Configuración detallada de IPTABLES bajo Linux

Si aún no se comprende su conocimiento básico de IPTABLES, se recomienda echarle un vistazo.

Comience a configurarnos para configurar un firewall para la tabla de filtros.
(1) Ver la configuración de la máquina en IPTABLES [root @ tp ~] # iptables -L -nChain INPUT (policy ACCEPT) fuente opt prot objetivo destinationChain ADELANTE (policy ACCEPT) objetivo prot destinationChain fuente opt SALIDA (policy ACCEPT) target fuente opt prot destinationChain RH-Firewall-1-ENTRADA (0 referencias) Protección de destino origen de la fuente ACEPTAR todo - 0.0.0.0/0 0.0.0.0/0 ACEPTAR icmp - 0.0.0.0/0 0.0.0.0/0 icmp tipo 255 ACEPTO esp - 0.0.0.0/0 0.0.0.0/0 ACEPTAR ah - 0.0.0.0/0 0.0.0.0/0 ACCEPT UDP - 0.0.0.0/0 224.0.0.251 dpt UDP: 5353ACCEPT UDP - 0.0.0.0/0 0.0.0.0/0 dpt UDP: 631ACCEPT todo - 0.0 .0.0 /0 0.0.0.0/0 estado relacionado, ESTABLISHEDACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 Estado de Nueva tcp dpt: 22ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 Estado de Nueva tcp dpt: 80ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0 estado NUEVO tcp dpt: 25REJECT all - 0.0.0.0/0 0.0.0.0/0 rechazo con icmp-host-prohibido Cuando instalé Linux, elegí un firewall y abrí los puertos 22, 80 y 25. Si no eligió iniciar el firewall al instalar Linux, esto es [root @ tp ~] # iptables -L -nChain INPUT ( política de ACCEPT) fuente de prot objetivo opt destinationChain ADELANTE (policy ACCEPT) objetivo destinationChain fuente prot opt ​​SALIDA (policy ACCEPT) objetivo origen destino opt prot cualquier regla en absoluto.
(2) eliminar la regla existente. independientemente de si se instala Linux cuando se lanzó Firewall, si desea configurar su propio firewall, borre todas las reglas del filtro actual. [Root @ tp ~] # iptables -F Borre las reglas de todas las cadenas de reglas en el filtro de la tabla preestablecida [root @ tp ~] # iptables -X Eliminar filtro de tabla predefinido en regla de la cadena definida por el usuario nos fijamos en [root @ tp ~] # iptables -L -nChain INPUT (policy ACCEPT) fuente opt prot objetivo destinationChain ADELANTE (policy ACCEPT) prot objetivo Opt source destinationChain OUTPUT (política ACCEPT) target prot opt ​​source destination destination, y no iniciamos el firewall al instalar Linux (De antemano, estas configuraciones son como usar el comando para configurar la IP, el reinicio será inútil), cómo guardar. [Root @ tp ~] # /etc/rc.d/init.d/iptables save Puede escribirse en el archivo /etc /sysconfig /iptables. Después de escribir, recuerde reiniciar el firewall para que funcione. [Root @ tp ~] # service iptables restart Ahora no hay configuración en la tabla de configuración de IPTABLES, entonces Comience nuestra configuración (3) establezca las reglas predeterminadas [root @ tp ~] # iptables -P INPUT DROP [root @ tp ~] # iptables -P SALIDA ACEPTAR [root @ tp ~] # iptables -P FORWARD DROP El significado es que cuando se exceden las dos reglas de la cadena (ENTRADA, AVANCE) en la tabla de filtros en IPTABLES, cómo tratar los paquetes en estas dos reglas, es DROP (abandono). Debe decirse que esta configuración es muy segura. queremos controlar el flujo de paquetes de datos y para la cadena de salida, que está fuera del paquete no tenemos demasiadas restricciones, pero tomar ACEPTAR, es decir, no la regla en el paquete de cómo hacerlo, y que es a través de. Se puede ver que las dos cadenas INPUT, FORWARD usan los paquetes que pueden pasar, y la cadena OUTPUT no permite Es bastante razonable configurarlo. Por supuesto, también puede DESCARGAR las tres cadenas, pero no creo que sea necesario, y las reglas que se van a escribir aumentarán. Pero si solo desea un número limitado de La regla es que, si solo utiliza el servidor WEB, o si recomienda que tres enlaces sean DROP. Nota: Si tiene un inicio de sesión SSH remoto, debe abandonar cuando ingrese el primer comando para ingresar. Porque no ha establecido ninguna regla. ¡Qué hacer, vaya a la operación local! (4) Agregue reglas. Primero agregue la cadena INPUT, la regla predeterminada de la cadena INPUT es DROP, por lo que escribiremos la cadena que necesita ACCETP (pase) para usar el inicio de sesión SSH remoto, tenemos que abrir 22. puerto [root @ tp ~] # iptables -P tcp ENTRADA --dport 22 -j ACCEPT [root @ tp ~] # iptables -p tcp SALIDA --sport 22 -j ACCEPT (Nota: esta regla Si configura OUTPUT en DROP, debe escribir esta sección. Muchas personas esperan escribir esta regla. Siempre es imposible SSH. En el control remoto, no es bueno. Otros puertos son iguales, si Abra el servidor web, si OUTPUT está configurado en DROP, también agregue una cadena: [root @ tp ~] # iptables -A tcp -p SALIDA --sport 80 -j ACCEPT, empatía otra.) Si comete un servidor Web, el puerto 80 abierto. [Root @ tp ~] # iptables -p tcp ENTRADA --dport 80 -j ACCEPT si se hace apertura servidor de correo puerto 25110. [root @ tp ~] # iptables -p tcp ENTRADA --dport 110 -j ACCEPT [root @ tp ~] # iptables -p tcp ENTRADA --dport 25 -j ACCEPT Si comete un servidor FTP, el puerto 21 de apertura [root @ tp ~] # iptables -p tcp ENTRADA --dport 21 -j ACCEPT [root @ tp ~] # iptables -p tcp ENTRADA --dport 20 -j ACEPTAR Si tiene un servidor DNS, abra el puerto 53 [root @ tp ~] # iptables -A ENTRADA -p tcp --dport 53 -j ACEPTAR Si tiene otros servidores, necesita abrir el puerto, escríbalo. de entrada se escriben encima de la cadena principal, no todas las reglas en el anterior, se permite que caiga paquetes ICMP a través de, es decir, permiten dispuestos de ping, [root @ tp ~] # iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT palabras gota) [root @ tp ~] # iptables -A ENTRADA -p icmp -j ACCEPT (ENTRADA dispuesto entonces DROP) permite bucle invertido! (o no se cerrará correctamente resulta en problemas tales como DNS) iptables -A ENTRADA -i lo -p Todo -j ACCEPT (si es GOTA DE ENTRADA) iptables SALIDA -o lo -p todo -j ACCEPT (Si caída de la producción)

La siguiente cadena OUTPUT escritura, regla por defecto es la cadena OUTPUT ACCEPT, por lo que escribimos Necesito una cadena de DROP (abandono).zh-CN"],null,[0.98682177],zh-CN"]]]