课程设计（论文）-服务器管理与应用.docx

20145311*/ 王*平 / 网络工程5班陇 东 学 院课 程 设 计 报 告课程名称：服务器管理与应用学 院：信息工程学院 专业班级：14级网络工程 学 号：20145311*学生姓名：王*平任课教师：孙 *完成时间： 2017年06月20日目 录题目：构建Linux网络服务平台6摘要6引言61.案例要求与规划81.1需求分析（要求）81.2服务平台规划与设计82.构建网络服务平台92.1 Linux平台的准备Red Hat92.2创建用户组192.2.1增加一个新用户192.2.2删除一个用户192.2.3增加一个组202.2.4删除一个组202.3配置FTP服务器202.3.1 FTP的概述20FTP的基本概念20FTP默认的连接方式20FTP212.3.2 FTP的安装21在线安装FTP服务21修改配置文件21口令的创建22创建账户22修改主配置文件23加载配置23开启防火墙24测试242.4配置DNS服务器262.4.1DNS的概述26简介26DNS系统的作用26反向解析26缓存域名服务器27主域名服务器27相关软件包：272.4.2 DNS的安装28安装所有安装包29修改配置文件29保存配置并重启31测试31详细文字叙述322.5配置电子邮件服务器342.5.1概述342.5.2服务器的安装36安装Postfix36安装Dovecot37配置Postfix37配置Dovecot38域名解析39防火墙设置39邮箱使用402.6配置DHCP服务器402.6.1 DHCP 的概述40Dhcpdiscover40dhcpoffer40dhcprequst41dhcpack412.6.2 DHCP的安装41DHCP具有以下功能41服务模式：C/S42安装配置dhcp42使用eth0位置管理使用42获取IP地址442.7配置防火墙442.7.1 Iptables规则44写法的基本格式44Iptables规则相关参数说明44Iptables规则其他写法及说明452.7.2 Ilter表防火墙的配置45(1)查看本机关于IPTABLES的设置情况45(2)清除原有规则46(3)设定预设规则47(4)添加规则482.7.3配置一个NAT表放火墙51查看本机关于NAT的设置情况51添加规则512.8配置Web服务器532.8.1查看是否安装532.8.2 Web的安装、启动与初步测试532.8.3修改配置文件542.8.4创建测试网页552.8.5基于apache的web服务器的访问控制55(1)web服务的地址限制55(2)网站目录的用户访问控制562.8.6基于apache的web服务器的目录别名配置58(1)建立目录58(2)在新目录下建立网页58(3)设置目录别名58(4)验证592.8.7web服务器的虚拟主机配置59(1)基于域名的虚拟主机59(2)基于端口的虚拟主机60(3)基于ip地址的虚拟主机623.总结64题目：构建Linux网络服务平台摘要随着社会的发展和信息技术的飞速进步，特别是网络技术的飞跃，在今天这个信息化的社会里，网络技术的发展已经超越了其他技术的发展。在现在各种网络中比如商业、企业、电子商务系统中简单操作的同时要求更高的系统的安全和系统的可靠性。现在 linux已经在全球广泛普及开来，虽然在个人桌面版方面还略逊色于 Microsoftwindos 系统，但是在服务器领域以其良好的安全性和稳定性得到越来越多用户的认可，并被广泛使用；随着后PC时代的到来，计算机在各行各业乃至人们的日常生活中已经是无处不在，尤其在嵌入式系统应用、开发方面 Linux 更是具有其他操作系统不可比拟的优势。 到底 linux 能给我们带来些什么？到底它的功能又有多强大呢？在这次论文中将带你走进 linux 的世界，让你感悟到学习 linux 的情趣。 关键字 ： 网络技术；信息技术；计算机；服务器。引言由于Linux 工具包拥有几乎所有的工具，能够轻松且廉价地搭建起Internet和应用服务。因而，在Internet环境下，Linux开始替代商业的UNIX和WindowsNT。根据从Infobeads的统计结果显示，超过26%的Internet网上商业公司的服务是基于Linux平台，并且这个比例在不断地扩大。中小型企业是我国企业信息化的主体，他们本身的特点决定了它们在信息化过程中不可能投入大量的人力和物力。Linux作为一种开放的网络操作系统对中小企业来讲，是一个很有吸引力的平台。Linux作为自由软件的一个重要的成果，可以看作是互联网发展的作品。可获得源代码的版权，保证了用户有足够的权利，不受传统的商业许可证的限制。Linux在我国的发展经历了四五年时间，最初的几年只是学校和科研单位使用。最近的两年逐渐进入媒体、企业和普通大众的视线， 现在Linux已经成为鲜花和掌声包围的宠儿。尽管Linux在高端服务器和嵌入式方面发展迅速。