小白学习 Linux-Ubuntu 操作系统(含 docker)Linux-day5扩展阅读-linux中iptables防火墙
#防火墙配置
#一、简介
1.功能
分割内网和外网
划分要被保护的服务器
数据过滤
数据转发
限速
2.防火墙局限性
防火墙不能有效防止病毒和木马
防火墙一般不设定对内部访问规则,所以对内部攻击无效
3.防火墙优缺点
优点:
有状态的防火墙
完全规律规则控制
免费
缺点:
配置复杂
维护困难
4.防火墙配置原则
逐个允许,拒绝所有(推荐)
逐个拒绝,允许所有
##二、iptables防火墙
集成在 Linux内核中的 IP信息包过滤系统,通过 iptables可以实现诸如控
制数据包,系统防护,数据转发等多种系统功能。
iptables只是 Linux防火墙管理工具,位于/sbin/iptables。真正实现防火墙
功能的是 netflter,它是 Linux核心层内部一个数据包处理模块。
1.Iptables结构
TableChainsRules
表
链
规则
2.四表五链
三、iptables基础语法
1.基本操作
启动 iptables:service iptables start
关闭 iptables:service iptables stop
重启 iptables:service iptables restart
查看 iptables状态:service iptables status
保存 iptables配置:service iptables save
Iptables服务配置文件:/etc/sysconfig/iptables-config
Iptables规则保存文件:/etc/sysconfig/iptables
2.基本语法
iptables [ -t表名] 命令选项
[链名]
[条件匹配] [-j目标动作或跳转]
表名: fliter(默认),mangle,raw , nat
命令选项:
-A 追加
-D 删除指定一条
-I 在指定位置插入
-R 替换
-L 列出所有规则
-F 清空所有规则
-P 设置某链的默认规则
-n 以端口和 IP显示
–line-number 显示规则行号
链名:
Filter表的三个链
INPUT链 -处理来自外部的数据
OUTPUT -处理向外发送的数据
FORWARD链 –将数据转发到本机的其他网卡设备
条件匹配:
条件匹配分为基本匹配和扩展匹配,拓展匹配又分为隐式扩展和显示
扩展。
基本匹配:
-p 协议如:tcp udp icmp也可为 all
-s 数据源地址如:IP地址、网络地址、主机名等
-d 指定目的地址
-i 输入接口
-o 输出接口
常用隐式扩展:
–sport 源端口
–dport 目标端口
目标值:
ACCEPT 允许
DROP
丢弃,无任何响应
REJECT 拒绝,返回一个响应信息
3.配置 iptables
删除所有规则
允许远程主机进行 SSH连接
允许本地主机进行 SSH连接
允许 HTTP请求
配置默认链策略
4.简易防火墙
iptables -L
iptables -t nat -L
iptables -A INPUT -s 123.45.6.7 -j ACCEPT
iptables -I INPUT -s 123.45.6.8 -j DROP #ps:默认插到第一行
iptables -I INPUT 4 -s 123.45.6.4 -j DROP
iptables -D INPUT 3例子:
#禁止本机访问外部 IP 地址为 202.17.61.4 网站
iptables -I FORWARD -d 202.17.61.4 -j DROP
#封 IP 段即从 123.45.9.1 到 123.45.9.254 的命令是
iptables -I INPUT -s 123.45.9.0/24 -j DROP
iptables -F
#对所有地址开放本机的 tcp (80,10-21,22)端口的访问
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT
#限制端口就要加协议 ssh 22
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
#其他未允许的端口禁止访问
iptables -A INPUT -j REJECT测试:
nmap -sS -p 0-1000 192.168.137.128默认规则
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP5.防火墙服务开机自启动
chkconfig iptables on6.防火墙规则开启自启动
service iptables save会把规则保存到 /etc/sysconfig/iptables文件中,重启会自动读取
端口列表
##常见允许外网访问的服务
网站
www
http
80/tcp
https
smtp
smtps
pop3
pop3s
imap
443/tcp
25/tcp
邮件
mail
465/tcp
110/tcp
995/tcp
143/tcp
##常见不允许外网访问的服务
文件服务器
NFS
123/udp
SAMBA 137,138,139/tcp
445/tcp
FTP
SSH
20/tcp 21/tcp
22/tcp
远程管理
数据库
MYSQL 3306/tcp
ORACLE 1521/tcp
关于 LearnKu
粤公网安备 44030502004330号