|
linux中防火墙就是iptables了,它的功能强大比windows防止强大多了,下面我整理了一些vps安全配置与一些端口配置iptables规则与大家分享。 第一步,首先确定你的系统已经安装Iptables.打开SSH终端,输入 whereis iptables 如果能看到如下类似信息,说明你已经安装了iptables iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz 如果不是这个提示,或者没有任何提示,那你的Debian上可能没有安装iptables 请使用如下命令安装: sudo apt-get install iptables 注意:本文所有命令在普通帐号下完成,本普通帐号使用sudo具有root权限,本人不建议直接使用root用户 第二步:查看Iptables目前的配置信息 可以使用如下命令查看 sudo iptables -L 如果你是第一次安装配置iptables,你可能会看到如下结果: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 这个结果,也就是防火墙充许所有的请求,就如没有设置防火墙一样. 第三步:配置Iptables 111cn.net 配置Iptables,我们先把一个基本的Iptables的规则文章保存起来,这个规则文章做为测试用 sudo vim /etc/iptables.test.rules 然后在这个文章中输入如下规则内容,这个内容是debian官方给出的基本配置 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound traffic # You could modify this to only allow certain traffic -A OUTPUT -j ACCEPT # Allows HTTP and HTTPS connections from anywhere (the normal ports for websites) -A INPUT -p tcp --dport 80 -j ACCEPT -A INPUT -p tcp --dport 443 -j ACCEPT # Allows SSH connections for script kiddies # THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT # Now you should read up on iptables rules and consider whether ssh access # for everyone is really desired. Most likely you will only allow access from certain IPs. # Allow ping -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # log iptables denied calls (access via 'dmesg' command) -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 # Reject all other inbound - default deny unless explicitly allowed policy: -A INPUT -j REJECT -A FORWARD -j REJECT COMMIT 存本文件,然后把本规则加载,使之生效,注意,iptables不需要重启,加载一次规则就成了 sudo iptables-restore < /etc/iptables.test.rules 然后再查看最新的配置,应该所有的设置都生效了. sudo iptables -L 第四步:保存生效的配置,让系统重启的时候自动加载有效配置 iptables提供了保存当前运行的规则功能 iptables-save > /etc/iptables.up.rules 注意,如果当前用户不是root,即使使用了sudo,也会提示你没有权限,无法保存,所以执行本命令,你必须使用root用户. 可以使用sudo -i快速转到root,使用完成,请及时使用su username切换到普通帐户. 为了重启服务器后,规则自动加载,我们创建如下文件: sudo vim /etc/network/if-pre-up.d/iptables 本文章的内容如下: #!/bin/bash /sbin/iptables-restore < /etc/iptables.up.rules 最后,设置本文章具体可执行仅限 chmod +x /etc/network/if-pre-up.d/iptables 第五:其它 如果你想设置某ip段可以访问所有服务,你需要在iptables.test.rules文件中加入-A INPUT -m iprange --src-range 192.168.1.1-192.168.1.199 -j ACCEPT,然后从第三步再设置一次.注意iptables.test.rules不是必须的,它只是让你的修改时,能更好的测试. 整理了一些linux中iptables防火配置端口配置规则 iptabls规则是从上往下应用,当找到能通过的规则,不管下面是否有规则冲突,也一样通过。 eth0 连接内部网络的网卡 eth1 连接外部网络的网卡 lo 本地环路 1,丢弃所有来自外网的ftp包,内网例外 iptables -A -i lo -j ACCEPT(允许本机内部所有网络通信,必须的) iptables -A -i eht0 -p tcp --dport 21 -j ACCEPT(在本机开放21端口,即ftp控制端口) iptables -A -i eth0 -p tcp --dport 20 -j ACCEPT(在本机开放20端口,即ftp传输端口) iptables -A -i eth1 -j DROP(禁止所有数据包通过){禁止外部ftp} 2,允许ssh禁止telnet iptables -A -i lo -j ACCEPT(允许本机内部所有网络通信,必须的) iptables -A -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A -i eth1 -p tcp --dport 22 -j ACCEPT (在本机开放22端口,即ssh服务端口) iptables -A -i eth1 -p tcp --dport 23 -j DROP(在本机关闭23端口,即telnet服务端口)或者用iptables -A -i eth0 -j DROP 3,禁止使用ping命令,ping本机 iptables -A -p icmp --icmp-type 8 -s 0/0 -j DROP(0/0所有网络) iptables -A -p icmp --icmp-type 0 -s 0/0 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1(本机ip) -j DROP iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.29.1 -j ACCEPT 这样的配置是你能ping别人,别人不能ping自己的主机。 4,禁止访问21端口(ftp)和80端口(web) iptables -A -i eth1 -p tcp --dprot 21 -j DROP iptables -A -i eth0 -p tcp --dprot 21 -j DROP iptables -A -i eth1 -p tcp --dprot 80 -j DROP iptables -A -i eth0 -p tcp --dprot 80 -j DROP 5,禁止所有udp端口 iptables -A -i eth0 -p udp -j DROP iptables -A -i eth1 -p udp -j DROP 6,禁止外部邮件通信,内部允许(禁止pop3,110和smtp,25) iptables -A -i eth0 -p tcp --dprot 25 -j ACCEPT iptables -A -i eth0 -p tcp --dprot 110 -j ACCEPT iptables -A OUTPUT -i eth1 -p tcp --sprot 25 -j DROP iptables -A OUTPUT -i eth1 -p tcp --sprot 110 -j DROP 7,禁止2个特定网络访问本机 iptables -A -i eth1 -s 192.168.1.0/24 -j DROP iptables -A -i eth1 -s 172.16.0.0/16 -j DROP 8,允许从特的端口进入,但禁止对外 iptables -A -i eht1 --dport [端口号] -j ACCEPT iptables -A OUTPUT -i eht1 --dport [端口号] -j DROP 配置iptables静态防火墙 初始化防火墙 iptables -F // --flush -F [chain] Delete all rules in chain or all chains iptables -X // --delete-chain -X [chain] Delete a user-defined chain iptables -Z // --zero -Z [chain] Zero counters in chain or all chains 利用iptables配置您自己的防火墙之前,首先要清除任何以前配置的规则。 配置规则: 配置默认策略 iptables -P INPUT DROP 这一条命令将阻止任何从网络进入电脑的数据包丢弃(drop)。此时,假如您ping 127.0.0.1,您就会发现屏幕一直停在那里,因为ping收不到任何应答数据包。 创建用户自定义的链 iptables -N MYINPUT #iptables -N MYDROPLOG 添加规则 iptables -A INPUT -j MYINPUT 这条规则将任何进入电脑的包转发到自定义的链进行过滤。 iptables -A MYINPUT -p icmp -j ACCEPT 此时再输入命令 ping 127.0.0.1,结果还会和刚才相同吗? 假如要访问www服务 iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT iptables -A MYINPUT -p udp --sport 53 -j ACCEPT #iptables -A MYINPUT -j MYDROPLOG #iptables -A MYDROPLOG -j DROP 记录日志 #iptables -I MYDROPLOG 1 -j LOG --log-prefix '〔IPTABLES DROP LOGS〕:' --log-level debug 这样任何被丢弃的网络数据包都被记录下来了,访问网络的周详信息能够查看日志。至此,一个安全的个人静态防火墙已构建,能够根据访问网络的具体需求再次配置防火墙,满足各种需求。 查看防火墙 iptables -L --line-number (责任编辑:IT) |