成为中小企业、家庭的网络服务器，提供Web服务、电子邮件（ E-mail ）服务、文件传输（FTP）服务、域名（DNS）服务。事实上，成功的安装后的Linux就可以作为Web、E-mail 、FTP、News服务器。当然作为中小企业可能还需要一些更为复杂的功能，比如作为DNS服务器、代理网关或者路由、虚拟主机、防火墙、拨入服务器等。所以我们应该好好的对Linux进行深入的研究，在近几年的时间里全球的Linux的研究人员对其仍然有这浓厚的兴趣，随着Linux的发展我相信它将成为一个很好的平台，对我们网络生活有着积极的作用，现在不光是国外的一些大公司对它有着浓厚的兴趣，国内对Linux的学习和应用以及研究都有着突破性的进展，在各大高校，凡是有计算机专业的院系都开设了Linux这门课，如此看见Linux的重要性以及它潜在的价值，这一点更说明了我们学习Linux的重要性和先进性，也说明了我这次选择这个题目的优越性。Linux 应用如此的广泛那么我们有必要对此进行深入的研究。为了网络服务多元化发展的需要，对Linux下对各个服务器的建立和应用的研究具有现实的意义。1.案例要求与规划1.1需求分析（要求）以某个单位为例子，构建Linux网络服务平台。该单位有若干部门组成（不少于3个），每个部门都需要配置独立的域名，服务器端设置有Ftp服务器、Web服务器、DHCP服务器、DNS域名服务器、电子邮件服务器以及telnet、防火墙等。对于使用该服务平台的人员分为三组，一为管理用户组，二为特权帐号组，三为普通组，请按照以上要求设计规划一个网络，以虚拟机的方式安装相应的服务从而实现相应的功能。1.2服务平台规划与设计搭建流程图_如下：2.构建网络服务平台2.1 Linux平台的准备Red Hatl 放入安装盘，从光驱启动，就看见以下画面；PS:直接按回车进行图形界面安装，你如果不选择30秒后默认进行图形化界面安装；用移动键选择“SKIP”-进行跳过检查，这里就不做图说明；l 下面图片依次是：下一步-安装的语言“我们是中国人，当然用简体中文”-选择键盘配置“US”-选择鼠标类型“PS2”l 下面正式开始配置与安装Linux系统了；这里我们选择安装个人桌面，其他等以后再详讲如果自动分区就出现这样界面现在列出了所有硬盘上的分区挂载点选根分区“/”即可，Linux不支持FAT分区，所以我们选择EXT3或EXT2注意：这里要建了交换分区才能进行下一步安装点击格式化后，系统开始对硬盘进行格式挂操作选择默认进入的系统；l DHCP设置，建议使用默认；l 防火墙设置，一般使用 中级；语言包安装，建议选中文，不然你要查看中文文档需要另外安装中文包；设置时区-设置root账号的密码。PS：ROOT账户类似于windows的administrator账户，必须设置密码，但是必须记住这个密码，以后再安装软件包和设置的时候需要切换到root账户进行操作！下面开始进行安装，如果你是用的CD盘的，系统会自动提示你进行换光盘，按照提示进行更换就OK；安装完成后显示下面画面，选“否”不创建引导盘；重启后显示该画面进行选择你要进入的系统然后就进入我们祈祷已久的Linux系统界面了，HOHO2.2创建用户组2.2.1增加一个新用户在Linux系统中，只有root用户才能够创建一个新用户，如下的命令将新建一个登录名meelo的用户。：sudo useradd meelo但是，这个用户还不能够登录，因为还没给它设置初始密码，而没有密码的用户是不能够登录系统的。在默认情况下，将会在/home目录下新建一个与用户名相同的用户主目录。完成了这一操作后，你还应该使用passwd命令为其设置一个初始密码。输入该命令后，会系统会请求输入密码。sudo passwd 用户名2.2.2删除一个用户删除用户，只需使用一个简单的命令：sudo userdel 用户名不过最好将它留在系统上的文件也删除掉，你可以使用“userdel -r 用户名”来实现这一目的；2.2.3增加一个组如下命令将创建一个名称为avatar的用户组：sudo groupadd avatar2.2.4删除一个组同样的，我们有时会需要删除一个组，它的命令就是groupdel。2.3配置FTP服务器2.3.1 FTP的概述FTP的基本概念vsftpd的名字代表very secure FTP daemon，安全性是vsftpd的一个最大特点。他的主要功能是以TCP数据包的模式在服务器与客户机之间进行文件的传输。FTP服务器使用了两个连接，分别是命令通道和数据流通道，因为是TCP数据包，所以这两个连接都需要经过3 次握手。 使用到的端口号：20 命令通道的FTP(默认的端口为21) 数据传输的FTP-data （默认为端口20）FTP默认的连接方式主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N;1024）连接到FTP服务器的命令端口，也就是21端口。然后客户端开始监听端口N+1，并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（ N+1）。