今天本打算练练防火墙iptables的东西,本想拿telnet的23号端口练手,没想到在敲实验的时候遇到了些曲折,经过一番努力,把本次实验过程生成文档。
实验环境:rhel5.6及系统盘
实验目的:通过iptables对telnet服务23号端口禁用与放行
实验过程:
1.首先关掉selinux与停止iptables服务,搭建与配置telnet。
本次实验telnet服务器地址是192.168.65.129,如上图显示。
安装telnet软件包,在服务器上一定要安装telnet-server,通常安装两个:一个是telnet(或者telnet-client)另一个是telnet-server。
如上图,经过查询本linux系统没有安装telnet-server
telnet服务和其他服务(比如http)有点区别,在开启telnet时不可以这样 service telnet start打开,telnet服务是在xinetd.d服务里面的,由于xinetd.d服务是系统自启动的,所以只需重启即可,但是到这里重启xinet.d服务没用,需要做个简单的设置一下,也就是编辑/etc/xinetd.d/telnet文件,将里面的disable=yes改成disable=no即可,或者使用ntsysv,在出现的窗口中,将telnet前面*加上,点确定也可以。
# service xinetd restart //重启xinetd服务,这里就是打开激活telnet服务
在本telnet服务器上新建账户test做测试用
在另外一台机器上测试telnet服务:
测试成功。要注意:telnet不是很安全,默认不允许root以telnet进入linux主机,若要允许root用户直接登入,可以这样操作:在telnet服务器linux主机上执行:#mv /etc/securetty /etc/securetty.bak,这样root就可以直接以telnet进入linux主机了。但是,不建议这么做,因为普通用户telnet后,可以切换到root,同样拥有root权限。
默认只允许普通用户用telnet登入。
设置telnet端口:
#vi /etc/services //进入编辑模式后找到telnet,将23修改成未使用的端口号(比如3000),退出vi重启telnet,telnet默认的端口号就被修改了。
对telnet服务进行限制:
telnet是明文传送口令和数据的,如果对默认的设置不满意,可以对其服务范围进行限制,在这里我的telnet服务器住址ip是192.168.65.129,现做如下设置:
# vi /etc/xinetd.d/telnet
上图下面两行的bind和only_from是我添加的,意思就是只允许192.168.65.151telnet,别的机器无法telnet,如下图:
即客户机192.168.65.151可以telnet,再看:
如上图,我又在telnet服务器编辑了/etc/xinetd.d/telnet文件,编辑只允许192.168.65.1telnet,别的机器无法telnet,上图绿色终端ip为192.168.65.1,黑色终端ip为192.168.65.151,结果表明192.168.65.151无法telnet,而192.168.65.1可以telnet。
也可以对/etc/xinetd.d/telnet文件做如下配置:
#vi /etc/xinetd.d/telnet
service telnet
{
disable = no #激活 telnet 服务,no
bind = 210.45.160.17 #your ip
only_from = 210.45.0.0/16 #只允许 210.45.0.0 ~ 210.45.255.255 这个网段进入
only_from = .edu.cn #只有教育网才能进入!
no_access = 210.45.160.{115,116} #这两个ip不可登陆
access_times = 8:00-12:00 20:00-23:59 # 每天只有这两个时间段开放服务
......
}
到这里,telnet服务已经配置完成,下面打开linux防火墙,对telnet进行过滤,现在将/etc/xinetd.d/telnet文件恢复默认设置。
2、打开iptables服务,对telnet进行过滤:# service iptables start
查看当前防火墙规则:
查看telnet端口号,发现是本地是23,远程是107,都将其开启:
#iptables -A INPUT -p tcp --dport 107 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 107 -j ACCEPT
#iptables -A INPUT -p tcp --dport 23 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 23 -j ACCEPT
#service iptables save //保存规则