Linux下如何添加防火墙规则

RedHat Linux 为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间，用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。 [Linux ] 为你的系统选择恰当的安全级别。 「高级」 如果你选择了「高级」 ，你的系统就不会接受那些没有被你具体指定的连接（除了默认设置外）。只有以下连接是默认允许的： DNS回应 DHCP — 任何使用 DHCP 的网络接口都可以被相应地配置。 如果你选择「高级」，你的防火墙将不允许下列连接： 1.活跃状态FTP（在多数客户机中默认使用的被动状态FTP应该能够正常运行。） 2.IRC DCC 文件传输 3.RealAudio 4.远程 X 窗口系统客户机 如果你要把系统连接到互联网上，但是并不打算运行服务器，这是最安全的选择。如果需要额外的服务，你可以选择 「定制」 来具体指定允许通过防火墙的服务。 注记:如果你在安装中选择设置了中级或高级防火墙，网络验证方法（NIS 和 LDAP）将行不通。 「中级」 如果你选择了「中级」，你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的： 1.低于1023 的端口 — 这些是标准要保留的端口，主要被一些系统服务所使用，例如： FTP 、 SSH 、 telnet 、 HTTP 、和 NIS 。 2.NFS 服务器端口（2049）— 在远程服务器和本地客户机上，NFS 都已被禁用。 3.为远程 X 客户机设立的本地 X 窗口系统显示。 4.X 字体服务器端口（ xfs 不在网络中监听；它在字体服务器中被默认禁用）。 如果你想准许到RealAudio之类资源的访问，但仍要堵塞到普通系统服务的访问，选择 「中级」 。你可以选择 「定制」 来允许具体指定的服务穿过防火墙。 注记:如果你在安装中选择设置了中级或高级防火墙，网络验证方法（NIS 和 LDAP）将行不通。 「无防火墙」 无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络（非互联网）中运行时，或者你想稍后再进行详细的防火墙配置时才选此项。 选择 「定制」 来添加信任的设备或允许其它的进入接口。 「信任的设备」 选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通；它不受防火墙规则的限制。

一、怎样在Linux系统中安装Iptables防火墙?

几乎所有Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包：

sudo apt-get install iptables

二、关闭哪些防火墙端口?

防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如，如果您运行的是Web服务器，则可能需要打开以下端口：

网络：80和443

SSH：通常在端口22上运行

电子邮件：110(POP3)，143(IMAP)，993(IMAP SSL)，995(POP3 SSL)。

1、还原默认防火墙规则

为确保设置无误，我们需从一套新的规则开始，运行以下命令来清除防火墙中的规则：

iptables -F

2、屏蔽服务器攻击路由

我们可以运行下列标准命令来隔绝常见的攻击。

屏蔽syn-flood数据包：

iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP

屏蔽XMAS数据包：

iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP

阻止无效数据包：

iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP

3、打开所需端口

根据以上命令可屏蔽常见的攻击方式，我们需要打开所需端口。下列例子，供您参考：

允许SSH访问：

iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT

打开LOCALHOST访问权限：

iptables -A INPUT -i lo -j ACCEPT

允许网络流量：

iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT

iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT

允许SMTP流量：

iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT

iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT

三、测试防火墙配置

运行下列命令保存配置并重新启动防火墙：

iptables -L -n

iptables-save / sudo tee / etc / sysconfig / iptables

service iptables restart

以上就是简单的iptables防火墙安装与配置过程。

一，安装并启动防火墙

［root@linux ~］# /etc/init.d/iptables start

当我们用iptables添加规则，保存后，这些规则以文件的形势存在磁盘上的，以CentOS为例，文件地址是/etc/sysconfig/iptables，我们可以通过命令的方式去添加，修改，删除规则，也可以直接修改/etc/sysconfig/iptables这个文件就行了。

1.加载模块

/sbin/modprobe ip_tables

2.查看规则

iptables -L -n -v

3.设置规则

#清除已经存在的规则

iptables -F

iptables -X

iptables -Z

#默认拒绝策略（尽量不要这样设置，虽然这样配置安全性高，但同时会拒绝包括lo环路在内的所#有网络接口，导致出现其他问题。建议只在外网接口上做相应的配置）

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

#ssh 规则

iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT

#本地还回及tcp握手处理

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT

#www-dns 规则

iptables -I INPUT -p tcp –sport 53 -j ACCEPT

iptables -I INPUT -p udp –sport 53 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT

#ICMP 规则

iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT

iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT

二，添加防火墙规则

1，添加filter表

1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口

出口我都是开放的iptables -P OUTPUT ACCEPT，所以出口就没必要在去开放端口了。

2，添加nat表

1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

将源地址是 192.168.10.0/24 的数据包进行地址伪装

3，-A默认是插入到尾部的，可以-I来插入到指定位置

1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT

2.［root@linux ~］# iptables -L -n --line-number

3.Chain INPUT （policy DROP）

4.num target prot opt source destination

5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8

7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的

8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED

11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW

12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默认插到最后

13.Chain FORWARD （policy ACCEPT）

14.num target prot opt source destination

15.Chain OUTPUT （policy ACCEPT）

16.num target prot opt source destination

三，查下iptable规则

1，查看filter表

1.［root@linux ~］# iptables -L -n --line-number |grep 21 //--line-number可以显示规则序号，在删除的时候比较方便

2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21

如果不加-t的话，默认就是filter表，查看，添加，删除都是的

2，查看nat表

1.［root@linux ~］# iptables -t nat -vnL POSTROUTING --line-number

2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）

3.num pkts bytes target prot opt in out source destination

4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0

四，修改规则

1.［root@linux ~］# iptables -R INPUT 3 -j DROP //将规则3改成DROP

五，删除iptables规则

1.［root@linux ~］# iptables -D INPUT 3 //删除input的第3条规则

2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的第一条规则

3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有规则

4.［root@linux ~］# iptables -F //清空所有规则

5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则

六，设置默认规则

1.［root@linux ~］# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP

所有添加，删除，修改后都要保存起来，/etc/init.d/iptables save.上面只是一些最基本的 *** 作，要想灵活运用，还要一定时间的实际 *** 作。

iptables配置常规映射及软路由

作用：虚拟化云平台服务器网段192.168.1.0/24 通过一台linux服务器（eth0:192.168.1.1、eth1:10.0.0.5）做软路由达到访问10.0.0.5能访问的网络范围，并且通过iptables的NAT映射提供服务。

NAT 映射网络端口：

效果： 10.0.0.5:2222 —-》 192.168.1.2:22

命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22

service iptables save

service iptables restart

注意：1.在192.168.1.2的网络配置上需要将NAT主机的内网ip即192.168.1.1作为默认网关，如果10.0.0.5具有公网访问权限，dns则设置成公网对应dns

2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效

软路由192.168.1.0/24通过10.0.0.5访问外网：

命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5

service iptables save

service iptables restart

---