Welcome 微信登录

首页 / 操作系统 / Linux / Linux iptables 配置详解

一、配置一个filter表的防火墙
 
1. 查看本机关于 iptables 的设置情况
 # iptables -L -n
 
    Chain INPUT (policy ACCEPT)
   target prot opt source destination
   Chain FORWARD (policy ACCEPT)
   target prot opt source destination
   Chain OUTPUT (policy ACCEPT)
   target prot opt source destination
   Chain RH-Firewall-1-INPUT (0 references)
   target prot opt source destination
   ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
   ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
   ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
   ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
   ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
   ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
   ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
   ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
   ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
   ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
   REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
 
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
 如果你在安装linux时没有选择启动防火墙,是这样的
 
# iptables -L -n
 
    Chain INPUT (policy ACCEPT)
   target prot opt source destination
   Chain FORWARD (policy ACCEPT)
   target prot opt source destination
   Chain OUTPUT (policy ACCEPT)
   target prot opt source destination
 
什么规则都没有.
 
2.清除原有规则.
 不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
 # iptables -F 清除预设表filter中的所有规则链的规则
 # iptables -X 清除预设表filter中使用者自定链中的规则
 我们在来看一下
 # iptables -L -n
 
    Chain INPUT (policy ACCEPT)
   target prot opt source destination
   Chain FORWARD (policy ACCEPT)
   target prot opt source destination
   Chain OUTPUT (policy ACCEPT)
   target prot opt source destination
 
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
 # /etc/rc.d/init.d/iptables save
 这样就可以写到 /etc/sysconfig/iptables 文件里了.写入后记得把防火墙重起一下,才能起作用.
 # service iptables restart
 现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
 
3.设定预设规则
 # iptables -p INPUT DROP
 # iptables -p OUTPUT ACCEPT
 # iptables -p FORWARD DROP
 上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
 
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
 
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
 
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
 注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
 怎么办,去本机操作呗!
  • 1
  • 2
  • 3
  • 4
  • 下一页
常用的iptables的具体应用iptables 运行逻辑及-I -A 参数解析相关资讯      IpTables  iptables详解  Linux iptables配置 
  • CentOS Samba 服务器 Iptables 和   (今 07:14)
  • iptables超全详解  (09月01日)
  • Iptables防火墙 基础知识  (08月19日)
  • Iptables工作原理使用详解  (09月06日)
  • iptables中NAT表  (08月25日)
  • Linux 为FTP 服务器添加iptables规  (08月11日)
本文评论 查看全部评论 (0)
表情: 姓名: 字数


评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 版权所有©石家庄振强科技有限公司2024 冀ICP备08103738号-5 网站地图