Linux配置防火墙详细步骤(iptables命令使用)
博客专区 > Elven_Xu 的博客 > 博客详情
Linux配置防火墙详细步骤(iptables命令使用)
Elven_Xu 发表于2年前
Linux配置防火墙详细步骤(iptables命令使用)
  • 发表于 2年前
  • 阅读 453
  • 收藏 11
  • 点赞 1
  • 评论 0

腾讯云 技术升级10大核心产品年终让利>>>   

摘要: 介绍Linux中配置防火墙详细步骤,即iptables命令使用详细步骤

        在使用Linux服务器的时候,我们会总是会遇到防火墙的一些配置问题。这里就来详细说一下Linux下防火墙的配置。

        通过iptables我们可以为我们的Linux服务器配置有动态的防火墙,能够指定并记住为发送或接收信息包所建立的连接的状态,是一套用来设置、维护和检查Linux内核的IP包过滤规则的命令包。iptables定义规则的方式比较复杂,本文对Linux防火墙iptables规则写法进行详细介绍:

1、iptables规则写法的基本格式是:

iptbales [-ttable] COMMAND chain CRETIRIA -j ACTION

2、iptables规则相关参数说明:

        -t table: 3个filter nat mangle;

        COMMAND:定义如何对规则进行管理;

        chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的;

        CRETIRIA:指定匹配标准;

        -j ACTION:指定如何进行处理。

3、iptables规则其他写法及说明:

        iptables -L -n #查看定义规则的详细信息

        iptables是Linux服务器上防火墙配置必备的设置工具,是我们在做好服务器安全及部署大型网络时,常会用到的重要工具,很好的掌握iptables,可以让我们对Linux服务器整个网络的结构有一个比较透彻的了解,更能够很好的掌握Linux服务器的安全配置技巧。

        我们来配置一个filter表的防火墙。

        1.查看本机关于iptables的设置情况

[root@tp ~]# iptables -L -n

Chain INPUT (policy ACCEPT)

target     prot opt source               destination</p>

<p>Chain FORWARD (policy ACCEPT)

target     prot opt source       destination</p>

<p>Chain OUTPUT (policy ACCEPT)

target     prot opt source       destination</p>

<p>Chain RH-Firewall-1-INPUT (0 references)

target     prot opt source       destination

ACCEPT     all  --  0.0.0.0/0    0.0.0.0/0  

ACCEPT     icmp --  0.0.0.0/0    0.0.0.0/0   icmp type 255

ACCEPT     esp  --  0.0.0.0/0    0.0.0.0/0 

ACCEPTah--0.0.0.0/00.0.0.0/0

ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353

ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631

ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25

REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited

            可以看到我们已经开放了的端口,22、80、25

            如果没有启动防火墙,是这样的,什么规则都没有

[root@tp ~]# iptables -L -n

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        </p>

<p>Chain FORWARD (policy ACCEPT)

target     prot opt source               destination        </p>

<p>Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

      2.清除所有规则

            如果你想配置自己的防火墙,可以先清除现在filter的所有规则。

[root@tp ~]# iptables -F      清除预设表filter中的所有规则链的规则

[root@tp ~]# iptables -X      清除预设表filter中使用者自定链中的规则

            然后再查看防火墙设置的时候,结果就是什么规则都没有了。清除之后记得保存修改!!!!

[root@tp ~]# service iptables restart

            现在iptables配置表里就什么配置都没有了,就可以开始我们自己的配置了。

        3.设定预设规则

[root@tp ~]# iptables -P INPUT DROP

[root@tp ~]# iptables -P OUTPUT ACCEPT

[root@tp ~]# iptables -P FORWARD DROP

        上面的意思是,当超出了iptables里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)。应该说这样配置是很安全的,我们要控制流入数据包。

        而对于OUTPUT链,也就是流出的包我们不用做太多的限制,而是采取ACCEPT,也就是说,不在这个规则里的包就通过。

可以看出INPUT,FORWARD两个链采用的允许什么包通过,而OUTPUT链采用的是不允许什么包通过。

        这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加。但如果你只想要有限的几个规则时,如只做WEB服务器。还是推荐三个连链都是DROP。

        注:如果你是远程SSH登录的话,当你输入第一个命令回车的时候就应该掉了。因为你没有设置任何规则,此时你就要去本机操作了。

        4.添加规则

        首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCEPT(通过)的链,为了能够采用远程SSH登录,我们要开启22端口。

[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

        (注:这个规则,如果你把OUTPUT设置成DROP的就要写上这一部,好多人都是忘了写这一部规则导致,始终无法SSH,在远程一下,就可以了。)

        其他的端口也是一样的,如果开启了WEB服务器,OUTPUT设置成DROP的话,同样也要添加一条链:

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

        如果做邮件服务器,还需要开启25,110端口,命令同上。如果做FTP服务器,则需要开启21端口。如果做DNS服务器,则需要开启53端口。其他端口更具自己的需要设置就行了。

        凡是不在规则里的,都DROP,允许icmp包通过,也就是允许Ping,

[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)

[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT  (INPUT设置成DROP的话)

        允许loopback(不然会导致DNS无法正常关闭等问题)

IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)

IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)

        下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链。减少不安全的端口连接。

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP

[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

        出于安全的考虑,我们往往需要更多的规则,下面来分享一些更细致的规则(限制到某台机器):

        只允许192.168.0.100的机器进行SSH连接:

[root@tp ~]# iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT

         如果要允许或这限制一段IP地址可用192.168.1.0/24表示192.168.0.1-255端的所有IP。

        24表示子网掩码数,但是要记得把/etc/stsconfig/iptables里的这一行删了

        -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT .因为他表示所有地址都可以登陆。或采用命令方式:

root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT

         但是采用命令的方法只会在当时生效,如果需要计算机重启后生效,就要写入到/etc/sysconfig/iptables文件里,并且保存

[root@tp ~]# /etc/rc.d/init.d/iptables save

 

共有 人打赏支持
粉丝 11
博文 19
码字总数 9167
×
Elven_Xu
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: