网络营销课程培训笔记

1.单月过百个关键词在各大搜索引擎首页有排名不是没有可能;
2.百度推广误删,无备份,教你无损数据恢复;
3.百度稳定排名1年以上,无需操心,独门技巧;
4.百度推广三步走,SEO三步走;
5.SEO关键词怎么选择才会有流量;
6.SEO行业以后会有什么改革性的变化?搜索引擎未来几年会有什么改革?
7.教你怎么管理Seoer团队;
8.搜索引擎命令 语法讲解;
9.百度分析算法分析及讲解;
10.各大搜索引擎 推广盈利模式及站长盈利模式;
11.百度知道升级后,怎么回答才会被选中为推荐答案? 漏洞和规则在那里?
12.不做任何推广一周上百度首页? 解析301定向。
13.0元创造一个公司不是没有可能?
14.怎么分析一个行业适合做SEO还是竞价?

burpsuite 常用功能整理

Target->sitemap 查看所有链接,找含有参数的链接
Proxy->intercept->forward(下一步)->drop(清空)->intercept is(是否截取数据包)->action(动作)
->raw(发送请求)->headers(头文件)->hex(16进制)
Proxy->History->Filter->show only parameterized requests (设置只返回有参数的链接和站点)

Spider 爬行
Scanner 漏洞扫描检测
Repeater 手工验证HTTP请求
Decoder 编码转换
Comparer 数据对比
Alerts 报警提示
Intruder 暴力破解
 
抓包大神工具:burpsuite和fiddler。

appscan查到的漏洞解决方案-java版

1.会话标识未更新:登录页面加入以下代码:
request.getSession(true).invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期

2.跨站点请求伪CSRF:
response.getWriter().write( “<script>parent.location.href=’dbase/admin/loginJsp.action?sessionId=”+sessionId+”‘</script>”);

带参数的:
response.getWriter().write(? “<script language=\”javascript\”> “+”document.write(\”<form action=dbase/admin/loginJsp.action method=post name=formx1 style=’display:none’>\”);”+”document.write(\”<input type=hidden name=name value='”+sessionId+”‘\”);” + “document.write(\”</form>\”);”+”document.formx1.submit();”+”</script>”? );

3.启用不安全HTTP方法
在web.xml加入如下配置

<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

4.已解密登录请求
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transportguarantee>
</user-data-constraint>
</security-constraint>

5.高速缓存的ssl页面
页面添加 <meta http-equiv=”Pragma” contect=”no-cache”>

?6.会话cookie 中缺少HttpOnly 属性
response.addHeader(“Set-Cookie”, “uid=110; Path=/; HttpOnly”);
//设置多个cookie
response.addHeader(“Set-Cookie”, “uid=110; Path=/; HttpOnly”);
response.addHeader(“Set-Cookie”, “timeout=30; Path=/test; HttpOnly”);
//设置https的cookie
response.addHeader(“Set-Cookie”, “uid=110; Path=/; Secure; HttpOnly”);
//csdn博客里面有更多关于appscan扫描报告和修复的详情:http://blog.csdn.net/huoyunshen88/article/details/39181107

银行业务WEB渗透总结

web渗透分为几个层次,新手一般是用啊D,明小子等检测注入漏洞,XXS跨站,Cookies欺骗,弱口令等方式获取webshell,但是在银行和很多定制开发项目中,有开源的工具一扫什么问题都解决了。甚至很多人不懂sql,只用工具。这种一般是通过看一些黑客教程,通过一些开源的漏洞去齐全,如果好好找的话,拿到几万个webshell是正常的,不过商业价值不大,如果量多了的话,通过某种途径去做中间人,价值还是蛮大的,是一个典型的灰色产业。
中级web渗透,懂开发,懂渗透,有时思路确有封闭,根据每个人实际做过的项目经历,对于渗透能理解的程度也不一样,比如Get,Post请求,如果只做过B/S项目的人一般只晓得通过html的url进行get传参,通过表单做post传参,如果表单隐藏了,这种方式并不能发现所有的隐藏域,比如ajax通过js传参的,很难找。如果是做过C/S架构的,网络编程的,可以直接用HTTP去做请求,url和表单传值是上层,基本都要会一些,通用型漏洞是最好上手的,无论新手还是有经验的,再延伸的就是业务层面的漏洞,非工具直接扫描出来的,但是又离不开工具,而且根据每个行业的实际业务,业务逻辑缺陷也会不一样,一个行业熟悉了业务,可以最大化的避免逻辑漏洞的产生。推荐两款工具burpsuite和fiddler都是抓包的顶级工具,截取数据包修改请求。 业务层的漏洞90%都是用相关工具去篡改数据包产生的,有些需要懂业务,有些不需要懂业务,比如自己是某网站的会员。研究一下基本晓得参数的意义,可以获取到那些信息一级价值。
针对银行的业务,首先用appscan扫描出所有的明文传参,依次篡改,看返回值,篡改的数据可以遍历获取,当然如果经过同意可以有直接的测试数据是最好的,速度会快一些。抓取到参数值后,根据实际业务发现问题的严重性。
 

