猛牛哥
记录网络点滴生活
当前位置:猛牛哥的博客 > 服务器 > 正文

iptables防火墙配置方案

2015-05-28 分类:服务器 阅读(5526) 评论(0)

iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。简单的来说iptables是Linux上常用的防火墙软件,下面是iptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等iptables的基本应用。

首先是安装iptables,一般情况下iptables都是随系统一起安装了的,但也有可能是没安装的,所以这里说下如何安装iptables:

Centos下安装iptables

1
yum install iptables

Debian/Ubuntu下安装iptables

1
apt-get install iptables

安装好了iptables后开始配置iptables今本的安全策略:

1、清除已有的iptables规则:

1
2
3
iptables -F
iptables -X
iptables -Z

2、开放指定端口,保障WEB环境的安全:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT  (注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT

3、防Spoofing(伪造内网IP)攻击

1
2
iptables -t filter -A INPUT -i $EXTERNAL_ -s $INTERNAL_NET -j DROP
iptables -t filter -A FORWARD -i $EXTERNAL_ -s $INTERNAL_NET -j DROP

4、防服务器敏感信息扫描

1
2
3
4
5
6
iptables -t filter -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -t filter -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
iptables -t filter -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -t filter -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
iptables -t filter -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -t filter -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

5、不回应ICMP封包(禁ping)

1
2
3
4
iptables -t filter -A INPUT -p icmp --icmp-type echo-requested -j DROP
iptables -t filter -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
iptables -t filter -A FORWARD -p  icmp -- icmp-type echo-requested -j DROP
iptables -t filter -A FORWARD -p  icmp -- icmp-type echo-reply -j DROP

保存iptables规则:

1
service iptables save

如果iptables不会开机自动启动的话,可以将iptables加入加入开机启动

1
chkconfig --level 345 iptables on

另外遇到恶意IP访问的时候可以使用iptables屏蔽:

1
2
3
4
5
6
7
8
#屏蔽单个IP的命令是
iptables -I INPUT -s 122.226.213.3 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 10.159.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 76.74.239.0/24 -j DROP

屏蔽IP后记得保存iptables规则,不然重启之后未保存的规则会丢失。

赞(0) 打赏
猛牛哥原创:猛牛哥的博客 » iptables防火墙配置方案
标签:

相关推荐

评论 抢沙发

取消

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

搜索

最新评论

    热门标签

    CENTOS (29)AARDIO (18)AAU (12)OD (10)linux (10)nginx (8)随身WIFI (7)aardio更新 (7)阿里云 (7)AAU更新 (6)注册码 (6)proxmox (6)VPS (6)HTMLAYOUT (5)反汇编 (5)CE (5)端口转发 (5)iptables (5)虚拟机 (5)服务器 (5)WINDOWS (5)listview (4)phpcms (4)phpstorm (4)debian (4)找基址 (4)openwrt (4)wordpress (4)vmware (3)汇编 (3)

    网站统计

    • 日志总数:301
    • 评论总数:240
    • 标签总数:395
    • 最后更新:2024-04-07

    链接表

    觉得文章有用就打赏一下文章作者

    支付宝扫一扫打赏

    微信扫一扫打赏