针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式。FTP1. 任何端口到FTP服务器的21 端口（客户端初始化的连接 SC）；3. FTP服务器的20 端口到大于1023 的端口（服务器端初始化数据连接到客户端的数据端口 S-C ）；4. 大于1023 端口到FTP服务器的20 端口（客户端发送ACK响应到服务器的数据端口 SIP地址记录，将域名查询结果缓存到本地，提高重复查询时的速度。主域名服务器特定DNS区域的官方服务器，具有唯一性。负责维护该区域内所有域名-IP地址的映射记录，从域名服务器（通俗一点就是用于备份DNS服务器的），也称为辅助域名服务器。其维护的域名-IP地址记录，来源于主域名服务器。搭建DNS服务应用的软件为：BIND（Berkeley Internet Name Daemon）；官方站点：/；相关软件包：l bind-9.3.3-7.el5.i386.rpml bind-utils-9.3.3-7.el5.i386.rpml bind-chroot-9.3.3-7.el5.i386.rpml caching-nameserver-9.3.3-7.el5.i386.rpmcache-nameserver软件包实际上只是提供了一些配置样例文件，对于熟悉BIND配置文件的系统管理员来说，也可以不用安装该软件包bind，提供了域名服务的主要程序及相关文件；bind-utils，提供了对DNS服务器的测试工具程序（如nslookup、dig等）。bind-chroot，为bind提供一个伪装的根目录以增强安全性（将“/var/named/chroot/”文件夹作为BIND的根目录）；caching-nameserver，为配置BIND作为缓存域名服务器提供必要的默认配置文件，这些文件在配置主、从域名服务器时也可以作为参考；named作为标准的系统服务脚本，通过”service named start/stop/restart“的形式可以实现对服务器程序的控制named默认监听TCP、UDP协议的53端口，以及TCP的953端口：其中UDP53端口一般对所有客户机开放，以提供解析服务；TCP53端口一般只对特定从域名服务器开放，提高解析记录传输通道；TCP 953端口默认只对本机（）开放，用于为rndc远程管理工具提供控制通道；如果没有安装bind-chroot软件包，则主配置文件默认位于/etc/named.conf，数据文件默认保存在/var/named/目录。2.4.2 DNS的安装下面主要来介绍实际应用中最多的“主DNS服务器”的搭建，看一下拓扑图：实现步骤：安装所有安装包修改配置文件进入/var/named/chroot/etc/修改主配置文件named.caching-nameserver.conf，只把四个地方改为any就可以了；注：radhat5。0的版本是4个any，而5。4是五个any；修改主配置文件的扩展文件named.rfc1912.zones；进入以下目录建立的域配置文件；删除的最后一行；添加如下记录；反向和正向一样，修改主配置文件的扩展文件named.rfc1912。zones，添加168.192.1.（in-addr.arp标记为反向域）为主域(master)；删除最后一行；保存配置并重启执行以下命令，然后重启服务；注：rhel5文件必须是named组的，而且权限要求很高，不好改，简便将组和权限设置要只需要打bind-chroot-admin -s就自动设置好了；测试在客户机上测试：如果出现如下情况，就证明DNS服务器搭建成功了！详细文字叙述ls /media/Server/*bind*/查询所有安装包；rpm -ivh /media/Server/bind-* -nodeps -force/安装所有安装包正向域名解析； 修改主配置文件cd /var/named/chroot/etc/named.caching-nameserver.Conf改4个地方成any； 修改主配置文件的扩展文件named.rfc1912.zones添加为主域(master)zone ； #开启域名叫lele.Comtype master；#类型为主域file ; #域配置文件为； 建立的域配置文件cd /var/named/chroot/var/named；cp named.local amao.Com；删除的最后一行；添加wwwINA保存退出；执行bind-chroot-admin -s命令； 重启服务，完成配置#rhel5文件必须是named组的，而且权限要求很高；#简便将组和权限设置要只需要大bind-chroot-admin -s就自动设置好了；当前域Root.localhost=rootlocalhost邮箱；SOA权威域名记录；NS 域名主机；A正向解析记录；MX 邮件转发记录；CNAME别名；PTR反向解析；#正向和反向不能在一个文件中出现； 修改主配置文件的扩展文件named.rfc1912.zones添加168.192.1.