linuxiptables配置
Ⅰ 在linux 下如何設置iptables 防火牆
Iptable -A Input -p Tcp -d 自己的IP地址 b --dPort 埠 -J Reject
RedHat機器
cat /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [10276:1578052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13784:16761487]
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 is interface to internet
# anti Sync Flood
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
# anti some port scan
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
# anti ping of death
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
COMMIT
chkconfig iptables on
以後每次啟動iptables就會自動讀取配置文件(/etc/sysconfig/iptables)
自動啟動
或者是/etc/rc.d/init.d/iptables start手工啟動
/etc/rc.d/init.d/iptables stop手工停止
在LINUX下架設防火牆
linuxbird
隨著Internet的普及,人們的日常工作與之的關系也越來緊密,因而越來越多的單位為員工開設了Internet的代理上網服務。但當一個企業的內部網路接上Internet之後,企業的內部資源就象待賣的羔羊一樣,面臨任人宰割的危險,因而系統的安全除了考慮計算機病毒、系統的健壯性等內部原因之外,更主要的是防止非法用戶通過Internet的入侵。而目前防止的措施主要是靠防火牆的技術完成。
一、什麼是防火牆
防火牆(firewall)是指一個由軟體或和硬體設備組合而成,處於企業或網路群體計算機與外界通道(Internet)之間,限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。主要是控制對受保護的網路(即網點)的往返訪問,逼使各連接點的通過能得到檢查和評估。
從誕生到現在,防火牆已經歷了四個發展階段:基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。目前防火牆供應商提供的大部分都是具有安全操作系統的軟硬體結合的防火牆,象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系統上的防火牆軟體也很多,除了下面要專門介紹的IPCHAINS外,還有很多,如:Sinus Firewall、Jfwadmin等。
目前的防火牆從結構上講,可分為兩種:
1) 代理主機結構
內部網路<----->代理網關(Proxy Gateway)<----->Internet
2) 路由器加過濾器結構
內部網路<----->過濾器(Filter)<---->路由器(Router)<---->Internet
二、用IPCHAINS構建區域網防火牆的原理
其實從本質上講,用IPCHAINS構建區域網防火牆也是一種C/S模式的互動式的應用。一般伺服器提供某特定功能的服務總是由特定的後台程序提供的。在TCP/IP網路中,常常把這個特定的服務綁定到特定的TCP或UDP埠。之後,該後台程序就不斷地監聽(listen)該埠,一旦接收到符合條件的客戶端請求,該服務進行TCP握手後就同客戶端建立一個連接,響應客戶請求。與此同時,再產生一個該綁定的拷貝,繼續監聽客戶端的請求。
IPCHAINS就是這樣的一個SERVER。對內部網通往Intenet的請求,或從外部通往內部網的請求,都進行監聽、檢查、評估、轉發、拒絕等動作。
常用的服務、協議與默認埠。
服務類型 協議 埠
WWW TCP/UDP 80
TELNET
ICMP
SMTP
POP3
ftp
DNS
三、用IPCHAINS作防火牆的步驟
1.安裝
IPCHAINS現在的版本已經發展到1.3.9。一般在安裝LINUX時都會安裝上,如果沒有的話可以到www.linux.org下載。下面筆者一TLC4.0為例安裝IPCHAINS。由於它需IP-MASQ的支持,所以確定已安裝了IP-MASQ模塊。
在TLC4.0中,把該光碟放入光碟機中,
#turbopkg
並選擇ipchains,然後按OK就自動自動安裝了。
如果你是下載ipchains安裝包的話:
1)如果是rpm包:
#rpm –ivh *.rpm
2)如果是.tar.gz包
#tar xvfz *.tar.gz(先把包解開)
再到解開目錄
#./configure
#make
#make install
這樣就安裝成功了。
2.啟用ipchains
手工修改 /proc/sys/net/ipv4/ipforward文件,將其內容置為1。
在/etc/rc.d/目錄下用touch命令建立rc.ipfwadm文件
在/etc/rc.d/目錄下的rc.local文件中加上下面這段代碼:
if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;
以後所有的ipchains的配置命令都將在rc.ipfwadm文件里修改。
3.配置ipchains(基本應用)
ipchains對機器的管理是通過對機器的ip地址作為標志的,因而首先得確保你的區域網的機器的ip地址已經配分配好,並且你對之相當熟悉。
Ipchains的配置規則一般是圍繞著input、output、ipforward這三個規則進行的,其中input是指對內連接請求的過濾規則,output是指對外連接請求的過濾規則,ipforward是指對內部與外部通訊包的轉發。Ipchains的命令格式一般是:
ipchains [ADC] ipchains規則 [ipchains 選項]。
有關命令的詳細用法請參考有關HOWTO文檔。
現在我們假設企業的內部網網段為192.168.1.0~192.168.1.255.其中防火牆的主機的IP地址為:192.168.1.1,假設目前防火牆是進行代理上網,拒絕所有的外部telnet。對內部用戶訪問外部站點進行限制、並授予一些機器特權可任意訪問外部機器、拒絕內部某些機器訪問Internet等。網段示意圖為:
+--------------+
| 內部網段 | 192.168.1.1 ISDN、PSDN
| +------------|firewall|<===============>Internet
| 192.168.1.0 | +--------+
+-------------- +
配置ipchains防火牆規則一般有兩種方式:
1) 首先允許所有的包,然後在禁止有危險的包通過防火牆;
2) 首先禁止所有的包,然後再根據所需要的服務允許特定的包通過防火牆。
相比較而言,第二種方式的做法更為安全。
下面是我的rc.ipfwadm的文件內容:
/sbin/depmod –a
