Resumen de la configuración básica del firewall de iptables

1. Instale el servidor de seguridad de iptables

Si no tiene instalado iptables, primero debe instalarlo. Ejecución de CentOS: yum install iptables

Ejecución de Debian /Ubuntu: apt-get install iptables 2. Borrar iptables existentes Rule iptables -Fiptables -Xiptables -Z 3. Abra el puerto especificado #Permita la interfaz local de loopback (es decir, ejecute el acceso nativo a la máquina) iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # Permitir establecido O iptables relacionados -A ENTRADA -m estado -estado ESTABLECIDO, RELACIONADO -j ACEPTAR # Permitir que todos los accesos locales a iptables -A SALIDA -j ACEPTAR # Permitir acceso al puerto 22 iptables -A ENTRADA -p tcp - -dport 22 -j ACCEPT # Permitir el acceso al puerto 80 iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Permitir el servicio FTP 21 y 20 puertos iptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A INPUT -p tcp --dport 20 -j ACCEPT # Si hay otros puertos, las reglas son similares. Modifique un poco la declaración anterior. #Prohibir el acceso de otras reglas no permitidas.
(Nota: Si el puerto 22 no incluye la regla permitida, el enlace SSH será directamente Desconectado.) 1). Utilice D Método ROP iptables -A ENTRADA -p tcp -j GOTA 2). Utilice el método RECHAZO iptables -A ENTRADA -j RECOMENDACIONES -A ADELANTE -j RECHAZO 4. Proteger IP # Si solo desea bloquear IP, "3, abra el puerto especificado " se puede omitir directamente. # La selección de un solo comando IP es iptables -I INPUT -s 123.45.6.7 -j DROP # 封 El segmento completo es de 123.0.0.1 a 123.255.255.254 comando iptables -I INPUT -s 123.0.0.0/8 -j DROP # 封El segmento IP es el comando desde 123.45.0.1 hasta 123.45.255.254 iptables -I INPUT -s 124.45.0.0/16 -j DROP # segment El segmento IP es el comando desde 123.45.6.1 hasta 123.45.6.254 es iptables -I INPUT -s 123.45 .6.0 /24 -j DROP 4. Ver las reglas de iptables agregadas iptables -L -n

v: muestra los detalles, incluido el número de paquetes coincidentes y el número de bytes coincidentes por regla x: en v Sobre esta base, la conversión automática de unidades (K, M) está prohibida. Vps Detective n: solo muestra la dirección IP y el número de puerto, no resuelve ip al nombre de dominio

5, elimina la regla de iptables agregada

Mostrar todos los iptables por número de serie, ejecute: iptables -L -n --line-numbers

Por ejemplo, para eliminar la regla con el número de secuencia 8 en ENTRADA, ejecute: iptables -D INPUT 8 6. Inicio de iptables Y el guardado de reglas

CentOS puede existir después de instalar iptables, iptables no se inicia desde el inicio, puede ejecutar: chkconfig --level 345 Iptables en

Agrégalo al arranque.

Se puede ejecutar CentOS: servicio iptables guardar guardar reglas.

Las iptables en Debian /Ubuntu no guardarán las reglas. Debe seguir los pasos a continuación, deje que la NIC se cierre para guardar las reglas de iptables y cargar las reglas de iptables al inicio. Si el usuario actual no es root, incluso si usa sudo, se le indicará que no tiene permiso y no puede guardarlo. Por lo tanto, debe usar el usuario root para ejecutar este comando. Puede usar sudo -i para ir rápidamente a root y usarlo. Por favor, use su nombre de usuario a tiempo. Cambie a la cuenta normal. Para reiniciar el servidor, las reglas se cargan automáticamente, creamos el siguiente archivo: sudo vim /etc/network/if-pre-up.d/iptables #! /Bin /bashiptables-save > /etc /iptables. Reglas

Añadir permiso de ejecución. Chmod + x /etc/network/if-pre-up.d/iptables

Adjunte las reglas básicas: * filtro: INPUT ACCEPT [106: 85568]: FORWARD ACCEPT [0: 0]: OUTPUT ACCEPT [ ,null,null,3],188: 168166]: RH-Firewall-1-INPUT - [0: 0] # Permitir la interfaz de bucle de retorno local (es decir, ejecutar esta máquina para acceder a la máquina) -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # Permitir Establecido o relacionado pass-A INPUT -m estado - estado ESTABLECIDO, RELACIONADO -j ACCEPT # Permitir todos los accesos locales externamente -A OUTPUT -j ACCEPT # Permitir PPTP dial-over wall-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT # Acceso al servicio de sincronización de datos Rsync solo para hosts específicos -A INPUT -s 8.8.8.8/32 -p tcp -m tcp --dport 873 -j ACCEPT # Acceso al sistema de administración WDCP solo para hosts específicos -A INPUT -s 6.6.6.6/32 -p tcp -m tcp --dport 8080 -j ACCEPT # Permitir el acceso a SSH-A INPUT -p tcp -m tcp --dport 1622 -j ACCEPT # Permitir el acceso a FTP-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT # Permitir el acceso a los servicios del sitio web -P ENTRADA -p tcp -m tcp --dport 80 -j ACEPTAR #Apague todas las conexiones no autorizadas -A ENTRADA -p tcp -j DROP # Nota: Si 22 El puerto no permitió unirse a regular, directamente se está desconectada enlace SSH. # -A INPUT -j REJECT # -A FORWARD -j REJECTCOMMIT se puede cargar directamente usando el siguiente método: 1. Copie las reglas anteriores y péguelas aquí. Guarde este archivo sudo vim /etc/iptables.test.rules 2. Ponga esta regla Cargue, haga que sea efectivo, tenga en cuenta que iptables no necesita reiniciarse, cargue la regla una vez que se convierta en sudo iptables-restore < /etc/iptables.test.rules 3. Vea la configuración más reciente, todas las configuraciones deben tener efecto. -L -n 4. Guarde la configuración vigente y cargue automáticamente la configuración válida cuando se reinicie el sistema (iptables proporciona la función para guardar las reglas actuales) iptables-save > /etc/iptables.rules