（in-addr.arp标记为反向域）为主域(master)；zone 168.192.1. ；type masterfile 192.168.1.fx； 建立192.168.1.fx的域配置文件cd /var/named/chroot/var/named；cp named.local 192.168.0.fx；删除的最后一行；添加105INPTR.保存退出；执行bind-chroot-admin -s命令； 重启服务，完成配置#05反向域写为168.192.1.in-add.Arpa；2.5配置电子邮件服务器2.5.1概述通常使用Email都很容易，但是Internet的邮件系统是通过几个复杂的部分连接而成的，对于最终用户而言，我们熟悉的Outlook，Foxmail等都是用来收信和发信的，称之为MUA：Mail User Agent，邮件用户代理。MUA并非直接将邮件发送至收件人手中，而是通过MTA：Mail Transfer Agent，邮件传输代理代为传递，Sendmail和Postfix就是扮演MTA的角色。一封邮件从MUA发出后，可能通过一个或多个MTA传递，最终到达MDA：Mail Delivery Agent，邮件投递代理，邮件到达MDA后，就存放在某个文件或特殊的数据库里，我们将这个长期保存邮件的地方称之为邮箱。一旦邮件到达邮箱，就原地不动了，等用户再通过MUA将其取走，就是用Outlook，Foxmail等软件收信的过程。所以一封邮件的流程是：发件人：MUA -发送- MTA - 若干个MTA - MTA - MDA -收取- MUA：收件人MUA到MTA，以及MTA到MTA之间使用的协议就是SMTP协议，而收邮件时，MUA到MDA之间使用的协议最常用的是POP3或IMAP。需要注意的是，专业邮件服务商都有大量的机器来为用户服务，所以通常MTA和MDA并不是同一台服务器，因此，在Outlook等软件里，我们需要分别填写SMTP发送服务器的地址和POP3接收服务器的地址。Linux系统下邮件服务器的搭建（Postfix+Dovecot）对于网站来说，发送各种例如注册通知的邮件是很基本的一个需求，之前我一直用的是腾讯的企业邮箱，感觉挺方便的，直接可以绑定QQ邮箱接收邮件，网站配置一下SMTP也就可以发出邮件。但是在前几天由于有重要信息需要立即通知用户，所以选择了群发邮件的方式。在当我以为一切都是辣么完美的时候，陆续有用户过来问我什么情况，我都会跟他们说请查收邮件，但是有好几个人说并没有任何邮件，于是我试着再发一次，结果返回了错误提示。在网上找了下原因，后来看到这个：各大免费邮箱邮件群发账户SMTP服务器配置及SMTP发送量限制情况，才知道是因为发信数量限制了。经过上面这些折腾，也算明白了如果要想顺畅的发出邮件的话，除了花钱，就只有自己搭建一个邮件服务器了。好了，下面开始进入正题，教你搭建一个简单的邮件服务器。用于搭建的服务器信息Postfix-2.8.12.tar.gz ：Postfix MTA(邮件传输代理)Dovecot-2.1.8.tar.gz ：IMAP和 POP3 邮件服务器Postfixadmin-2.3.5.tar.gz ：采用PHP编写的开源WEB邮箱 及域名账号管理工具Roundcubemail-0.8.1.tar.gz ：采用php编写的开源IMAP邮件WEB客户端2.5.2服务器的安装安装Postfix 选择在线安装：yum -y install postfix 安装完成还需要替换系统自带的sendmail：rpm -e sendmail或者yum remove sendmail 修改MTA（默认邮件传输代理）alternatives -config mta： 检查一下是不是已经设置成功了：alternatives -display mta 第一行可以看到mta的状态：mat - status is manual；安装Dovecotyum -y install dovecot配置Postfix编辑/etc/postfix/main.cf，可以下载下来修改，也可以使用vi进行编辑：vi /etc/postfix/main.cf；修改如下：# 75行: 取消注释，设置hostnamemyhostname = mail.lomu.me# 83行: 取消注释，设置域名mydomain = lomu.me# 99行: 取消注释myorigin = $mydomain# 116行: 修改inet_interfaces = all# 119行: 推荐ipv4，如果支持ipv6，则可以为allinet_protocols = ipv4# 164行: 添加mydestination = $myhostname， localhost.$mydomain， localhost， $mydomain# 264行: 取消注释，指定内网和本地的IP地址范围mynetworks = /8， /24# 419行: 取消注释，邮件保存目录home_mailbox = Maildir/# 571行: 添加smtpd_banner = $myhostname ESMTP# 添加到最后# 规定邮件最大尺寸为10Mmessage_size_limit = 10485760# 规定收件箱最大容量为1Gmailbox_size_limit = 1073741824# SMTP认证smtpd_sasl_type = dovecotsmtpd_sasl_path = private/authsmtpd_sasl_auth_enable = yessmtpd_sasl_security_options = noanonymoussmtpd_sasl_local_domain = $myhostnamesmtpd_recipient_restrictions = permit_mynetworks，permit_auth_destination，permit_sasl_authenticated，reject修改好了之后使用/etc/rc.d/init.d/postfix start开启postfix，使用chkconfig postfix on将postfix开机启动。配置Dovecot修改如下：rootmail # vi /etc/dovecot/dovecot.conf# 26行: 如果不使用IPv6，请修改为*listen = *rootmail # vi /etc/dovecot/conf.d/10-auth.conf# 9行: 取消注释并修改disable_plaintext_auth = no# 97行: 添加auth_mechanisms = plain loginrootmail # vi /etc/dovecot/conf.d/10-mail.conf# 30行: 取消注释并添加mail_location = maildir:/Maildirrootmail # vi /etc/dovecot/conf.d/10-master.conf# 88-90行: 取消注释并添加# Postfix smtp验证unix_listener /var/spool/postfix/private/auth mode = 0666 user = postfix group = postfixrootmail # /etc/rc.d/init.d/dovecot startStarting Dovecot Imap: OK rootmail # chkconfig dovecot on 到这里，我们的邮件服务器就已经搭建成功了！域名解析最后别忘了还需要进行域名解析工作；添加一个子域名mail，A记录解析到服务器IP；再添加一个MX记录，主机记录为空，记录值为上面解析的二级域名mail。lomu。me，优先级10；注意：解析生效可能需要一段时间；防火墙设置/sbin/iptables -A INPUT -p tcp -dport 25 -j ACCEPT/sbin/iptables -A INPUT -p tcp -dport 110 -j ACCEPT/sbin/iptables -A INPUT -p tcp -dport 143 -j ACCEPT突破封锁25口的转发/sbin/iptables -t nat -A PREROUTING -p tcp -m tcp -dport 10025 -j REDIRECT -to-ports 25；邮箱使用一切都弄好以后，就可以使用Foxmail等第三方软件来收发邮件了。在这里需要说一下，系统用户就是邮件的用户，例如root，就是一个邮箱用户，邮箱是，密码就是root的密码，所以需要创建用户，只要使用useradd创建用户，再使用passwd设置密码。假如我们创建一个admin的用户：# 创建用户 useradd admin#设置密码，会要求输入两次密码 passwd admin2.6配置DHCP服务器2.6.1 DHCP 的概述DHCP是Dynamic Host Configuration Protocol( 动态主机配置协议）缩写，它的前身是 BOOTP。它是一种简化主机IP配置管理的TCP/IP协议标准。DHCP协议标准为DHCP服务器的使用提供了一种有效的方法，即管理IP地址的动态分配以及网络上启用DHCP客户机的其他相关配置信息。获取地址的简单四步骤：Dhcpdiscover此为客户端开始DHCP过程中的第一个请求报文， 以广播方式发送， 同一个广播域中的每台安装了TCP/IP 协议的主机都会收到这个广播包，但是只有dhcp 服务器才会做出响应。dhcpoffer此为server 对dhcpdiscover 报文的响应，数据包中包含IP 地址、租约期限和网关等信息。