Linux-day5扩展阅读-linux中iptables防火墙
#防火墙配置
#一、简介
1. 功能
分割内网和外网
划分要被保护的服务器
数据过滤
数据转发
限速
2. 防火墙局限性
防火墙不能有效防止病毒和木马
防火墙一般不设定对内部访问规则,所以对内部攻击无效
3. 防火墙优缺点
优点:
有状态的防火墙
完全规律规则控制
免费
缺点:
配置复杂
维护困难
4. 防火墙配置原则
逐个允许,拒绝所有 (推荐)
逐个拒绝,允许所有
## 二、iptables 防火墙
集成在 Linux 内核中的 IP 信息包过滤系统,通过 iptables 可以实现诸如控
制数据包,系统防护,数据转发等多种系统功能。
iptables 只是 Linux 防火墙管理工具,位于 /sbin/iptables。真正实现防火墙
功能的是 netflter,它是 Linux 核心层内部一个数据包处理模块。
1.Iptables 结构
TableChainsRules
表
链
规则
2. 四表五链
三、iptables 基础语法
1. 基本操作
启动 iptables:service iptables start
关闭 iptables:service iptables stop
重启 iptables:service iptables restart
查看 iptables 状态:service iptables status
保存 iptables 配置:service iptables save
Iptables 服务配置文件:/etc/sysconfig/iptables-config
Iptables 规则保存文件:/etc/sysconfig/iptables
2. 基本语法
iptables [-t 表名] 命令选项
[链名]
[条件匹配] [-j 目标动作或跳转]
表名: fliter(默认),mangle,raw , nat
命令选项:
-A 追加
-D 删除指定一条
-I 在指定位置插入
-R 替换
-L 列出所有规则
-F 清空所有规则
-P 设置某链的默认规则
-n 以端口和 IP 显示
–line-number 显示规则行号
链名:
Filter 表的三个链
INPUT 链 - 处理来自外部的数据
OUTPUT - 处理向外发送的数据
FORWARD 链 –将数据转发到本机的其他网卡设备
条件匹配:
条件匹配分为基本匹配和扩展匹配,拓展匹配又分为隐式扩展和显示
扩展。
基本匹配:
-p 协议如:tcp udp icmp 也可为 all
-s 数据源地址如:IP 地址、网络地址、主机名等
-d 指定目的地址
-i 输入接口
-o 输出接口
常用隐式扩展:
–sport 源端口
–dport 目标端口
目标值:
ACCEPT 允许
DROP
丢弃,无任何响应
REJECT 拒绝,返回一个响应信息
3. 配置 iptables
删除所有规则
允许远程主机进行 SSH 连接
允许本地主机进行 SSH 连接
允许 HTTP 请求
配置默认链策略
4. 简易防火墙
iptables -L
iptables -t nat -L
iptables -A INPUT -s 123.45.6.7 -j ACCEPT
iptables -I INPUT -s 123.45.6.8 -j DROP #ps:默认插到第一行
iptables -I INPUT 4 -s 123.45.6.4 -j DROP
iptables -D INPUT 3
例子:
#禁止本机访问外部 IP 地址为 202.17.61.4 网站
iptables -I FORWARD -d 202.17.61.4 -j DROP
#封 IP 段即从 123.45.9.1 到 123.45.9.254 的命令是
iptables -I INPUT -s 123.45.9.0/24 -j DROP
iptables -F
#对所有地址开放本机的 tcp (80,10-21,22)端口的访问
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT
#限制端口就要加协议 ssh 22
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
#其他未允许的端口禁止访问
iptables -A INPUT -j REJECT
测试:
nmap -sS -p 0-1000 192.168.137.128
默认规则
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
5. 防火墙服务开机自启动
chkconfig iptables on
6. 防火墙规则开启自启动
service iptables save
会把规则保存到 /etc/sysconfig/iptables 文件中,重启会自动读取
端口列表
## 常见允许外网访问的服务
网站
www
http
80/tcp
https
smtp
smtps
pop3
pop3s
imap
443/tcp
25/tcp
邮件
mail
465/tcp
110/tcp
995/tcp
143/tcp
## 常见不允许外网访问的服务
文件服务器
NFS
123/udp
SAMBA 137,138,139/tcp
445/tcp
FTP
SSH
20/tcp 21/tcp
22/tcp
远程管理
数据库
MYSQL 3306/tcp
ORACLE 1521/tcp
推荐文章: