selinux配置文件,linux selinux配置

　　/etc/init.d/iptables stop(停止防火墙)

　　或者

　　Iptables -F(清除防火墙规则并移除防火墙)

　　Linux防火墙配置命令

　　1)永久生效，重启后不恢复。

　　打开：chkconfig iptables打开

　　关闭：chkconfig iptables关闭

　　2)立即生效，重启后恢复。

　　打开：服务iptables开始

　　关闭：服务iptables停止从：http://blog.ixpub.net/html/95/12686795-72989.html

　　Linux内置的防火墙机制是通过内核中的netfilter模块实现的(www.netfilter.ort)。Linux内核使用netfilter过滤传入和传出的数据包。netfilter由三个规则表组成，每个规则表都有许多内置链。可以使用iptables命令来操作这些表链，比如添加、删除和列出规则。

　　1.Netfilter规则表-filternatmangle

　　过滤器，用于路由网络数据包。是默认值，这意味着如果未指定-t参数，则在创建新规则时，默认情况下会将其存储在表中。

　　输入网络数据包流向服务器

　　从服务器输出网络数据包。

　　转发网络数据包通过服务器进行路由。

　　Nat，用于NAT表。NAT(网络地址转换)是一种IP地址转换方法。

　　预路由网络数据包在到达服务器时可以被修改。

　　输出网络数据包从服务器流出。

　　当路由后网络数据包即将从服务器发送时，可以对其进行修改。

　　Mangle，用于修改网络数据包的表，如TOS(服务类型)、TTL(生存时间)等。

　　输入网络数据包流向服务器

　　输出网络数据包流出服务器

　　转发网络数据包通过服务器转发。

　　预路由网络数据包在到达服务器时可以被修改。

　　当路由后网络数据包即将从服务器发送时，可以对其进行修改。

　　1.配置Iptables

　　当一个包进入服务器时，Linux内核会搜索相应的链，直到找到一个匹配该包的规则。如果此规则的目标是ACCEPT，其余的规则将被跳过，数据包将被连续发送。如果这个规则的目标是DROP，那么这个包会被拦截，内核不会引用其他规则。

　　注意：如果从头到尾都没有匹配数据包的规则，并且在表的末尾没有drop all规则，则该数据包将被接受。另一方面，思科将在会议结束时拒绝所有人。

　　1.)iptables的命令选项

　　iptables [-t tables]命令选项参数目标

　　-A在链的末尾添加一条规则

　　-C在将规则添加到用户定义的链之前检查规则。

　　-D从链中删除规则

　　-E重命名用户定义的链，而不改变链本身。

　　-F清空链并删除链上的所有规则。

　　-我在链中插入一个规则

　　-L列出了一个链上的规则，比如iptables -L INPUT列出了输入链的规则。

　　-N创建新链。

　　-P定义链的默认策略。

　　-R替换链中的规则

　　-X删除与用户相关的链。

　　-Z清除所有表的所有链的字节和数据包计数器。

　　2.)iptables的命令参数

　　-p协议

　　应用于数据包的协议类型可以是TCP UDP ICMP或ALL。也可以用。

　　当使用-p tcp时，可以使用其他选项来进一步定义规则。选项包括：

　　——端口允许您指定匹配数据包的源端口。port1:port，表示port1和port2之间的所有端口。

　　3354端口目的端口，类似于——端口。

　　用-p！Udp，还有一些特殊选项，包括：

　　3354 sport，3354 dport，与-p tcp相同，但用于UDP数据包。

　　使用-p icmp参数时，只有一个选项可用。

　　3354 icmp-type，允许在过滤规则中指定icmp类型。

　　-ssource指定数据包的源地址。此参数后跟IP地址、带子网掩码的网络地址或主机名。(不建议使用主机名)

　　-d，-d，-目的数据包的目的地址，与-s相同.

　　-j，——jump用于指定一个目标，告诉规则将匹配的数据包发送到目标。目标可以是接受、丢弃、排队、返回。如果没有-j，那么不对数据包做任何事情，只需将计数器加1。

　　-i - in-interface，对于输入转发预路由链，此参数指定数据包到达服务器时使用的端口。

　　-o - out-interface，对于输出转发POSTROUTING链，此参数指定数据包离开服务器时使用的端口。

　　3.)iptables的命令目标

　　创建规则的最后一步是指定Iptables对数据包的操作。只要某个规则匹配了这个包，就不会有其他的规则操作。内置目标有：接受丢弃队列返回。

　　接受：允许数据包通过并到达目的地。

　　丢弃：拒绝数据包并丢弃数据包。

　　队列：将数据包发送回用户应用程序进行处理。

　　返回：不根据当前链的其他规则检查数据包，而是直接返回，并继续发送到其目的地址，或下一个链。

　　2.应用Iptables规则的示例

　　允许WWW

　　iptablesa INPUTp TCPd port 80j accept该规则被添加到过滤器表的输入链中，允许目的端口为80的数据包。

　　在内部接口上允许DHCP

　　iptablesA INPUTI eth 0p TCPsport 68d port 67 ACCEPT

　　iptablesa inputI eth 0pucp-sport 68-d port 67 accept及更高版本允许TCP和UDP协议。

　　3.保存和恢复Iptables

　　保存Iptables

　　使用iptables-save保存当前的iptables规则。

　　Iptables-保存iptables保存路径，比如# iptables-save/etc/iptables . up . rule。

　　恢复Iptables

　　使用iptables-restore将iptables表从配置文档恢复到现有的iptables表。

　　iptables-restore/etc/iptables . up . rule II。Ubuntu服务器中的iptables

　　Iptables已经默认安装在Ubuntu Server6.06版本1.3.3中。默认状态是关闭。

　　Iptables可以通过修改/etc/network/interfaces: auto lo打开

　　Iface lo inet环回

　　自动eth0

　　iface eth0 inet dhcp

　　#添加以下预备份iptables-restore/etc/iptables . up . rule

　　#激活eth0时调用恢复的规则

　　post-down iptables-save/etc/iptables . up . rule

　　#当关闭接口eth0，然后重新激活eth0时，恢复iptables规则。

　　此外，您可以随时修改/etc/iptables.up.rule配置文件来更改iptables的规则。Iptables.up.rule的格式如下：#由Iptables生成-保存v 1 . 3 . 3 2007年7月31日星期二14: 18: 44

　　*过滤器

　　:输入接受[73:8213]

　　:转发接受[0:0]

　　:输出接受[8:825]

　　-一个输入I lop icmpj DROP

　　-A输入I eth 0p icmpj DROP

　　犯罪

　　#完成于2007年7月31日星期二14: 10: 44行间不能有空行。三。摘要

　　iptables表链中每个规则的顺序非常重要。如果第一个是全部接受，所有的数据包都将被允许通过防火墙，所以规则的顺序应该适当安排。

　　通常的规则是：拒绝所有允许的少数民族。

　　http://blog..net/windxxf/article/details/815973