ヒント: Ubuntu20.04 には、ダウンロードしなくても iptables が付属しています
1. iptablesポリシーの編集/作成
(vim /etc/iptables.rules および vim /etc/sysconfig/iptables)
2. ファイアウォールルールを追加する
コンテンツを追加して保存します。
*filter
#デフォルトの INPUT 戦略は DROP です。これは、すべての外部リクエストを拒否することを意味します
: INPUT DROP [0:0] #
通常、これは使用されず、FORWARD をデフォルトの DROP (拒否) として設定できます
:FORWARD DROP [0: 0]
#このマシンは他のマシンへのアクセスに対してデフォルトの ACCEPT に設定されています
:OUTPUT ACCEPT [0:0] #
確立された接続および関連する接続を許可します
-A INPUT -m state --state RELATED,ESTABLISHED -jACCEPT #Allow icmp Protocol -A INPUT -p icmp -j ACCEPT #Allow Loopback request
-A INPUT -i lo -j ACCEPT
#Open port 22 80 (他のポートを開きたい場合は、オープン ルールを追加し続けます)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT # IP アクセスを許可します iptables -A INPUT -p tcp -s 192.168.81.129 -j ACCEPT # ip アクセスを禁止 iptables -A INPUT -p tcp -s 192.168.81.129 -j DROP ファイアウォール指定 IP (許可/禁止) 指定ポートへのアクセス
# へのアクセスを許可3306
iptables -A INPUT -s 192.168.xx.x -p tcp -m tcp --dport 3306 -j ACCEPT
# 3306 へのアクセスを禁止
iptables -A OUTPUT -s 192.168.xx.x -p tcp -m tcp --sport 3306 - j DROP #ping iptablesを禁止します
-A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP #すべてのネットワーク セグメントへの ping
iptables を禁止します -A INPUT -p icmp --icmp-type 8 -s 192.168. 81.129- j ACCEPT # 特定のネットワークセグメントの ping メソッドを禁止します
専念
3. 設定を書き込んだ後、設定をロードしてポリシーを有効にします
iptables-save > /etc/iptables.rules #save 設定
iptables-restore < /etc/iptables.rules #loadconfiguration
4. 起動時にファイアウォールが自動的に起動するようにします。
vim /etc/rc.local
以下を追加します。
#!/bin/bash
iptables-restore < /etc/iptables.rules
次に、実行可能権限を構成します
chmod +x /etc/iptables.rules
システムテストを再起動します
6. ルールが有効かどうかを確認する
iptables -L -n