Linux常用基础命令汇总笔记

TAB? 为命令补齐
文件权限 r=4,w=2,x=1 -rwxrwxrwx = 777 读,写,执行
/usr (软件放置处)
/etc (配置文件)
/opt (第三方协力软件)
/boot (开机不核心档)
/var/mail (使用者邮件信箱)
/var/run (程序相关)
/var/spool/news (新闻组)
/var/lock (程序相关)

cd:变换目录
pwd:显示当前目录
mkdir:建立一个新的目录
rmdir:删除一个空白目录

cd ~? 代表转到这个用户的目录 /home/用户
cd?? 没有加上任何路径,也还是代表回到自己目录
cd ..表示去到目前上层目录
cd – 表示回到刚才的目录

cat 由第一行开始显示文档内容
tac 从最后一行开始显示,可以看出 tac 是 cat 倒着写
nl 显示的时候,顺序输出行号
more 一页一页的显示档案内容
less 与more 类似,但是比 more 更好的是,他可以往前翻页
head 叧看头几行
tail 叧看尾几行
od 以二进制癿方式读取文档内容

which (寻找『执行档』)

VIM编辑器
i 编辑
:wq保存退出 (加!强制写入)
H 光标首行
:20 跳转到行位置
dd删除一行
yy复制游标所在行
u复原前一个动作
ctrl + r 重复上一个动作

Ctrl + C 终止目前的命令
Ctrl + D 输入结束 (EOF),例如邮件结束的癿时候
Ctrl + M 就是 Enter
Ctrl + S 暂停屏幕的输出
Ctrl + Q 恢复屏幕的输出
Ctrl + Z 暂停目前的命令
jobs 进入工作中的进程
kill 杀掉进程pid

chmod -R? 755? /data 改变目录权限
chown -R web-tyj /data 改变目录所有者

grep 搜索+正则
ps -aux 查看应用程序进程
uname -a 查看系统核心信息
netstat -atunlp 查看联机信息
chattr lsattr? 隐藏只读属性命令
df -h 查看磁盘容量
halt 关机 reboot重新启动

IPTABLES常用脚本

收集了2个不错的网址,也是别人收藏的。
http://www.cnblogs.com/bangerlee/archive/2013/02/27/2935422.html
http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html
http://blog.chinaunix.net/uid-366408-id-3190812.html
其次整理一些通用规则,在不熟悉的情况下可以直接COPY。

 
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
#for mysqld
-I INPUT -p tcp –dport 3306 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 3306 -j ACCEPT
#for oracle db
-I INPUT -p tcp –dport 1521 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.25.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.100.0/24 -p tcp –dport 1521 -j ACCEPT
#for sshd
-I INPUT -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.65.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.30.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.31.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.12.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.22.0/24 -p tcp –dport 9527 -j ACCEPT
#search 1 caoduo
-I INPUT -p tcp –dport 9200 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 9200 -j ACCEPT
#search 2 caoduo
-I INPUT -p tcp –dport 9300 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 9300 -j ACCEPT
#tomcat_server1
-I INPUT -p tcp –dport 8001 -j ACCEPT
#tomcat_server2
-I INPUT -p tcp –dport 8002 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8002 -j ACCEPT
#tomcat_server3
-I INPUT -p tcp –dport 8003 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8003 -j ACCEPT
#tomcat_server4
-I INPUT -p tcp –dport 8004 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8004 -j ACCEPT
#tomcat_server5
-I INPUT -p tcp –dport 8005 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8005 -j ACCEPT
#tomcat_admin
-I INPUT -p tcp –dport 9799 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.23.0/24 -p tcp –dport 9799 -j ACCEPT
#for was7
-I INPUT -p tcp –dport 9043 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -p tcp –dport 9060 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -p tcp –dport 9080 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -p tcp –dport 9081 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9081 -j ACCEPT
#for rabbitmq
-I INPUT -p tcp –dport 5672 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5672 -j ACCEPT
#for fdfs
-I INPUT -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.65.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.30.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.31.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.12.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.22.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 127.0.0.1 -p tcp –dport 8090 -j ACCEPT
-I INPUT -p tcp –dport 22122 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 22122 -j ACCEPT
-I INPUT -p tcp –dport 23000 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 23000 -j ACCEPT
#for hudson 6080
-I INPUT -p tcp –dport 6080 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 6080 -j ACCEPT
-I INPUT -p tcp –dport 6060 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 6060 -j ACCEPT
#for 电子账户
-I INPUT -p tcp –dport 8888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 8888 -j ACCEPT
#for 郑州 apache 测试
-I INPUT -p tcp –dport 7000 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7000 -j ACCEPT
#for weblogic 访问
-I INPUT -p tcp –dport 7001 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7001 -j ACCEPT
-I INPUT -p tcp –dport 7002 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7002 -j ACCEPT
-I INPUT -p tcp –dport 7003 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7003 -j ACCEPT
-I INPUT -p tcp –dport 7004 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7004 -j ACCEPT
-I INPUT -p tcp –dport 5556 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5556 -j ACCEPT
#for VNC 客户端
-I INPUT -p tcp –dport 5901 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5901 -j ACCEPT

