|
作为一个网站服务器,只需要开放80端口和22端口即可。80用于web访问,22用于远程登录管理,可以把22端口改成其他的端口,这样更安全。一般来说 在创建访问规则时 都会将原有的规则清零 这是一个比较好的习惯,因为某些规则的存在会影响你建的规则. 基本语法: iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp.icmp,all] [-s ip/nerwork] [--sport ports] [-d ip/netword] [--dport ports] [-j ACCEPT DROP] 以上是iptables的基本语法 A 是添加的意思 I 是播入的意思 io 指的是数据要进入或出去所要经过的端口 如eth1 eth0 pppoe等 p 你所要指定的协议 -s 指源地址 可是单个IP如192.168.2.6 也可以是一个网络 192.168.2.0/24 还可以 是一个域名 如163.com 如果你填写的域名系统会自动解析出他的IP并在iptables里 显示 --sport 来源端口 -d 同-s相似 只不过他指的是目标地址 也可以是IP 域名 和网络 --dport 目标端口 -j 执行参数 ACCEPT DROP 注意:如果以有参数存在 则说明全部接受 1 如我要来自己l0接口的数据全部接受,我们可以写成这样: iptables -A INPUT -i lo -j ACCEPT 2 如果我们想接受192.168.2.6这个IP地址传来的数据我们可以这样写 iptablse -A INPUT -i eth1 -p tcp -s 192.168.2.6 -j ACCEPT 3 如果我们要拒绝来自己192.168.2.0/24这个网的telnet连接 iptablse -A INPUT -i eth1 -p udp -s 192.168.2.0/24 --sport 23 -j DROP 查看现有的防火墙规则 [root@redhata~]# iptables -L -n iptables的默认设置为 三条链都是ACCEPT 如下: iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 查看防火墙状态 [root@redhata~]# service iptables status 修改防火墙默认配置 [root@redhata~]# iptables -P INPUT ACCEPT 清空默认防火墙规则 [root@redhata ~]# iptables -F [root@redhata ~]# iptables -t nat -F 简单的配置防火墙 [root@redhata~]# iptables -A INPUT -i lo -j ACCEPT [root@redhata~]# iptables -A INPUT -m state –state ESTABLISH,RELATED -j ACCEPT [root@redhata~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT [root@redhata~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT [root@redhata~]# iptables -A INPUT -p icmp -j ACCEPT [root@redhata~]# iptables -P INPUT DROP [root@redhata~]# iptables -P FORWARD DROP [root@redhata~]# iptables -P OUTPUT ACCEPT 保存防火墙配置 [root@redhata~]# service iptables save 设置开机启动 [root@redhata~]# chkconfig iptables on 重启防火墙 [root@redhata~]# service iptables restart 查看防火墙 [root@redhata~]# iptables -L -n -v 命令解释 iptables -P INPUTACCEPT 假如利用远程连接,我们必须临时将 INPUT 链的缺省政策改为 ACCEPT,否则当我们清除现有的规则集时,便会将自己封锁在服务器之外。 iptables -F 我们利用 -F 选项来清除一切现存的规则,好让我们能够在崭新的状态下加入的规则。 iptables -A INPUT -i lo -j ACCEPT 现在是时候加入一些规则了。我们利用 -A 选项来附加(新增)规则到某条链,而这里所指的是 INPUT 链。接著我们利用 -i 选项(interface「界面」之意)来指定那些符合或来自 lo(localhost、127.0.0.1)界面的封包。最后我们 -j(jump「跳至」)符合这条规则的目标动作:在这里是 ACCEPT。所以这条规则会导致所有转至localhost 界面的对内封包获得接纳。一般来说这是必须的,因为很多软件预期能够与 localhost 适配器沟通。 iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT 这是担负起大部份工作的规则,而我们再一次将它加进(-A)INPUT 链内。这里我们利用 -m 选项来装入一个模块(state)。state 模块能够查看一个封包并判断它的状态是 NEW、ESTABLISHED 抑或 RELATED。NEW 指进入的封包属于不是由主机初始化的新增连接。ESTABLISHED 及 RELATED 指进入的封包 隶属于一条现存的连接,或者与现存的连接有关系。 iptables -A INPUT -p tcp –dport 22 -j ACCEPT 现在我们加入一条规则来容许 SSH 通过 tcp 端口 22 来连接。这样做是要防止我们连接到远程系统的 SSH 连接意外地被封销。我们稍后会更详细解释这条规则。 iptables -P INPUT DROP 这个 -P 选项设置某条规则链上的缺省政策。我们现在可以将 INPUT 链的缺省政策改为 DROP。意思就是,不符合任何一条规则的对内封包将会被丢弃。要是我们通过 SSH 远程连接而没有加入上一条规则,此刻我们便会被封锁于系统之外。 iptables -P FORWARD DROP 同样地,在这里我们将 FORWARD 链的缺省政策设为 DROP,因为我们并不是用计算机作为路由器,所以理应没有任何封包路经它。 iptables -P OUTPUT ACCEPT 而最后,我们将 OUTPUT 链的缺省政策设为 ACCEPT,因为我们想容许所有对外的流量(由于我们信任我们的用户)。 iptables -L -v 最后,我们可以列出(-L)刚加入的规则,并检查它们是否被正确地装入。 (责任编辑:IT) |