Ubuntu Server 12.04 配置防火墙iptables

编程语言 2018-08-05 15:10:41 阅读次数: 0

iptables默认已经被安装上了,但如果不配置规则,默认是允许所有的流量的。
(文中所有操作都是在root用户下操作的)
对于防火墙的设置,一般有两种策略:一种是允许所有端口,只是阻止一些不安全的或者容易被利用的端口;
另外一种是先屏蔽所有的端口,只允许指定的端口。这里使用的是第二种原则。
1.查看iptables列表

iptables -L

如果是刚建立的服务器是没有规则的:

想查看更详细的一些信息可以用:

iptables -L -v

2.入口规则
1)允许建立会话接受流量(入)

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2)在指定端口上允许入站流量 
如果您是通过SSH来远程工作,我们先允许所有的ssh流量(默认22,如果有修改请明确端口号)入站。

iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

命令解析:
-A, --append  添加一条新规则
-P, --policy 策略
-i, --in-interface
-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE等
eth0 指定网卡 (一般服务器都有多个网卡)
这里如果ssh端口手动修改后,比如说是9000,命令则修改成:

iptables -A INPUT -p tcp -i eth0 --dport 9000 -j ACCEPT

我们再加入一条开入网站80端口的规则试试:

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

如果添加的开放端口很多的话也可以用一条指定来完成:

iptables -A INPUT -p tcp -m multiport --dport 80,9000 -j ACCEPT

这条指定就开放了80,9000两个端口,多个端口之间用,分隔。
3)添加回环端口(loopbakc)规则 
iptables -A INPUT -i lo -j ACCEPT
4)阻断流量
iptables -A INPUT -j DROP 
一旦一条规则对一个包进行了匹配,其他规则不再对这个包有效。所以我们在最后做个阻断,如果不满足上述规则就阻断。
保存:
iptables-save
3.编辑规则
在进行完上述操作后,我们看一下iptables的信息

这时我们想把第四条删掉,这里就用到了

iptables -L -n --line-numbers

这个命令将所有iptables以序号标记显示

这时我们要删除Chain INPUT里序号为3的规则,执行:

iptables -D INPUT 4

有删除肯定有插入啊,如果我们想在序号1后面插入一条的新的规则怎么办?
很简单,把上面的新增命令中的-A改成-I,在INPUT后面指定行号就可以了,比如:

iptables -I INPUT 1 -p tcp -i eth0 --dport 1433 -j ACCEPT

4.日志
默认流量是不被记录的,如果你需要记录被丢弃的包的话,执行

iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

5.备份与恢复
保存您的防火墙规则到一个文件 

iptables-save > /etc/iptables.up.rules

设置开机自动启动
编辑/etc/network/interfaces
动态ip位置

 

  1. auto eth0

  2. iface eth0 inet dhcp

  3. pre-up iptables-restore < /etc/iptables.up.rules

静态ip位置

 

  1. auto eth0

  2. iface eth0 inet static

  3. address 8.8.8.8

  4. netmask 255.255.255.224

  5. gateway 8.8.8.4

  6. pre-up iptables-restore < /etc/iptables.up.rules

  7. auto eth1

  8. iface eth1 inet static

  9. address 192.168.1.10

  10. netmask 255.255.255.0

附:
这时我们配置完成后发现机器比外面是没法进行ping命令的。
如果需要的话须进行下列配置:
被ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

ping别人:

iptables -A OUTPUT -p icmp --icmp

注意要放到 DROP之前。

猜你喜欢

转载自blog.csdn.net/zhangbaoqiang1/article/details/81409885
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
BPM为企业带来的实际利益
好程序员web前端分享css常用属性缩写
Java文件下载(excel)
css样式的动态添加及显示和隐藏等零碎用法
axios全局配置以及拦截器
使用Logstash来实时同步MySQL和log日志数据到ES
C++获取当前时间(年月日、时分秒、毫秒)
Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)
Java环境配置正确,但是java、javac、java -version均返回“不是内部或外部命令,也不是可运行的程序或批处理文件”?
01 官网下载各种CentOS教程(超详细版)
每日归档
更多
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022