#for 与55的zookeeper
-I INPUT -p tcp –dport 2888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 2888 -j ACCEPT
-I INPUT -p tcp –dport 3888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 3888 -j ACCEPT
-I INPUT -p tcp –dport 20882 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 20882 -j ACCEPT
-I INPUT -p tcp –dport 20881 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 20881 -j ACCEPT
-I INPUT -p tcp –dport 2182 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 2181 -j ACCEPT
#for HR birthday app
-I INPUT -p tcp –dport 9798 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9798 -j ACCEPT
#for svn evertalk @wenqiang
-I INPUT -p tcp –dport 9666 -j ACCEPT
#for svn all developer
-I INPUT -p tcp –dport 10443 -j ACCEPT
-I OUTPUT -p tcp –sport 10443 -j ACCEPT
-I INPUT -p tcp –dport 3343 -j ACCEPT
#for svn liucengrong
-I INPUT -p tcp –dport 8999 -j ACCEPT
#for svn? chanpan? zhangpeng
-I INPUT -p tcp –dport 9999 -j ACCEPT
#for web1
-I INPUT -p tcp –dport 81 -j ACCEPT
#for web2
-I INPUT -p tcp –dport 82 -j ACCEPT
#for jira caoduo zhanghao etc.
-I INPUT -p tcp –dport 8080 -j ACCEPT
#for 55:8081 nexus
-I INPUT -p tcp –dport 8081 -j ACCEPT
#for jenkins
-I INPUT -p tcp –dport 8888 -j ACCEPT
-I INPUT -p tcp –dport 8889 -j ACCEPT
COMMIT

 

===================================================

IPT=”/sbin/iptables”
$IPT –delete-chain
$IPT –flush
$IPT -P INPUT DROP #1
$IPT -P FORWARD DROP#1
$IPT -P OUTPUT DROP #1
$IPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #2
$IPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT #3
$IPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT #3
$IPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT#3
$IPT -A INPUT -p tcp -m tcp –dport 873 -j ACCEPT #3
$IPT -A INPUT -i lo -j ACCEPT #4
$IPT -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT#5
$IPT -A INPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT #5
$IPT -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #6
$IPT -A OUTPUT -p udp -m udp –dport 53 -j ACCEPT #7
$IPT -A OUTPUT -o lo -j ACCEPT #4
$IPT -A OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT #8
$IPT -A OUTPUT -p tcp -m tcp –dport 25 -j ACCEPT #9
$IPT -A OUTPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT#10
$IPT -A OUTPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT #10
service iptables save
service iptables restart
存为脚本iptables. sh,执行sh iptables. sh自动配置防火墙。
解释:
#1、设置INPUT,FORWARD,OUTPUT链默认target为DROP,也就是外部与服务器不能通信。
#2、设置当连接状态为RELATED和ESTABLISHED时,允许数据进入服务器。
#3、设置外部客户端连接服务器端口80,22,21,873。
#4、允许内部数据循回。
#5、允许外部ping服务器。
#6、设置状态为RELATED和ESTABLISHED的数据可以从服务器发送到外部。
#7、允许服务器使用外部dns解析域名。
#8、设置服务器连接外部服务器端口80。
#9、允许服务器发送邮件。
#10、允许从服务器ping外部。
iptables保存:iptables-save
iptables还原:iptables-restore

 

centos常用iptables脚本汇总

#!/bin/bash
export PATH=/sbin:/usr/sbin:/bin:/usr/bin

iptables -F
iptables -X
iptables -Z

#远程SSH登陆,我们要开启22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT

#WEB服务器,开启80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT

#邮件服务器,开启25,110端口.
iptables -A INPUT -p tcp –dport 110 -j ACCEPT
iptables -A INPUT -p tcp –dport 25 -j ACCEPT

#FTP服务器,开启20,21端口

iptables -A INPUT -p tcp -m multiport –dport 21,60000:60050 -j ACCEPT
#如果做了DNS服务器,开启53端口

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp –sport 53 -j ACCEPT
iptables -A INPUT -p udp –dport 53 -j ACCEPT
#对PING做设置
#iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP
#所以对别人的请求丢弃应该就可以达到别人无法PING的
#iptables -A OUTPUT -p icmp –icmp-type 0 -s localip -j DROP
#其实可以不要 包都丢弃了 还怎么会发出响应的包呢

iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -s 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 0 -s $FW_IP -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 8 -s $FW_IP -j ACCEPT

#开放本机对外部80端口
iptables -A INPUT -p tcp ! –syn -s any/0 –sport 80 –dport 1024:65535 -j ACCEPT
iptables -P INPUT DROP

/etc/rc.d/init.d/iptables save
service iptables restart

 

### 允许一个外网IP访问规则

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -s A.B.C.D -j ACCEPT
iptables -P INPUT DROP