如何配置linux下的防火墙？

配置linux下的防火墙的方法，可以通过以下步骤 *** 作来实现：

一、在Linux系统中安装Iptables防火墙

1、Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包：

二、关闭哪些防火墙端口

防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如，如果运行的是Web服务器，则可能需要打开以下端口：

网络：80和443

SSH：通常在端口22上运行

电子邮件：110(POP3)，143(IMAP)，993(IMAP SSL)，995(POP3 SSL)。

1、还原默认防火墙规则

为确保设置无误，需从一套新的规则开始，运行以下命令来清除防火墙中的规则：

2、屏蔽服务器攻击路由

可以运行下列标准命令来隔绝常见的攻击。

屏蔽syn-flood数据包：

屏蔽XMAS数据包：

阻止无效数据包：

3、打开所需端口

根据以上命令可屏蔽常见的攻击方式，需要打开所需端口。下列例子，供参考：

允许SSH访问：

打开LOCALHOST访问权限：

允许网络流量：

允许SMTP流量：

三、测试防火墙配置

运行下列命令保存配置并重新启动防火墙：

Linux系统内核内建了netfilter防火墙机制。Netfilter（数据包过滤机制），所谓的数据包过滤，就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的，效率非常高。

我们可以通过iptables命令来设置netfilter的过滤机制。

iptables里有3张表：

>Filter（过滤器），进入Linux本机的数据包有关，是默认的表。

>NAT（地址转换），与Linux本机无关，主要与Linux主机后的局域网内计算机相关。

>Mangle（破坏者），这个表格主要是与特殊的数据包的路由标志有关（通常不用涉及到这个表的修改，对这个表的修改破坏性很大，慎改之）。

每张表里都还有多条链：

Filter：INPUT, OUTPUT, FORWARD

NAT：PREROUTING, POSTROUTING, OUTPUT

Mangle：PREROUTING, OUTPUT, INPUT, FORWARD

iptables命令的使用

基本格式：iptables [-t table] -CMD chain CRETIRIA -j ACTION

-t table：3张表中的其中一种filter, nat, mangle，如果没有指定，默认是filter。

CMD： *** 作命令。查看、添加、替换、删除等。

chain：链。指定是对表中的哪条链进行 *** 作，如filter表中的INPUT链。

CRETIRIA：匹配模式。对要过滤的数据包进行描述

ACTION： *** 作。接受、拒绝、丢弃等。

查看

格式：iptables [-t table] -L [-nv]

修改

添加

格式：iptables [-t table] -A chain CRETIRIA -j ACTION

将新规则加入到表table（默认filter）的chain链的最后位置

插入

格式：iptables [-t table] -I chain pos CRETIRIA -j ACTION

将新规则插入到table表（默认filter）chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为：1 ~ num+1

替换

格式：iptables [-t table] -R chain pos CRETIRIA -j ACTION

用新规则替换table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num

删除

格式：iptables [-t table] -D chain pos

删除table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num

包匹配（CRETIRIA）

上面没有介绍CRETIRIA的规则，在这小节里详细介绍。包匹配就是用于描述需要过滤的数据包包头特殊的字段。

指定网口：

-i ：数据包所进入的那个网络接口，例如 eth0、lo等，需与INPUT链配合

-o: 数据包所传出的那么网络接口，需与OUTPUT链配合

指定协议：

-p：tcp, udp, icmp或all

指定IP网络：

-s：来源网络。可以是IP或网络

IP： 192.168.0.100

网络： 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可

可以在前加 ! 表示取反

-d：目标网格。同 -s

指定端口：

--sport：指定来源端口。可以是单个端口，还可以是连续的端口，例如：1024:65535。

--dport：指定目标端口。同--sport

注意：要指定了tcp或udp协议才会有效。

指定MAC地址：

-m mac --mac-source aa:bb:cc:dd:ee:ff

指定状态：

-m state --state STATUS

STATUS可以是：

>INVALID，无效包

>ESTABLISHED，已经连接成功的连接状态

>NEW，想要新立连接的数据包

>RELATED，这个数据包与主机发送出去的数据包有关，（最常用）

例如：只要已建立连接或与已发出请求相关的数据包就予以通过，不合法数据包就丢弃

-m state --state RELATED,ESTABLISHED

ICMP数据比对

ping *** 作发送的是ICMP包，如果不想被ping到，就可以拒绝。

--icmp-type TYPE

TYPE如下：

8 echo-request（请求）

0 echo-reply（响应）

注意：需要与 -p icmp 配合使用。

*** 作（ACTION）

DROP，丢弃

ACCEPT，接受

REJECT，拒绝

LOG，跟踪记录，将访问记录写入 /var/log/messages

保存配置

将新设置的规则保存到文件

格式：iptables-save [-t table]

将当前的配置保存到 /etc/sysconfig/iptables

其它

格式：iptables [-t table] [-FXZ]

-F ：请除所有的已制订的规则

-X ：除掉所有用户“自定义”的chain

-Z ：将所有的统计值清0

1、安装miredo。

$sudo apt-get install miredo

2、修改防火墙IPv6设置

以root权限打开ufw的配置文件: "/etc/default/ufw"，找到"IPV6=no"这一行，将其改为"IPV6=yes"。

最后禁用/启用防火墙来使刚刚的改动生效：

$ sudo ufw disable

$ sudo ufw enable

3、重启网络

$sudo invoke-rc.d networking restart

4、测试是否设置成功

$ping6 ipv6.google.com

PING ipv6.google.com(2404:6800:4005:c00::93) 56 data bytes

ping: sendmsg: Operation not permitted

ping: sendmsg: Operation not permitted

5.设置ip6tables

$sudo ip6tables -L(查看ip6tables防火墙规则)

$sudo ip6tables -t filter -A OUTPUT -j ACCEPT

---