提示:Ubuntu20.04自带iptables无需下载
1.编辑/新建 iptables策略
(vim /etc/iptables.rules 与 vim /etc/sysconfig/iptables)
2.添加防火墙规则
加入内容并保存:
*filter
#默认INPUT 的策略是DROP 即拒绝所有的外来请求
:INPUT DROP [0:0]
#一般情况下用不到FORWARD 可以配置为默认DROP(拒绝)
:FORWARD DROP [0:0]
#本机对其他机器访问设置为默认ACCEPT(允许)
:OUTPUT ACCEPT [0:0]
#允许已经建立和相关的连接
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #允许icmp协议 -A INPUT -p icmp -j ACCEPt #允许回环请求
-A INPUT -i lo -j ACCEPT
#开放端口22 80(如果要开放其他端口 继续添加开放规则即可)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT # 允许ip访问 iptables -A INPUT -p tcp -s 192.168.81.129 -j ACCEPT # 禁止ip访问 iptables -A INPUT -p tcp -s 192.168.81.129 -j DROP 防火墙指定IP(允许/禁止)访问指定端口
# 允许访问3306
iptables -A INPUT -s 192.168.xx.x -p tcp -m tcp --dport 3306 -j ACCEPT
# 禁止访问3306
iptables -A OUTPUT -s 192.168.xx.x -p tcp -m tcp --sport 3306 -j DROP # 禁止ping
iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP # 禁止所有网段ping
iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.81.129-j ACCEPT # 禁止某个或者某网段ping的方式
COMMIT
3.写完配置后,加载配置使策略生效
iptables-save > /etc/iptables.rules #保存配置
iptables-restore < /etc/iptables.rules #加载配置
4.使防火墙开机自动启动
vim /etc/rc.local
添加以下内容:
#!/bin/bash
iptables-restore < /etc/iptables.rules
然后配置可执行权限
chmod +x /etc/iptables.rules
重启系统测试
6.查看规则是否生效
iptables -L -n