使用iptables建置Linux 防火墙(3)
2006-04-03 12:36:12 来源:WEB开发网iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
接着修改所有规则,只要是需进行 DROP 动作,都改为跳到 LOG_DROP 规则炼,例如:
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
改为
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG_DROP
至于需要进行 ACCEPT 处理的规则也如法炮制,先建立 LOG_ACCEPT 规则炼:
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
接着修改所有规则,例如:
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
改为
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j LOG_ACCEPT
安装显示分析结果的 PHP 程序:
在解压缩的数据夹中,找到一个叫做 web 的子数据夹,里面就是要给人从网页浏览分析结果的 PHP 程序,如果你的 Apache 已经设定好支持 php 和 php_mysql,那么只要将此数据夹复制到 Apache 的根文件目录就行了。方法如下:
cp -R web /var/www/iptables
拷贝完成后请修改 config.php ,目的是为了让 PHP 程序执行时,能以正确的账号密码连上 MySql ,以便从数据库读取数据,请找到底下三行:
$db_host="localhost";(一般不需修改,除非数据库在另一台主机上)
$db_user="iptables_user";(修改为仅具有读取权限的账号,如果之前安装数据库有自设帐号的话)
更多精彩
赞助商链接