在使用Linux服务器的时候,我们会总是会遇到防火墙的一些配置问题。这里就来详细说一下Linux下防火墙的配置。
通过iptables我们可以为我们的Linux服务器配置有动态的防火墙,能够指定并记住为发送或接收信息包所建立的连接的状态,是一套用来设置、维护和检查Linux内核的IP包过滤规则的命令包。iptables定义规则的方式比较复杂,本文对Linux防火墙iptables规则写法进行详细介绍:
1、iptables规则写法的基本格式是:
iptbales [-ttable] COMMAND chain CRETIRIA -j ACTION
iptbales [-ttable] COMMAND chain CRETIRIA -j ACTION2、iptables规则相关参数说明:
-t table: 3个filter nat mangle;
COMMAND:定义如何对规则进行管理;
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的;
CRETIRIA:指定匹配标准;
-j ACTION:指定如何进行处理。
3、iptables规则其他写法及说明:
iptables -L -n #查看定义规则的详细信息
iptables是Linux服务器上防火墙配置必备的设置工具,是我们在做好服务器安全及部署大型网络时,常会用到的重要工具,很好的掌握iptables,可以让我们对Linux服务器整个网络的结构有一个比较透彻的了解,更能够很好的掌握Linux服务器的安全配置技巧。
我们来配置一个filter表的防火墙。
1.查看本机关于iptables的设置情况
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination</p>
<p>Chain FORWARD (policy ACCEPT)
target prot opt source destination</p>
<p>Chain OUTPUT (policy ACCEPT)
target prot opt source destination</p>
<p>Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPTah--0.0.0.0/00.0.0.0/0
ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353
ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631
ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25
REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination</p>
<p>Chain FORWARD (policy ACCEPT)
target prot opt source destination</p>
<p>Chain OUTPUT (policy ACCEPT)
target prot opt source destination</p>
<p>Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPTah--0.0.0.0/00.0.0.0/0
ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353
ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631
ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25
REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited可以看到我们已经开放了的端口,22、80、25
如果没有启动防火墙,是这样的,什么规则都没有
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination </p>
<p>Chain FORWARD (policy ACCEPT)
target prot opt source destination </p>
<p>Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination </p>
<p>Chain FORWARD (policy ACCEPT)
target prot opt source destination </p>
<p>Chain OUTPUT (policy ACCEPT)
target prot opt source destination2.清除所有规则
如果你想配置自己的防火墙,可以先清除现在filter的所有规则。
[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则然后再查看防火墙设置的时候,结果就是什么规则都没有了。清除之后记得保存修改!!!!
[root@tp ~]# service iptables restart
[root@tp ~]# service iptables restart现在iptables配置表里就什么配置都没有了,就可以开始我们自己的配置了。
3.设定预设规则
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP上面的意思是,当超出了iptables里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)。应该说这样配置是很安全的,我们要控制流入数据包。
而对于OUTPUT链,也就是流出的包我们不用做太多的限制,而是采取ACCEPT,也就是说,不在这个规则里的包就通过。
可以看出INPUT,FORWARD两个链采用的允许什么包通过,而OUTPUT链采用的是不允许什么包通过。
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加。但如果你只想要有限的几个规则时,如只做WEB服务器。还是推荐三个连链都是DROP。
注:如果你是远程SSH登录的话,当你输入第一个命令回车的时候就应该掉了。因为你没有设置任何规则,此时你就要去本机操作了。
4.添加规则
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCEPT(通过)的链,为了能够采用远程SSH登录,我们要开启22端口。
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT(注:这个规则,如果你把OUTPUT设置成DROP的就要写上这一部,好多人都是忘了写这一部规则导致,始终无法SSH,在远程一下,就可以了。)
其他的端口也是一样的,如果开启了WEB服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT如果做邮件服务器,还需要开启25,110端口,命令同上。如果做FTP服务器,则需要开启21端口。如果做DNS服务器,则需要开启53端口。其他端口更具自己的需要设置就行了。
凡是不在规则里的,都DROP,允许icmp包通过,也就是允许Ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链。减少不安全的端口连接。
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP出于安全的考虑,我们往往需要更多的规则,下面来分享一些更细致的规则(限制到某台机器):
只允许192.168.0.100的机器进行SSH连接:
[root@tp ~]# iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT如果要允许或这限制一段IP地址可用192.168.1.0/24表示192.168.0.1-255端的所有IP。
24表示子网掩码数,但是要记得把/etc/stsconfig/iptables里的这一行删了
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT .因为他表示所有地址都可以登陆。或采用命令方式:
root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT但是采用命令的方法只会在当时生效,如果需要计算机重启后生效,就要写入到/etc/sysconfig/iptables文件里,并且保存
[root@tp ~]# /etc/rc.d/init.d/iptables save
[root@tp ~]# /etc/rc.d/init.d/iptables save
