linux防火墻怎么配置-linux中防火墻的基本配置

2012/11/1 9:20:27  出處：本站整理   人氣：189次    字號：小  中  大

linux防火墻怎么配置？下面是linux中防火墻的基本配置，希望對朋友有所幫助！

服務腳本： /etc/rc.d/init.d/iptables

腳本配置文件：/etc/sysconfig/iptables-config

service iptables {status|start|stop|restart|save}

規則的保存位置：/etc/sysconfig/iptables

首先要創建/etc/sysconfig/iptables然后再啟動

若想保存規則 使用命令service iptables save

語法格式：

iptables [-t TABLE] COMMAND CHAIN [CRETIRIA] -j ACTION

-t

raw

mangle

nat

filter:

-t TABLE也可以省略，默認為filter

如果有多個表時，執行順序依次為raw,mangle,nat,filter

COMMAND：對鏈，或者對鏈中的規則進行管理操作

鏈中規則：

-A 追加一條規則

-I # 插入一條規則 后加數字表示插入為第幾條

-R # 替換第幾條

-D # 刪除第幾條規則

鏈：

-N: 新建一個自定義鏈

-X: 刪除一個自定義的空鏈

-E：重命名一條自定義鏈

-F: 清空指定鏈，如果不指定鏈，則清空整個表中的所有鏈

-P: 設定鏈的默認策略

-Z: 置零 (每條規則，包括默認策略都有兩個計數器：一個是被本規則匹配到的所有數據包的個數；另一個是被本規則匹配到的所有數據包的大小之和)；

查看：

-L: 查看

-v

-vv

-vvv

--line-numbers

-x：計數器的精確值（不做單位換算）

-n: 顯示數字地址（不對地址和端口做反解）

匹配條件：

通用匹配

-s 指定源IP或者源網絡

-d 指定目標IP或者目標網絡

網絡地址和目標地址前均可用“!”取反

-p {icmp|tcp|udp}指明協議類型

-i IN_INTERFACE 數據包的流入接口

-o OUT_INTERFACE 數據包流出的接口

擴展匹配

隱式擴展

-p tcp

--sport PORT[-PORT2] 源端口

--dport PORT[-PORT2] 目標端口

--tcp-flags SYN,ACK,RST,FIN SYN

，前表示要檢查的標志位 ，其后為 必須為1的位

--syn --tcp-flags SYN,ACK,RST,FIN SYN 的簡寫

-p udp

--sport

--dport

-p icmp

--icmp-type

0: echo-reply 響應報文

8: echo-request 請求報文

顯式擴展:

netfilter擴展模塊引入的擴展，用于擴展匹配條件，通常需要額外專用選項來定義

-m state: 用于實現連接的狀態檢測

--state

NEW(新發起連接), ESTABLISHED(已建立連接)

RELATED, INVALID（非法的、無法識別的、無效的連接）

-m multiport 同時指定多個端口號，中間用逗號隔開

--source-ports

--destination-ports

--ports

以下用法示例，本機IP：192.168.0.6，外部IP：192.168.0.7

[root@localhost ~]# iptables -L -n 查看已制定規則

[root@localhost ~]# iptables -L -n -t nat 查看nat表

[root@localhost ~]# iptables -t filter -A INPUT -s 192.168.0.7 -p icmp --icmp-type 8 -j DROP #INPUT DROP 必須大寫 拒絕192.168.0.7請求ICMP報文

[root@localhost ~]# iptables -L -n --line-numbers 顯示行號

[root@localhost ~]# iptables -D INPUT 2 刪除INPUT鏈的第二條規則

[root@localhost ~]# iptables -A INPUT -s 192.168.0.7 -d 192.168.0.6 -p icmp --icmp-type 0 -j DROP #關閉對方的ping回應報文

iptables -A INPUT -s ! 172.16.0.0 -d 172.16.100.1 -p tcp --dport 80 -j DROP 拒絕除172.16.0.0網段的所有主機訪問WEB服務

[root@localhost ~]# iptables -F INPUT 清除規則

[root@localhost ~]# iptables -A INPUT -s 0.0.0.0/0 -d 192.168.0.6 -p tcp --dport 22 -j ACCEPT #寫所有地址時一定要寫掩碼

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -p tcp --sport 22 -j ACCEPT

[root@localhost ~]# iptables -P INPUT DROP 把默認策略改為拒絕

[root@localhost ~]# iptables -P OUTPUT DROP

[root@localhost ~]# iptables -A INPUT -s 192.168.0.7 -d 192.168.0.6 -p icmp --icmp-type 8 -j ACCEPT

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -d 192.168.0.7 -p icmp --icmp-type 0 -j ACCEPT 讓別的主機能ping進來

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -p icmp --icmp-type 8 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -p icmp --icmp-type 0 -j ACCEPT 本機能PING通外邊主機

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 允許新建立的和已建立的連接進來

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 允許已建立的連接出去

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -m state --state NEW,ESTABLISHED -j ACCEPT 不區分協議和端口號

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -m state --state ESTABLISHED -j ACCEPT

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -p tcp -m multiport --destination-ports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT 多個端口合到一塊