金沙国际官网_金沙国际平台登录

因为这个金沙国际官网_金沙国际平台登录网站与很多的大型澳门赌场都有合作,金沙国际官网_金沙国际平台登录尽职尽责,高效执行,保持好奇心,不断学习,追求卓越,点击进入金沙国际官网_金沙国际平台登录马上体验吧,所以现在也正式地开始了营业。

您的位置:金沙国际官网 > 金沙国际平台登录 > Samba文件共享服务器配置,25个iptables常用示例

Samba文件共享服务器配置,25个iptables常用示例

发布时间:2019-11-07 04:01编辑:金沙国际平台登录浏览(89)

    本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。  格式

    Samba起源:

    WannaCry ransomware used in widespread attacks all over the world

    iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数

        早期网络想要在不同主机之间共享文件大多要用FTP协议来传输,但FTP协议仅能做到传输文件却不能直接修改对方主机的资料数据,这样确实不太方便,于是便出现了NFS开源文件共享程序:NFS(NetworkFile System)是一个能够将多台Linux的远程主机数据挂载到本地目录的服务,属于轻量级的文件共享服务,不支持Linux与 Windows系统间的文件共享。

    Customer Guidance for WannaCrypt attacks(Microsoft Security Response Center)

     

        随后在1991年时大学生Tridgwell为了解决Linux与Windows系统之间共享文件的问题,便开发出了SMB协议与Samba服务程序。

    How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

    1. -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
    2. -F 清空规则链
    3. -L 查看规则链
    4. -A 在规则链的末尾加入新规则
    5. -I num 在规则链的头部加入新规则
    6. -D num 删除某一条规则
    7. -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
    8. -d 匹配目标地址
    9. -i 网卡名称 匹配从这块网卡流入的数据
    10. -o 网卡名称 匹配从这块网卡流出的数据
    11. -p 匹配协议,如tcp,udp,icmp
    12. --dport num 匹配目标端口号
    13. --sport num 匹配来源端口号

        SMB(Server Messages Block)协议:实现局域网内文件或打印机等资源共享服务的协议。

    利用MS17-010漏洞勒索比特币蠕虫病毒分析报告

    示例

        当时Tridgwell想要注册SMBServer这个商标,但却被因为SMB是没有意义的字符被拒绝了,经过Tridgwell不断翻看词典,终于找到了一个拉丁舞蹈的名字——SAMBA,而这个热情舞蹈的名字中又恰好包含了SMB(SAMBA),于是这便是Samba程序名字的由来。

    应对勒索软件“WannaCry”,安天发布开机指南

    1. 删除已有规则

        Samba服务程序是一款基于SMB协议并由服务端和客户端组成的开源文件共享软件,实现了Linux与Windows系统间的文件共享。

    WannaCry勒索比特币蠕虫病毒解决方案:

    在开始创建iptables规则之前,你也许需要删除已有规则。

    图片 1

    百度网盘下载:

     

     

    CSDN下载:

    1. 命令如下:
    2. iptables -F
    3. (or)
    4. iptables –flush

     

    步骤1:配置Windows防火墙,阻止端口135-139及445端口,运行foreverblue.bat即可。

    2.设置链的默认策略

    所需主机配置:

    图片 2

    链的默认政策设置为”ACCEPT”(接受),若要将INPUT,FORWARD,OUTPUT链设置成”DROP”(拒绝),命令如下:

    主机名称

    操作系统

    IP地址

    Samba共享服务器(host1)

    CentOS6.7

    192.168.0.141

    客户端(host2)

    CentOS6.7

    192.168.0.142

    客户端

    Windows7

    192.168.0.110

    图片 3

     

    [root@host1 ~]## yum -y install samba
    [root@host1 ~]# service smb restart
    [root@host1 ~]# chkconfig smb --list
    smb            0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭
    [root@host1 ~]## cat /etc/samba/smb.conf | egrep -v "#|;|^$"
    [global]
    workgroup = MYGROUP
    server string = Samba Server Version %v
    log file = /var/log/samba/log.%m
    max log size = 50
    security = user
    passdb backend = tdbsam
    load printers = yes
    cups options = raw
    [homes]
    comment = Home Directories
    browseable = no
    writable = yes
    [printers]
    comment = All Printers
    path = /var/spool/samba
    browseable = no
    guest ok = no
    writable = no
    printable = yes
    

    步骤2:安装Windows补丁

    1. iptables -P INPUT DROP
    2. iptables -P FORWARD DROP
    3. iptables -P OUTPUT DROP

      过滤后的配置文件:

    Microsoft Security Bulletin MS17-010 - Critical

    当INPUT链和OUTPUT链都设置成DROP时,对于每一个防火墙规则,我们都应该定义两个规则。例如:一个传入另一个传出。在下面所有的例子中,由于我们已将DROP设置成INPUT链和OUTPUT链的默认策略,每种情况我们都将制定两条规则。当然,如果你相信你的内部用户,则可以省略上面的最后一行。例如:默认不丢弃所有出站的数据包。在这种情况下,对于每一个防火墙规则要求,你只需要制定一个规则——只对进站的数据包制定规则。

    [global]

    3. 阻止指定IP地址

     

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

    例:丢弃来自IP地址x.x.x.x的包

    #全局参数。

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4019264

     

     

    步骤3:禁用Service的服务

    1. iptables -A INPUT -s x.x.x.x -j DROP
    2. 注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析

    workgroup = MYGROUP

    图片 4

    例:阻止来自IP地址x.x.x.x eth0 tcp的包

    #工作组名称。

    确认端口状态,运行命令 netstat -an | find "13" 和 netstat -an | find "44",确认445端口已禁用。

     

     

    图片 5

    1. iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
    2. iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

    server string = Samba Server Version %v

    4. 允许所有SSH的连接请求

    #服务器介绍信息,参数%v为显示SMB版本号。

    例:允许所有来自外部的SSH连接请求,即只允许进入eth0接口,并且目标端口为22的数据包

     

     

    log file = /var/log/samba/log.%m

    1. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
    2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

    #定义日志文件存放位置与名称,参数%m为来访的主机名。

    5. 仅允许来自指定网络的SSH连接请求

     

    例:仅允许来自于192.168.100.0/24域的用户的ssh连接请求

    max log size = 50

     

    #定义日志文件最大容量为50Kb。

    1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
    2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

     

    6.允许http和https的连接请求

    security = user

    例:允许所有来自web - http的连接请求

    #安全验证的方式,总共有4种。

     

     

    1. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
    2. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

    #share:来访主机无需验证口令,更加方便,但安全性很差。

    例:允许所有来自web - https的连接请求

     

     

    #user:需由SMB服务验证来访主机提供的口令后才可建立访问,更加的安全。

    1. iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
    2. iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

     

    7. 使用multiport 将多个规则结合在一起

    #server:使用独立的远程主机验证来访主机提供的口令(集中管理帐号)。

    允许多个端口从外界连入,除了为每个端口都写一条独立的规则外,我们可以用multiport将其组合成一条规则。如下所示:  例:允许所有ssh,http,https的流量访问

     

     

    #domain:使用PDC来完成验证

    1. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
    2. iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

     

    8. 允许从本地发起的SSH

    passdb backend = tdbsam

     

    #定义用户后台的类型,共有3种。

    1. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
    2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

     

    请注意,这与允许ssh连入的规则略有不同。本例在OUTPUT链上,我们允许NEW和ESTABLISHED状态。在INPUT链上,我们只允许ESTABLISHED状态。ssh连入的规则与之相反。

    #smbpasswd:使用SMB服务的smbpasswd命令给系统用户设置SMB密码。

    9. 仅允许从本地发起到一个指定的网络域的SSH请求

     

    本文由金沙国际官网发布于金沙国际平台登录,转载请注明出处:Samba文件共享服务器配置,25个iptables常用示例

    关键词:

上一篇:等端口的操作方法,服务器搭建

下一篇:没有了