Cómo usar el comando iptables para configurar el firewall para el sistema Linux

Por lo general, el sistema tiene su propio firewall, la existencia del firewall para garantizar la seguridad del sistema, la siguiente serie para presentarle cómo usar el comando iptables para configurar el firewall para el sistema Linux Vamos a aprender juntos.

En esta operación tutorial, asegúrese de que puede utilizar la máquina Linux. Si está usando el control remoto ssh, pero no puede operar directamente la máquina, se le recomienda que tenga cuidado, ¡y que sea cuidadoso!

Configuremos un firewall para la tabla de filtros.

(1) Ver la configuración de esta máquina en IPTABLES

El código es el siguiente:

[root @ tp ~] # iptables -L -n

ENTRADA de la cadena (política ACEPTAR)

destino de destino de origen de la fuente "/p" "p" Cadena AVANCE (política ACEPTAR)

objetivo de destino de la fuente de origen de destino "/p" "p" Cadena SALIDA (política ACEPTAR)

destino de origen de la opción de destino "/p" "p" Cadena RH-Firewall-1-INPUT (0 referencias)

destino de destino de la opción de protección de destino

ACEPTAR todo - 0.0.0.0/0 0.0.0.0/0

ACEPTAR icmp - 0.0.0.0/0 0.0.0.0/0 icmp tipo 255 -

ACEPTAR esp - 0.0. 0.0 /0 0.0.0.0/0

ACCEPTah - 0.0.0.0 /00.0.0.0 /0

ACCEPTudp - 0.0.0.0 /0224.0.0.251udpdpt: 5353

ACCEPTudp - 0.0.0.0 /00.0.0.0 /0udpdpt: 631

ACCEPTall - 0.0.0.0 /00.0.0.0 /0stateRELATED, ESTABLISHED

ACCEPTtcc - 0.0.0.0 /00.0. 0.0 /0stateNEWtcpdpt: 22

ACCEPTtcp - 0.0.0.0 /0 0.0.0.0/0stateNEWtcpdpt:80

ACCEPTtcp - 0.0.0.0 /00.0.0.0 /0stateNEWtcpdpt: 25

REJECTall - 0.0.0.0 /00.0.0.0 /0reject-withicmp-host- Prohibido

Se puede ver que cuando instalé Linux, elegí tener un firewall y abrí los puertos 22, 80 y 25.

Si no eligió iniciar el firewall cuando instaló Linux, el código

es el siguiente:

[root @ tp ~] # iptables -L -n

ENTRADA de la cadena (política ACEPTAR)

destino de destino de origen de origen "/p" "p" Cadena ADELANTE (política ACEPTAR)

destino de origen de destino de opción de destino "/p" "p OUT SALIDA de la cadena (política ACEPTAR)

destino destino opción origen destino

No hay reglas.

(2) Borra las reglas originales.

Independientemente de si ha iniciado el firewall al instalar Linux, si desea configurar su propio firewall, borre todas las reglas del filtro actual.

El código es el siguiente:

[root @ tp ~] # iptables -F Borra las reglas de todas las cadenas de reglas en el filtro de tabla preestablecido

[root @ tp ~] # Iptables -X Borre las reglas en la cadena definida por el usuario en el filtro de la tabla preestablecida

Veamos el código de

de la siguiente manera:

[root @ tp ~] # Iptables -L -n

ENTRADA de la cadena (política ACEPTAR)

target prot opt ​​origen destino "/p" "p" Cadena ADELANTE (política ACEPTAR)

target prot opt Destino de origen "/p" "p" Cadena de SALIDA (política ACEPTAR)

destino prot opt ​​destino de destino

Nada, y no iniciamos el firewall al instalar Linux. .
(De antemano, estas configuraciones son como configurar IP con comandos, perderán su efecto cuando se reinicien), cómo guardarlas.

El código es el siguiente:

[root @ tp ~] # /etc/rc.d/init.d/iptables save

Esto le permitirá escribir en /etc /sysconfig En el archivo /iptables. Recuerde reiniciar el firewall después de escribir para trabajar.

El código es el siguiente:

[root @ tp ~] # service iptables restart

Ahora que la configuración en la tabla de configuración de IPTABLES ha desaparecido, comencemos nuestra configuración. Br>

(3) Establezca reglas preestablecidas

El código es el siguiente:

[root @ tp ~] # iptables -P INPUT DROP

[root @ tp ~] # iptables -P SALIDA ACEPTO

[root @ tp ~] # iptables -P FORWARD DROP

El significado anterior es cuando se superan las dos reglas de la cadena en la tabla de filtros en IPTABLES.
(ENTRADA, ADELANTE), cómo tratar con los paquetes en estas dos reglas, es decir, DROP (abandonar). Hay que decir que esta configuración es muy segura. Tenemos que controlar el paquete entrante

y para la cadena de SALIDA, es decir, el paquete saliente, no tenemos que hacer demasiadas restricciones, pero acepte ACEPTAR, es decir, si no tenemos un paquete en la regla, entonces Es a traves de

Se puede ver que las ENTRADAS, ADELANTE dos cadenas usan los paquetes que pueden pasar, y la cadena SALIDA no permite que pasen los paquetes.

Esta configuración es bastante razonable. Por supuesto, también puede SALTAR las tres cadenas, pero no creo que sea necesario, y las reglas que se escribirán aumentarán. Pero si solo desea un número limitado de reglas, simplemente haga un servidor web. Aun así, recomiendo que las tres cadenas sean DROP.

Nota: Si está iniciando sesión en SSH remoto, debe soltarlo cuando ingrese el primer comando para ingresar. Porque no has establecido ninguna regla.

¡Qué hacer, vaya a la máquina para operar!
Anterior123Página siguiente Total 3 páginas