如何配置linux下的防火墙?
配置linux下的防火墙的方法,可以通过以下步骤操作来实现:
一、在Linux系统中安装Iptables防火墙
1、Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包:
二、关闭哪些防火墙端口
防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如,如果运行的是Web服务器,则可能需要打开以下端口:
网络:80和443
SSH:通常在端口22上运行
电子邮件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、还原默认防火墙规则
为确保设置无误,需从一套新的规则开始,运行以下命令来清除防火墙中的规则:
2、屏蔽服务器攻击路由
可以运行下列标准命令来隔绝常见的攻击。
屏蔽syn-flood数据包:
屏蔽XMAS数据包:
阻止无效数据包:
3、打开所需端口
根据以上命令可屏蔽常见的攻击方式,需要打开所需端口。下列例子,供参考:
允许SSH访问:
打开LOCALHOST访问权限:
允许网络流量:
允许SMTP流量:
三、测试防火墙配置
运行下列命令保存配置并重新启动防火墙:
一,安装并启动防火墙
[root@linux ~]# /etc/initd/iptables start
当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig/iptables,我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了。
1加载模块
/sbin/modprobe ip_tables
2查看规则
iptables -L -n -v
3设置规则
#清除已经存在的规则
iptables -F
iptables -X
iptables -Z
#默认拒绝策略(尽量不要这样设置,虽然这样配置安全性高,但同时会拒绝包括lo环路在内的所#有网络接口,导致出现其他问题。建议只在外网接口上做相应的配置)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#ssh 规则
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
#本地还回及tcp握手处理
iptables -A INPUT -s 127001 -d 127001 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#www-dns 规则
iptables -I INPUT -p tcp –sport 53 -j ACCEPT
iptables -I INPUT -p udp –sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT
#ICMP 规则
iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
二,添加防火墙规则
1,添加filter表
1[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口
出口我都是开放的iptables -P OUTPUT ACCEPT,所以出口就没必要在去开放端口了。
2,添加nat表
1[root@linux ~]# iptables -t nat -A POSTROUTING -s 192168100/24 -j MASQUERADE
将源地址是 192168100/24 的数据包进行地址伪装
3,-A默认是插入到尾部的,可以-I来插入到指定位置
1[root@linux ~]# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
2[root@linux ~]# iptables -L -n --line-number
3Chain INPUT (policy DROP)
4num target prot opt source destination
51 ACCEPT all -- 0000/0 0000/0
62 DROP icmp -- 0000/0 0000/0 icmp type 8
73 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:20 //-I指定位置插的
84 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:22
95 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:80
106 ACCEPT all -- 0000/0 0000/0 state RELATED,ESTABLISHED
117 DROP all -- 0000/0 0000/0 state INVALID,NEW
128 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:21 //-A默认插到最后
13Chain FORWARD (policy ACCEPT)
14num target prot opt source destination
15Chain OUTPUT (policy ACCEPT)
16num target prot opt source destination
三,查下iptable规则
1,查看filter表
1[root@linux ~]# iptables -L -n --line-number |grep 21 //--line-number可以显示规则序号,在删除的时候比较方便
25 ACCEPT tcp -- 19216810/24 0000/0 tcp dpt:21
如果不加-t的话,默认就是filter表,查看,添加,删除都是的
2,查看nat表
1[root@linux ~]# iptables -t nat -vnL POSTROUTING --line-number
2Chain POSTROUTING (policy ACCEPT 38 packets, 2297 bytes)
3num pkts bytes target prot opt in out source destination
41 0 0 MASQUERADE all -- 192168100/24 0000/0
四,修改规则
1[root@linux ~]# iptables -R INPUT 3 -j DROP //将规则3改成DROP
五,删除iptables规则
1[root@linux ~]# iptables -D INPUT 3 //删除input的第3条规则
2[root@linux ~]# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的第一条规则
3[root@linux ~]# iptables -F INPUT //清空 filter表INPUT所有规则
4[root@linux ~]# iptables -F //清空所有规则
5[root@linux ~]# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则
六,设置默认规则
1[root@linux ~]# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP
所有添加,删除,修改后都要保存起来,/etc/initd/iptables save上面只是一些最基本的操作,要想灵活运用,还要一定时间的实际操作。
iptables配置常规映射及软路由
作用:虚拟化云平台服务器网段19216810/24 通过一台linux服务器(eth0:19216811、eth1:10005)做软路由达到访问10005能访问的网络范围,并且通过iptables的NAT映射提供服务。
NAT 映射网络端口:
效果: 10005:2222 —-》 19216812:22
命令:iptable -t nat -A PREROUTING -D 10005 -p tcp –dport 2222 -j DNAT –to-destination 19216812:22
service iptables save
service iptables restart
注意:1在19216812的网络配置上需要将NAT主机的内网ip即19216811作为默认网关,如果10005具有公网访问权限,dns则设置成公网对应dns
2 echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效
软路由19216810/24通过10005访问外网:
命令:iptables -t nat -A POSTROUTING -s 19216810/24 -j SNAT –to-source 10005
service iptables save
service iptables restart
方法如下:
1、使用工具,链接Linux系统。
2、输入用户名,和密码,连接到服务器。
3、连接服务器后,输入语句“service iptables status”,回车,会显示防火墙状态。
4、输入语句“chkconfig iptables on”,可以开启防火墙。或者使用语句“chkconfig iptables off”,关闭防火墙,需要重启后生效。
5、如果想要即可生效,可以使用语句“service iptables start”开启防火墙,或者语句“service iptables stop”关闭,关闭或者开启防火墙后,查询防火墙状态,可以看到相应的变化。
一、怎样在Linux系统中安装Iptables防火墙
几乎所有Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包:
sudo apt-get install iptables
二、关闭哪些防火墙端口
防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如,如果您运行的是Web服务器,则可能需要打开以下端口:
网络:80和443
SSH:通常在端口22上运行
电子邮件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、还原默认防火墙规则
为确保设置无误,我们需从一套新的规则开始,运行以下命令来清除防火墙中的规则:
iptables -F
2、屏蔽服务器攻击路由
我们可以运行下列标准命令来隔绝常见的攻击。
屏蔽syn-flood数据包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS数据包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止无效数据包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打开所需端口
根据以上命令可屏蔽常见的攻击方式,我们需要打开所需端口。下列例子,供您参考:
允许SSH访问:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打开LOCALHOST访问权限:
iptables -A INPUT -i lo -j ACCEPT
允许网络流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允许SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、测试防火墙配置
运行下列命令保存配置并重新启动防火墙:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是简单的iptables防火墙安装与配置过程。
虚拟机linux防火墙设置步骤如下:
1、选择应用程序--系统工具--终端,输入setup。
2、输入setup后,弹出如图所示情况,选择防火墙配置,回车。
3、星代表防火墙开启,要关闭的话,选中启用框(按TAB键选中),选中后按键盘空格键去掉星,再按TAB键,选中确定按钮,选择是。
4、选择网络配置,如图选择设备配置,回车; 选择设备,再回车,进入网络IP设置界面。
5、去掉DHCP中的星号,指定IP地址,确定,选择保存,回车;再选择选择保存并退出,回车。
6、重新启动网络,输入命令:service network restart,选择右上角的网络图标,选择连接网络,从本地ping该虚拟机的IP能成功。
7、也可以通过linux命令修改IP:vi /etc/sysconfig/network-scripts/ifcfg-eth0,重启 service network restart。
0条评论