某些服務的進入,,請依照自己的環境開啟 # iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65535 -j ACCEPT # FTP # iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65535 -j ACCEPT # SSH # iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65535 -j ACCEPT # SMTP # iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65535 -j ACCEPT # DNS # iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65535 -j ACCEPT # DNS # iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65535 -j ACCEPT # WWW # iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65535 -j ACCEPT # POP3 # iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65535 -j ACCEPT # HTTPS # 第二部分,針對後端主機的防火牆設定 # 1 . 先載入一些有用的模組 modules="ip_tables iptables_nat ip_nat_ftp ip_nat-irc ip_conntrack ip_conntrack_ftp ip_conntrack_irc" for mod in $modules do testmod=`lsmod | grep "^${mod} " | awk '{print $1}'` if [ "$testmod" == "" ]; then modprobe $mod fi # 2 . 清除 NAT table 的規則 iptables -F -t nat iptables -X -t nat iptables -Z -t nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT # 3 . 若有內部介面的存在(雙網路卡)開放成為路由器,且為IP分享器 if [ "$INIF" != "" ]; then iptables -A INPUT -i $INIF -j ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward if [ "$INIET" != "" ]; then for innet in $INNET do iptables -r nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE done fi fi # 如果你的 MSN 一直無法連線,或者是某些網站 OK 某些網站不 OK ,可能是 MTU 的問題,那可以將下面這行取消批註,來啟動 MTU 的範圍 iptables -A FORWARD -p tcp -m tcp --tcp-flags STN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu # 4 . NAT 伺服器後端的 LAN 內對外值伺服器設定 iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 80 -j DNAT --tp-description 192.168.1.210:80 #WWW # 5 . 特殊的功能,包括 windows 遠端桌面產生的規則,假設桌面主機為 1.2.3.4 # iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --dport 6000 -j DNAT --to-description 192.168.100.10 # iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --sport 3389 -j DNAT --to-description 192.168.100.20 # 6 . 最後將這些功能儲存下來 /etc/init.d/iptables save
假設我要讓140.116.44.0/24 這個網路的所有主機可以進入本機主機的話
[root@CentOS iptables]# vim iptables.allow #!/bin/bash # 下面則填寫允許進入本機的其他網路的主機或網路 iptables -A INPUT -i $EXTIF -s 140.116.44.0/24 -j ACCEPT # 下面則是關於阻擋的檔案設定法 [root@CentOS iptables]# vim iptables.deny #!/bin/bash # 下面填寫的是你要阻擋的那個東西 iptables -A INPUT -i $EXTIF -s 140.116.44.254 -j DEOP [root@CentOS iptables]# chmod 700 iptables.* # 設定開機啟動 [root@CentOS iptables]# vim /etc/re.d/rc.local # 1 . Firewall /usr/local/virus/iptables/iptables.rule
相關文章
- 伺服器防火牆命令伺服器防火牆
- 怎麼重置win10防火牆_win10防火牆重置的方法Win10防火牆
- 雲伺服器需要防火牆嗎?防火牆如何啟用設定?伺服器防火牆
- win10怎麼關閉防火牆 win10關閉防火牆的方法Win10防火牆
- win10防火牆在哪裡設定 win10防火牆設定的方法Win10防火牆
- win10關閉防火牆方法_w10如何關閉防火牆Win10防火牆
- windows10防火牆設定在哪裡_win10如何設定防火牆Windows防火牆Win10
- win10關防火牆方法_如何關閉win10自帶防火牆Win10防火牆
- win10防火牆在哪關_w10系統怎麼關閉防火牆Win10防火牆
- win10電腦防火牆在哪裡設定 win10設定防火牆的步驟Win10防火牆
- WAb防火牆與傳統防火牆防火牆
- 鳥哥:PHPNext:JITPHP
- win10怎麼關閉防火牆的紅叉 win10如何取消防火牆的紅叉Win10防火牆
- win10 防火牆設定方法_win10怎麼設定網路防火牆Win10防火牆
- w10防火牆在哪裡設定 windows10防火牆設定操作方法防火牆Windows
- 如何徹底關閉win10防火牆 徹底禁用windows防火牆Win10防火牆Windows
- 防火牆防火牆
- Win10系統防火牆怎麼關閉 win10防火牆在哪裡關閉Win10防火牆
- Win10系統如何關閉防火牆_win10防火牆徹底關閉方法Win10防火牆
- 怎麼關閉防火牆win10_win10防火牆徹底關閉操作方法防火牆Win10
- win10如何新增防火牆信任站點_win10防火牆新增信任站點方法Win10防火牆
- win10如何關閉域防火牆_win10域網路防火牆關閉方法Win10防火牆
- win10如何修復防火牆_win10防火牆無法啟動怎麼辦Win10防火牆
- win10防火牆如何關閉 筆記本win10防火牆強制關閉Win10防火牆筆記
- win10系統dnf防火牆怎麼解除_win10dnf解除防火牆的詳細步驟Win10防火牆
- win10系統怎麼開啟arp防火牆_win10開啟arp防火牆的步驟Win10防火牆
- win10系統怎麼解除安裝防火牆 windows10防火牆的解除安裝步驟Win10防火牆Windows
- win10防火牆怎麼關閉服務 徹底禁用windows防火牆Win10防火牆Windows
- 雲伺服器埠和防火牆埠配置伺服器防火牆
- win10關閉防火牆服務方法_win10防火牆怎麼關閉服務Win10防火牆
- win10防火牆關閉提醒如何操作 win10怎麼關閉防火牆提醒通知Win10防火牆
- 防火牆的分類防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- 防火牆iptables防火牆
- 防火牆配置防火牆
- 防火牆(firewall)防火牆
- iptables防火牆防火牆
- win10怎麼關閉防火牆 電腦防火牆在哪裡設定關閉win10Win10防火牆