Linux防火墙iptables入门教程
一、关于iptables
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。
几乎所有的Linux发行版都预装了iptables。在Ubuntu/Debian中更新/安装iptables的命令为:
sudo apt-get install iptables
现有的一些图形界面软件也可以替代iptables,如Firestarter。但iptables用起来并不难。配置iptables的规则时要特别小心,特别是在你远程登陆服务器的时候。因为这时的一个错误有可能让你和服务器永久失去连接,而你必须要到服务器面前才能解决它。
二、Iptables规则链的类型
Iptables的规则链分为三种:输入、转发和输出。
1.输入——这条链用来过滤目的地址是本机的连接。例如,如果一个用户试图使用SSH登陆到你的PC/服务器,iptables会首先匹配其IP地址和端口到iptables的输入链规则。
2.转发——这条链用来过滤目的地址和源地址都不是本机的连接。例如,路由器收到的绝大数数据均需要转发给其它主机。如果你的系统没有开启类似于路由器的功能,如NATing,你就不需要使用这条链。
有一个安全且可靠的方法可以检测你的系统是否需要转发链:
iptables -L -v
上图是对一台已经运行了几个星期的服务器的截图。这台服务器没有对输入和输出做任何限制。从中可以看到,输入链和输出链已经分别处理了11GB和17GB的数据,而转发链则没有处理任何数据。这是因为此服务器没有开启类似于路由器的转发功能。
3.输出——这条链用来过滤源地址是本机的连接。例如,当你尝试ping howtogeek.com时,iptables会检查输出链中与ping和howtogeek.com相关的规则,然后决定允许还是拒绝你的连接请求。
注意:当ping一台外部主机时,看上去好像只是输出链在起作用。但是请记住,外部主机返回的数据要经过输入链的过滤。当配置iptables规则时,请牢记许多协议都需要双向通信,所以你需要同时配置输入链和输出链。人们在配置SSH的时候通常会忘记在输入链和输出链都配置它。
三、链的默认行为
在配置特定的规则之前,也许你想配置这些链的默认行为。换句话说,当iptables无法匹配现存的规则时,你想让它作出何种行为。
你可以运行如下的命令来显示当前iptables对无法匹配的连接的默认动作:
iptables -L
 正如上面所显示的,我们可以使用grep来使输出的结果变得更加简洁。在上面的截图中,所有的链默认情况下均接受所有的连接。 复制代码 代码如下: iptables --policy INPUT ACCEPT iptables --policy OUTPUT ACCEPT iptables --policy FORWARD ACCEPT 你也可以在使用默认配置的情况下,添加一些命令来过滤特定的IP地址或端口号。我们稍后在本文介绍这些命令。 复制代码 代码如下: iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP 四、对特定连接的配置
|
|
五、允许或阻止特定的连接 在配置完基本的规则链之后,你就可以配置iptables来允许或者阻止特定的IP地址或者端口。 来自同一IP地址的连接 复制代码 代码如下: iptables -A INPUT -s 10.10.10.10 -j DROP 来自一组IP地址的连接 下面这个例子展示了如何阻止来自子网10.10.10.0/24内的任意IP地址的连接。你可以使用子网掩码或者标准的/符号来标示一个子网: 复制代码 代码如下: iptables -A INPUT -s 10.10.10.0/24 -j DROP 或 复制代码 代码如下: iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP 特定端口的连接 这个例子展示了如何阻止来自10.10.10.10的SSH连接。 复制代码 代码如下: iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP 你可以将“ssh”替换成其它任何协议或者端口号。上述命令中的-p tcp告诉iptables连接使用的是何种协议。 下面这个例子展示了如何阻止来自任意IP地址的SSH连接。 复制代码 代码如下: iptables -A INPUT -p tcp --dport ssh -j DROP 六、连接状态 我们之前提到过,许多协议均需要双向通信。例如,如果你打算允许SSH连接,你必须同时配置输入和输出链。但是,如果你只想允许来自外部的SSH请求,那该怎么做? 复制代码 代码如下: iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ACCEPT 七、保存更改 上述方法对iptables规则作出的改变是临时的。如果你想永久保存这些更改,你需要运行额外的命令(不同Linux发行版下的保存命令也不相同): Ubuntu: 复制代码 代码如下: sudo /sbin/iptables-save Red Hat / CentOS: 复制代码 代码如下: /sbin/service iptables save 或者 复制代码 代码如下: /etc/init.d/iptables save |
列出iptables的当前配置:
使用-v选项将显示数据包和字节信息;使用-n选项将以数字形式列出信息,即不将IP地址解析为域名。
换句话讲,主机名,协议和网络都以数字的形式列出。
清除当前所有的配置规则:
iptables -F
相关文章
本篇文章将从源码的角度剖析内核调度的具体原理和实现,以Linux kernel 5.4 版本(TencentOS Server3 默认内核版本)为对象,从调度器子系统的初始化代码开始,分析Linux内核调度器的设计与实现2021-06-06
这篇文章主要介绍了阿里云ECS实例设置用户root密码和远程连接的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-07-07
这篇文章主要给大家介绍了关于Bash中文件描述符的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。2018-04-04
这篇文章主要介绍了Ubuntu部署python3.5的开发和运行环境,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。2017-01-01
这篇文章主要介绍了windows下apache的简单命令,非常不错,具有参考借鉴价值,需要的朋友可以参考下2016-12-12
Win8.1 + CentOS7 双系统 U盘安装(超详细教程)
这篇文章主要介绍了Win8.1 + CentOS7 双系统 U盘安装(超详细教程),非常具有实用价值,需要的朋友可以参考下。2017-01-01
centos 5.1下的安全设置(适合所有的linux版本)
因为root用户对系统具有全权的操作权限,为了避免一些失误的操作,建议在一般情况下,以一般用户登录系统,必要的时候需要root操作权限时,再通过“su -”命令来登录为root用户进行操作。2010-03-03
这篇文章主要介绍了详解Linux 虚拟机根分区磁盘扩充空间记录,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-06
本篇文章主要介绍了Linux 的cp命令详解, cp指令用于复制文件或目录,有兴趣的可以了解一下。2016-11-11
下面小编就为大家带来一篇对send(),recv()函数的全面理解。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-01-01
最新评论