Linux-day5扩展阅读-linux中iptables防火墙

#防火墙配置

#一、简介
1. 功能
分割内网和外网
划分要被保护的服务器
数据过滤
数据转发
限速
2. 防火墙局限性
防火墙不能有效防止病毒和木马
防火墙一般不设定对内部访问规则，所以对内部攻击无效
3. 防火墙优缺点
优点：
有状态的防火墙
完全规律规则控制
免费
缺点：
配置复杂
维护困难
4. 防火墙配置原则
逐个允许，拒绝所有 (推荐)
逐个拒绝，允许所有

## 二、iptables 防火墙
集成在 Linux 内核中的 IP 信息包过滤系统，通过 iptables 可以实现诸如控
制数据包，系统防护，数据转发等多种系统功能。
iptables 只是 Linux 防火墙管理工具，位于 /sbin/iptables。真正实现防火墙
功能的是 netflter，它是 Linux 核心层内部一个数据包处理模块。

1.Iptables 结构
TableChainsRules
表
链
规则
2. 四表五链

三、iptables 基础语法
1. 基本操作
启动 iptables：service iptables start
关闭 iptables：service iptables stop
重启 iptables：service iptables restart
查看 iptables 状态：service iptables status
保存 iptables 配置：service iptables save
Iptables 服务配置文件：/etc/sysconfig/iptables-config
Iptables 规则保存文件：/etc/sysconfig/iptables

2. 基本语法

iptables [-t 表名] 命令选项
[链名]
[条件匹配] [-j 目标动作或跳转]

表名： fliter（默认），mangle，raw , nat
命令选项：
-A 追加
-D 删除指定一条
-I 在指定位置插入
-R 替换
-L 列出所有规则
-F 清空所有规则
-P 设置某链的默认规则
-n 以端口和 IP 显示
–line-number 显示规则行号
链名：
Filter 表的三个链
INPUT 链 - 处理来自外部的数据
OUTPUT - 处理向外发送的数据
FORWARD 链 –将数据转发到本机的其他网卡设备
条件匹配：
条件匹配分为基本匹配和扩展匹配，拓展匹配又分为隐式扩展和显示
扩展。
基本匹配：
-p 协议如:tcp udp icmp 也可为 all

-s 数据源地址如：IP 地址、网络地址、主机名等
-d 指定目的地址
-i 输入接口
-o 输出接口
常用隐式扩展：
–sport 源端口
–dport 目标端口
目标值：
ACCEPT 允许
DROP
丢弃，无任何响应
REJECT 拒绝，返回一个响应信息
3. 配置 iptables
删除所有规则
允许远程主机进行 SSH 连接
允许本地主机进行 SSH 连接
允许 HTTP 请求
配置默认链策略

4. 简易防火墙

iptables -L
iptables -t nat -L

iptables -A INPUT -s 123.45.6.7 -j ACCEPT
iptables -I INPUT -s 123.45.6.8 -j DROP    #ps:默认插到第一行
iptables -I INPUT 4 -s 123.45.6.4 -j DROP
iptables -D INPUT 3Copy

例子:

#禁止本机访问外部 IP 地址为 202.17.61.4 网站
iptables -I FORWARD -d 202.17.61.4 -j DROP
#封 IP 段即从 123.45.9.1 到 123.45.9.254 的命令是
iptables -I INPUT -s 123.45.9.0/24 -j DROP
iptables -F
#对所有地址开放本机的 tcp (80,10-21,22)端口的访问
iptables -I INPUT -p tcp --dport 80 -j ACCEPT





iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT
#限制端口就要加协议 ssh 22
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
#其他未允许的端口禁止访问
iptables -A INPUT -j REJECTCopy

测试：

nmap -sS -p 0-1000  192.168.137.128Copy

默认规则

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPCopy

5. 防火墙服务开机自启动

chkconfig   iptables onCopy

6. 防火墙规则开启自启动

service   iptables   saveCopy

会把规则保存到 /etc/sysconfig/iptables 文件中，重启会自动读取
端口列表

## 常见允许外网访问的服务
网站
www
http
80/tcp
https
smtp
smtps
pop3
pop3s
imap
443/tcp
25/tcp
邮件
mail
465/tcp
110/tcp
995/tcp
143/tcp

## 常见不允许外网访问的服务
文件服务器
NFS
123/udp
SAMBA 137,138,139/tcp
445/tcp
FTP
SSH
20/tcp 21/tcp
22/tcp
远程管理
数据库
MYSQL 3306/tcp
ORACLE 1521/tcp