dhcprequst此为client对dhcpoffer报文的响应，以广播方式发送。数据包中包含它所选定的IP 地址等内容。dhcpackserver对dhcprequst报文的响应，是一个确认数据包，client收到此报文后才真正获得了IP地址和相关配置信息。2.6.2 DHCP的安装Dynamic Host Configuration Protocol，动态主机配置协议。是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段。DHCP协议采用客户端/服务器模型，主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时，才会向网络主机发送相关的地址配置等信息，以实现网络主机地址信息的动态配置。DHCP具有以下功能 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。 DHCP应当可以给用户分配永久固定的IP地址。 DHCP应当可以同用其他方法获得IP地址的主机共存（如手工配置IP地址的主机）。 DHCP服务器应当向现有的BOOTP客户端提供服务。服务模式：C/Sserver：dhcp server（运行dhcp服务）；udp：监听67；client：dhcp client（运行dhcp程序）；udp：监听68；安装配置dhcprootlocalhost # service iptables stoprootlocalhost#setenforce 0：关闭防火墙和selinux；rootlocalhost#ifconfig eth0Link encap:Ethernet 00:0C:29:B2:B7:26 inetaddr:72 Bcast: 192.168 57.255 Mask:28使用eth0位置管理使用rootlocalhost#yum -y install dhcp：安装dhcp服务；rootlocalhost# cp /usr/share/doc/dhcp-； 定义dhcpd自身的工作属性log-facility：日志facilify：全局地址分配属性option打头（全局有效，不影响subnet中的）；注意：（“作用范围越小，优先级越大；作用范围越大，优先级越小”）；option router ：分配网关的；全局的优先级小于作用域的优先级；相当于默认配置； 子网配置：（“作用范围越小，优先级越大；作用范围越大，优先级越小”）通常每个作用域通过一个subnet定义；subnet NETWORK_ADDRESS netmask NETMASK ，地址池（range）、网关、dns注意：作用域的优先级优先于全局优先级； 主机配置：通常为某特定mac地址固定的分配一个固定地址；host HOST ID mac ip地址注意：保留的主机地址，不要出现在任何其他地址池当中，不然会冲突的；找了台windowns机器，设置网卡自动获得ip地址：获取IP地址ok，ip地址成功固定分配；2.7配置防火墙2.7.1 Iptables规则写法的基本格式Iptables -ttable COMMAND chain CRETIRIA -j ACTION Iptables规则相关参数说明-t table：3个filter nat mangle ：定义如何对规则管理 ；chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的；-j ACTION:指定如何进行处理； Iptables规则其他写法及说明Iptables -L -n -v #查看定义规则的详细信息 ；Iptables是Linux服务器上防火墙配置必备的设置工具，是我们在做好服务器安全及部署大型网络时，常会用到的重要工具，很好的掌握iptables，可以让我们对Linux服务器整个网络的结构有一个比较透彻的了解，更能够很好的掌握Linux服务器的安全配置技巧。2.7.2 Ilter表防火墙的配置(1)查看本机关于IPTABLES的设置情况代码如下：roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destinationChain RH-Firewall-1-INPUT (0 references)target prot opt source destinationACCEPT all - /0 /0 ACCEPT icmp - /0 /0 icmp type 255ACCEPT esp - /0 /0 ACCEPTah-/0/0ACCEPTudp-/051udpdpt:5353ACCEPTudp-/0/0udpdpt:631ACCEPTall-/0/0stateRELATED，ESTABLISHEDACCEPTtcp-/0/0stateNEWtcpdpt:22ACCEPTtcp-/0/0stateNEWtcpdpt:80可以看出我在安装linux时，选择了有防火墙，并且开放了22，80，25端口。