小白電腦課堂開課啦!遊戲團戰就死機, 多半是廢了。 大家好我是小白。 說到防火牆, 同學們都會想到開了防火牆就會卡的Windows。 而在Linux中, 防火牆是個很重要的服務。 雖然現在已經有了新的firewalld服務, 但新的防火牆配置工具也沒有完全取代iptables, 而且很多企業還在iptables服務。 今天小白就用iptables來演示如何設置防火牆中INPUT的策略。
一、簡介一下iptables。 iptables命令中ACCEPT(允許流量通過)、LOG(記錄日誌資訊)、REJECT(拒絕流量通過)、DROP(拒絕流量通過)。 允許動作和記錄日誌工作都比較好理解, 著重需要講解的是這兩條拒絕動作的不同點, 其中REJECT和DROP的動作操作都是把資料包拒絕,
二、我們今天分別演示:1、設置拒絕規則鏈(預設只能是DROP不能是REJECT);2、向規則鏈中添加icmp包流入允許策略(就是允許別人通過ping命令來查看我們的主機是否線上);3、只允許本機指定埠被指定網段訪問,
1、設置拒絕規則鏈(預設只能是DROP不能是REJECT)。 首先我們輸入“iptables -F”清空所有防火牆策略(一定要在實驗環境下做, 不然會把配置好的策略清除)。 然後輸入“iptables -P INPUT DROP”。 設置好以後我們用“iptables -L”命令查看一下策略列表。 然後用ping命令驗證一下是否設置成功。 可以看到已經拒絕了。 成功之後我們為了下面的演示, 把INPUT策略設置為允許通過“iptables -P ACCEPT”。
2、向規則鏈中添加icmp包流入允許策略(就是允許別人通過ping命令來查看我們的主機是否線上)。 輸入命令:
iptables -I INPUT -p icmp -j ACCEPT, 然後我們用ping命令測試一下, 可以看到ping通了。
3、只允許本機22埠被192.168.1.0/24網段訪問, 其他流量均被拒絕。 我們輸入命令:
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
和命令:
iptables -A INPUT -p tcp --dport 22 -j REJECT
同學們都知道22埠是ssh服務佔用的資源。 我們用ssh測試一下, 可以看到能夠連接到遠端主機。
4、拒絕所有人訪問本機8888埠,輸入命令:
iptables -I INPUT -p tcp --dport 8888 -j REJECT
和命令:
iptables -I INPUT -p udp --dport 8888 -j REJECT
5、拒絕指定主機192.168.1.200訪問本機80埠,輸入命令:
iptables -I INPUT -s 192.168.1.200 -p tcp --dport 80 -j REJECT
6、拒絕所有人訪問本機4444到5555埠,輸入命令:
iptables -A INPUT -p tcp --dport 4444:5555 -j REJECT
和命令:
iptables -A INPUT -p udp --dport 4444:5555 -j REJECT
7、刪除INPUT鏈中的第2條策略,首先我們看一下防火牆策略中的第二條策略是什麼“iptables -L”,然後輸入命令刪除第2條策略:
iptables -D INPUT 2,可以看到第2條策略被刪除了。
8、設置的防護牆策略在重啟系統之後會消失,所有我們要保存設置好的策略,輸入命令:
service iptables save
好了,今天的演示就到這裡了,我們明天見!
告別電腦小白就從小白電腦課堂開始!
4、拒絕所有人訪問本機8888埠,輸入命令:
iptables -I INPUT -p tcp --dport 8888 -j REJECT
和命令:
iptables -I INPUT -p udp --dport 8888 -j REJECT
5、拒絕指定主機192.168.1.200訪問本機80埠,輸入命令:
iptables -I INPUT -s 192.168.1.200 -p tcp --dport 80 -j REJECT
6、拒絕所有人訪問本機4444到5555埠,輸入命令:
iptables -A INPUT -p tcp --dport 4444:5555 -j REJECT
和命令:
iptables -A INPUT -p udp --dport 4444:5555 -j REJECT
7、刪除INPUT鏈中的第2條策略,首先我們看一下防火牆策略中的第二條策略是什麼“iptables -L”,然後輸入命令刪除第2條策略:
iptables -D INPUT 2,可以看到第2條策略被刪除了。
8、設置的防護牆策略在重啟系統之後會消失,所有我們要保存設置好的策略,輸入命令:
service iptables save
好了,今天的演示就到這裡了,我們明天見!
告別電腦小白就從小白電腦課堂開始!