Windows system >> Windowsの知識 >  >> Linuxシステムチュートリアル >> Linuxチュートリアル >> iptables firewallの基本設定のまとめ

iptables firewallの基本設定のまとめ

  

1、iptables firewallをインストールします。

iptablesがインストールされていない場合は、まずインストールする必要があります。CentOSの実行:yum install iptables

Debian /Ubuntu実行:apt-get install iptables 2、既存のiptablesルールをクリアするiptables -Fiptables -Xiptables -Z 3指定されたポートを開く#ローカルループバックインタフェースを許可する(つまり、マシンにアクセスしてマシンにアクセスする)iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 - j ACCEPT#確立済みまたは関連するパスiptablesを許可する-A INPUT -m state --state ESTABLISHED、関連-j ACCEPT#iptablesへのすべてのローカルアクセスを許可-A OUTPUT -j ACCEPT#22ポートiptablesへのアクセスを許可-A入力-p tcp --dport 22 -j ACCEPT#ポート80 iptablesへのアクセスを許可-A INPUT -p tcp - dport 80 -j ACCEPT#FTPサービス21および20ポートを許可iptables -A INPUT -p tcp - Dport 21 -j ACCEPTiptables -A INPUT -p tcp --dport 20 -j ACCEPT#上記のステートメントを少し変更します#他の許可されていないルールアクセスを禁止します(注:ポート22が結合されていない場合)手当規則SSHリンクは直接切断されます)1)DROP方式iptablesを使用-A INPUT -p tcp -j DROP 2)REJECT方式iptablesを使用-A INPUT -j REJECTiptables -A FORWARD -j REJECT 4.シールドIP#単にIPをブロックしたい場合は、「3、指定されたポートを開く」を直接スキップすることができます。 #単一IPコマンドのスクリーニングは次のとおりです。iptables -I INPUT -s 123.45.6.7 -j DROP#セグメント全体を123.0.0.1から123.255.255.254まで封じます。iptables -I INPUT -s 123.0.0.0/8 -j DROP#封IPセグメントは123.45.0.1から123.45.255.254までのコマンドです。iptables -I INPUT -s 124.45.0.0/16 -j DROP#封IPセグメント123.45.6.1から123.45.6.254までのコマンドはiptables -I INPUT -s 123.45です。 .6.0 /24 -j DROP 4.追加されたiptablesの規則を表示するiptables -L -n

v:規則ごとの一致パケット数および一致バイト数xを含む詳細を表示します。これに基づいて、自動単位変換(K、M)は禁止されていますvps Detective n:IPアドレスとポート番号のみを表示し、ドメイン名にipを解決しません

5、追加されたiptablesルールを削除します

iptables -L -n --line-numbers

たとえば、INPUTのシーケンス番号8のルールを削除するには、次のコマンドを実行します。iptables -D INPUT 8 6. iptablesの起動そしてiptablesをインストールした後に、ルール保存 CentOSが存在するかもしれません、iptablesはブートから起動しません、あなたは実行することができます:chkconfig --level 345 iptables on

ブートに追加します。

CentOSを実行することができます:service iptablesは保存ルールを保存します。

Debian /Ubuntuのiptablesはルールを保存しません。以下の手順に従う必要があります。ネットワークカードを閉じて、iptablesの規則を保存し、起動時にiptablesの規則を読み込みます。 sudoを使用しても現在のユーザーがrootでない場合は、権限がないため保存できないというプロンプトが表示されるので、このコマンドを実行するにはrootユーザーを使用する必要があります。通常のアカウントに切り替えるサーバーを再起動するために、ルールが自動的にロードされ、以下のファイルが作成されます:sudo vim /etc/network/if-pre-up.d/iptables#!/bin /bashiptables-save> /etc /iptables。ルール

実行権限を追加します。 Chmod + x /etc/network/if-pre-up.d/iptables

基本ルールを添付してください。* filter:INPUT ACCEPT [106:85568]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [ ,null,null,3],188:168166]:RH-Firewall-1-INPUT - [0:0]#ローカルループバックインタフェースを許可します(つまり、このコンピュータを実行してコンピュータにアクセスします)。-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT#Allow確立済みまたは関連するパスA入力-m状態 - 状態ESTABLISHED、RELATED -j ACCEPT#すべてのローカルアクセスを外部で許可する-A OUTPUT -j ACCEPT#壁越しにPPTPダイヤルを許可する-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT#特定のホストについてのみRsyncデータ同期サービスへのアクセス-A入力-s 8.8.8.8 /32 -p tcp -m tcp --dport 873 -j ACCEPT#特定のホストについてのみWDCP管理システムへのアクセス-A INPUT -s 6.6.6.6 /32 -p tcp -m tcp --dport 8080 -j ACCEPT#SSH-Aへのアクセスを許可する-p tcp -m tcp - dport 1622 -j ACCEPT#FTP-Aへのアクセスを許可する-p tcp -m tcp - dport 21 -j ACCEPT-A入力-p tcp -m tcp - dport 20 -j ACCEPT#Webサイトのサービスへのアクセスを許可します-A入力-p tcp -m tcp --dport 80 -j ACCEPT #すべての不正な接続を禁止する-A入力-p tcp -j DROP#注:22の場合ポートが定期的に参加することは許されない、SSHは、直接リンクが切断されます。 #-A INPUT -j REJECT#-A FORWARD -j REJECTCOMMITは、次の方法で直接ロードすることができます:1.上記のルールをコピーしてここに貼り付けますsudo vim /etc/iptables.test.rules 2.このルールを置くiptablesを再起動する必要がないことに注意してください。sudo iptables-restore< /etc/iptables.test.rules 3.最新の設定を表示すると、すべての設定が有効になります。 -L -n 4.有効な構成を保存し、システムの再起動時に有効な構成を自動的にロードします(iptablesは現在実行中の規則を保存する機能を提供します)。iptables-save> /etc/iptables.rules

Copyright © Windowsの知識 All Rights Reserved