Linux防火墙设置说明 (linux防火墙在哪)
随着互联网的发展,网络安全问题越来越受到重视,其中防火墙是一种很重要的安全措施。Linux系统提供了多种防火墙软件,如iptables、firewalld等。本文将介绍如何使用iptables设置Linux防火墙。
一、iptables简介
iptables是Linux内核的一个工具集,用于管理网络数据包,实现网络安全控制。其包含多条规则链用于处理数据包,在数据包通过时进行匹配,以决定是否放行或拦截数据包。
二、iptables命令
iptables命令用于设置、修改、查询防火墙规则。以下是常用的iptables命令:
1. iptables -A chnname -p protocol -s source -d destination -j action
添加一条规则到指定的规则链名,指定来源IP和目标IP,采用指定协议,执行指定的动作。
2. iptables -D chnname rulenum
删除指定规则链中的指定规则号码的规则。
3. iptables -L
列出所有规则链及其规则。
4. iptables -F chnname
清空指定规则链中的所有规则。
5. iptables -P chnname policy
设置指定规则链的默认策略,即匹配不到规则时应采取的动作。
三、iptables规则链
iptables规则链用于管理防火墙规则,包括3个预定义的规则链:INPUT、OUTPUT及FORWARD,另外可以自定义规则链。以下是各规则链的功能:
1. INPUT:针对到达本机的数据包进行过滤。
2. OUTPUT:针对本机向外发送的数据包进行过滤。
3. FORWARD:针对本机充当路由器时转发的数据包进行过滤。
添加自定义规则链:
iptables -N chnname
将创建一个新规则链,命名为chnname。
删除自定义规则链:
iptables -X chnname
将删除名为chnname的自定义规则链。
四、iptables规则配置
iptables规则的格式如下:
iptables [-t table_name] -A | -D chnname -p protocol -s source -d destination -j action
其中,-t选项可用于指定使用的表(如filter、nat等),-A表示添加规则,-D表示删除规则。
1. 允许指定IP的所有数据包通过:
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT
2. 禁止指定IP的所有数据包通过:
iptables -A INPUT -s 192.168.1.2 -j DROP
iptables -A OUTPUT -d 192.168.1.2 -j DROP
3. 其他常见规则:
(1)禁止SSH远程访问:
iptables -A INPUT -p tcp –dport 22 -j DROP
(2)允许Ping远程主机:
iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
(3)允许HTTP协议的流量:
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
(4)允许HTTPS协议的流量:
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 443 -j ACCEPT
五、iptables保存与加载
iptables的规则配置保存在/etc/sysconfig/iptables文件中,可通过以下命令保存和加载这些规则:
1. 保存规则:
/in/service iptables save
将当前的iptables规则保存在/etc/sysconfig/iptables文件中。
2. 加载规则:
/in/service iptables start
将/etc/sysconfig/iptables文件中的规则加载到iptables中。
六、
Linux防火墙是保护计算机和网络安全的重要措施,iptables是实现防火墙的常见工具之一。iptables规则链、规则配置及保存与加载等知识都是运维行业的基本技能,有了这些知识,我们就能更好地保护计算机和网络安全。
