iptables firewallの基本設定のまとめ

1、iptables firewallをインストールします。

iptablesがインストールされていない場合は、まずインストールする必要があります。CentOSの実行：yum install iptables

Debian /Ubuntu実行：apt-get install iptables 2、既存のiptablesルールをクリアするiptables -Fiptables -Xiptables -Z 3指定されたポートを開く＃ローカルループバックインタフェースを許可する（つまり、マシンにアクセスしてマシンにアクセスする）iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 - j ACCEPT＃確立済みまたは関連するパスiptablesを許可する-A INPUT -m state --state ESTABLISHED、関連-j ACCEPT＃iptablesへのすべてのローカルアクセスを許可-A OUTPUT -j ACCEPT＃22ポートiptablesへのアクセスを許可-A入力-p tcp --dport 22 -j ACCEPT＃ポート80 iptablesへのアクセスを許可-A INPUT -p tcp - dport 80 -j ACCEPT＃FTPサービス21および20ポートを許可iptables -A INPUT -p tcp - Dport 21 -j ACCEPTiptables -A INPUT -p tcp --dport 20 -j ACCEPT＃上記のステートメントを少し変更します＃他の許可されていないルールアクセスを禁止します（注：ポート22が結合されていない場合）手当規則SSHリンクは直接切断されます）1）DROP方式iptablesを使用-A INPUT -p tcp -j DROP 2）REJECT方式iptablesを使用-A INPUT -j REJECTiptables -A FORWARD -j REJECT 4.シールドIP＃単にIPをブロックしたい場合は、「3、指定されたポートを開く」を直接スキップすることができます。 ＃単一IPコマンドのスクリーニングは次のとおりです。iptables -I INPUT -s 123.45.6.7 -j DROP＃セグメント全体を123.0.0.1から123.255.255.254まで封じます。iptables -I INPUT -s 123.0.0.0/8 -j DROP＃封IPセグメントは123.45.0.1から123.45.255.254までのコマンドです。iptables -I INPUT -s 124.45.0.0/16 -j DROP＃封IPセグメント123.45.6.1から123.45.6.254までのコマンドはiptables -I INPUT -s 123.45です。 .6.0 /24 -j DROP 4.追加されたiptablesの規則を表示するiptables -L -n

v：規則ごとの一致パケット数および一致バイト数xを含む詳細を表示します。これに基づいて、自動単位変換（K、M）は禁止されていますvps Detective n：IPアドレスとポート番号のみを表示し、ドメイン名にipを解決しません

5、追加されたiptablesルールを削除します

iptables -L -n --line-numbers

たとえば、INPUTのシーケンス番号8のルールを削除するには、次のコマンドを実行します。iptables -D INPUT 8 6. iptablesの起動そしてiptablesをインストールした後に、ルール保存 CentOSが存在するかもしれません、iptablesはブートから起動しません、あなたは実行することができます：chkconfig --level 345 iptables on

ブートに追加します。

CentOSを実行することができます：service iptablesは保存ルールを保存します。

Debian /Ubuntuのiptablesはルールを保存しません。以下の手順に従う必要があります。ネットワークカードを閉じて、iptablesの規則を保存し、起動時にiptablesの規則を読み込みます。 sudoを使用しても現在のユーザーがrootでない場合は、権限がないため保存できないというプロンプトが表示されるので、このコマンドを実行するにはrootユーザーを使用する必要があります。通常のアカウントに切り替えるサーバーを再起動するために、ルールが自動的にロードされ、以下のファイルが作成されます：sudo vim /etc/network/if-pre-up.d/iptables＃！/bin /bashiptables-save> /etc /iptables。ルール

実行権限を追加します。 Chmod + x /etc/network/if-pre-up.d/iptables

基本ルールを添付してください。* filter：INPUT ACCEPT [106：85568]：FORWARD ACCEPT [0：0]：OUTPUT ACCEPT [ ,null,null,3],188：168166]：RH-Firewall-1-INPUT - [0：0]＃ローカルループバックインタフェースを許可します（つまり、このコンピュータを実行してコンピュータにアクセスします）。-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT＃Allow確立済みまたは関連するパスA入力-m状態 - 状態ESTABLISHED、RELATED -j ACCEPT＃すべてのローカルアクセスを外部で許可する-A OUTPUT -j ACCEPT＃壁越しにPPTPダイヤルを許可する-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT＃特定のホストについてのみRsyncデータ同期サービスへのアクセス-A入力-s 8.8.8.8 /32 -p tcp -m tcp --dport 873 -j ACCEPT＃特定のホストについてのみWDCP管理システムへのアクセス-A INPUT -s 6.6.6.6 /32 -p tcp -m tcp --dport 8080 -j ACCEPT＃SSH-Aへのアクセスを許可する-p tcp -m tcp - dport 1622 -j ACCEPT＃FTP-Aへのアクセスを許可する-p tcp -m tcp - dport 21 -j ACCEPT-A入力-p tcp -m tcp - dport 20 -j ACCEPT＃Webサイトのサービスへのアクセスを許可します-A入力-p tcp -m tcp --dport 80 -j ACCEPT ＃すべての不正な接続を禁止する-A入力-p tcp -j DROP＃注：22の場合ポートが定期的に参加することは許されない、SSHは、直接リンクが切断されます。 ＃-A INPUT -j REJECT＃-A FORWARD -j REJECTCOMMITは、次の方法で直接ロードすることができます：1.上記のルールをコピーしてここに貼り付けますsudo vim /etc/iptables.test.rules 2.このルールを置くiptablesを再起動する必要がないことに注意してください。sudo iptables-restore< /etc/iptables.test.rules 3.最新の設定を表示すると、すべての設定が有効になります。 -L -n 4.有効な構成を保存し、システムの再起動時に有効な構成を自動的にロードします（iptablesは現在実行中の規則を保存する機能を提供します）。iptables-save> /etc/iptables.rules