如果你在安装linux时没有选择启动防火墙，是这样的：代码如下：roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination (2)清除原有规则不管你在安装linux时是否启动了防火墙，如果你想配置属于自己的防火墙，那就清除现在filter的所有规则；代码如下：roottp # iptables -F 清除预设表filter中的所有规则链的规则roottp # iptables -X 清除预设表filter中使用者自定链中的规则roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination 什么都没有了吧，和我们在安装linux时没有启动防火墙是一样的，(提前说一句，这些配置就像用命令配置IP一样，重起就会失去作用)，怎么保存。roottp # /etc/rc.d/init.d/iptables save这样就可以写到/etc/sysconfig/iptables文件里了。写入后记得把防火墙重起一下，才能起作用。roottp # service iptables restart现在IPTABLES配置表里什么配置都没有了，那我们开始我们的配置吧(3)设定预设规则roottp # iptables -P INPUT DROProottp # iptables -P OUTPUT ACCEPTroottp # iptables -P FORWARD DROP上面的意思是，当超出了IPTABLES里filter表里的两个链规则(INPUT，FORWARD)时，不在这两个规则里的数据包怎么处理呢，那就是DROP(放弃)。应该说这样配置是很安全的。我们要控制流入数据包，而对于OUTPUT链，也就是流出的包我们不用做太多限制，而是采取ACCEPT，也就是说，不在着个规则里的包怎么办呢，那就是通过。可以看出INPUT，FORWARD两个链采用的是允许什么包通过，而OUTPUT链采用的是不允许什么包通过。这样设置还是挺合理的，当然你也可以三个链都DROP，但这样做我认为是没有必要的，而且要写的规则就会增加。但如果你只想要有限的几个规则是，如只做WEB服务器。还是推荐三个链都是DROP。注:如果你是远程SSH登陆的话，当你输入第一个命令回车的时候就应该掉了。因为你没有设置任何规则。 (4)添加规则首先添加INPUT链，INPUT链的默认规则是DROP，所以我们就写需要ACCETP(通过)的链为了能采用远程SSH登陆，我们要开启22端口。roottp # iptables -A INPUT -p tcp -dport 22 -j ACCEPTroottp # iptables -A OUTPUT -p tcp -sport 22 -j ACCEPT(注:这个规则，如果你把OUTPUT 设置成DROP的就要写上这一部，好多人都是望了写这一部规则导致，始终无法SSH。在远程一下)其他的端口也一样，如果开启了web服务器，OUTPUT设置成DROP的话，同样也要添加一条链:roottp # iptables -A OUTPUT -p tcp -sport 80 -j ACCEPT其他同理：如果做了WEB服务器，开启80端口；roottp # iptables -A INPUT -p tcp -dport 80 -j ACCEPT如果做了邮件服务器，开启25，110端口；roottp # iptables -A INPUT -p tcp -dport 110 -j ACCEPTroottp # iptables -A INPUT -p tcp -dport 25 -j ACCEPT如果做了FTP服务器，开启21端口；roottp # iptables -A INPUT -p tcp -dport 21 -j ACCEPTroottp # iptables -A INPUT -p tcp -dport 21 -j ACCEPT如果做了DNS服务器，开启53端口；roottp # iptables -A INPUT -p tcp -dport 53 -j ACCEPT如果你还做了其他的服务器，需要开启哪个端口，照写就行了，上面主要写的都是INPUT链，凡是不在上面的规则里的，都DROP，允许icmp包通过，也就是允许ping：roottp # iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)roottp # iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback!(不然会导致DNS无法正常关闭等问题)IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)IP