/*自動載入所需模塊,如果覺得這樣有危險,需手動指定安裝模塊,可以如下面這一小段就是手動指定載入模塊*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_ftp
/*載入ip偽裝的ftp模塊*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_irc
/*載入ip偽裝的irc模塊*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_raudio
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_user
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_autofw
/sbin/modprobe -a -t /lib/moles/2.2.10/ipv4/ip_masq*
/*自動載入ip偽裝的相關模塊*/
ipchains –F
/*刷新所有的ipchains規則*/
ipchains -P forward DENY
/*拒絕轉發所有的ip包*/
/*下面允許特定的包通過*/
/*開設許可權比較高的主機*/
ipchains -A forward -s 192.168.1.10/32 -j MASQ
/*允許內部的192.168.1.10主機不受限制訪問。比如總經理*/
ipchains -A forward -s 192.168.1.12/32 -j MASQ
/*允許內部的192.168.1.12主機不受限制訪問。比如系統管理員,在依次添加*/
ipchains -A forward -s 192.168.1.41/32 -j MASQ
/*for example linuxbird的主機地址:192.168.1.41*/
/*某些機器,因需要不能對外連接*/
ipchains -A forward -s 192.168.1.3/32 -j DENY
/*此機器為內部文檔專用機,不能訪問外部*/
/*設置內部普通用戶能訪問的站點*/
ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS
ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS
/*這是上網的DNS伺服器,本人用的是福州電信局的DNS*/
/*以下是普通用戶能訪問的站點,根據需要可以對其增刪改*/
ipchains -A forward -d 202.101.98.50/32 -j MASQ
/* public.fz.fj.cn*/
ipchains -A forward -d 202.101.98.60/32 -j MASQ
/* pub5.fz.fj.cn*/
ipchains -A forward -d 202.96.44.14/24 -j MASQ
/*freemail.263.net*/
ipchains -A forward -d 202.99.11.120/32 -j MASQ
/*www.linuxaid.com.cn*/
ipchains -A forward -d 205.227.44.44/24 -j MASQ
/* www.oracle.com*/
ipchains -A forward -d 205.227.44.46/32 -j MASQ
/* lliance.oracle.com*/
#ipchains -A forward -d 205.227.44.237/32 -j MASQ
/* support.oracle.com*/
ipchains -A forward -d 209.246.5.38/24 -j MASQ
/* technet.oracle.com*/
ipchains -A forward -d 137.69.200.8/32 -j MASQ
/* www.legato.com*/
ipchains -A forward -d 202.96.125.102/32 -j MASQ
/*www.188.net*/
ipchains -A forward -d 207.105.83.51/32 -j MASQ
/* www.borland.com*/
ipchains -A forward -d 207.46.131.30/24 -j MASQ
/* www.microsoft.com*/
ipchains -A forward -d 207.46.130.30/24 -j MASQ
/* www.microsoft.com*/
ipchains -A forward -d 204.146.81.99/32 -j MASQ
/* www.ibm.com*/
ipchains -A forward -d 202.102.24.74/24 -j MASQ
/* www.lodesoft.com*/
ipchains -A forward -d 210.77.34.109/32 -j MASQ
/* www.csdn.net*/
ipchains -A forward -d 192.138.151.66/32 -j MASQ
/* www.sybase.com*/
ipchains -A forward -d 202.102.26.1/32 -j MASQ
/* www.nari-china.com*/
ipchains -A forward -d 202.102.26.51/32 -j MASQ
/*www.aeps-info.com*/
ipchains -A forward -d 202.106.185.2/32 -j MASQ
/* www.sohu.com */
……
Ⅱ 如何修改linux iptables
1.首先介紹一下指令和相關配置文件
啟動指令:service
iptables
start
重啟指令:service
iptables
restart
關閉指令:service
iptables
stop
然後是相關配置:/etc/sysconfig/iptables
如何操作該配置呢?
vim
/etc/sysconfig/iptables
然後進去修改即可,修改完了怎麼辦?這里很多人會想到/etc/rc.d/init.d/iptables
save指令,但是一旦你這么幹了你剛才的修改內容就白做了。。。
具體方法是:
只修改/etc/sysconfig/iptables
使其生效的辦法是修改好後先service
iptables
restart,然後才調用/etc/rc.d/init.d/iptables
save,
因為/etc/rc.d/init.d/iptables
save會在iptables服務啟動時重新載入,要是在重啟之前直接先調用了/etc/rc.d/init.d/iptables
save那麼你
的/etc/sysconfig/iptables
配置就回滾到上次啟動服務的配置了,這點必須注意!!!
2.下面介紹一些指令用法(主要還是man iptables看下相關資料才行)
-A:指定鏈名
-p:指定協議類型
-d:指定目標地址
--dport:指定目標埠(destination
port
目的埠)
--sport:指定源埠(source
port
源埠)
-j:指定動作類型
3.如果我不像修改文件直接打命令可以嗎,當然沒問題,步驟如下:
例如我給SSH加放行的語句:
添加input記錄:
iptables
-A
INPUT
-p
tcp
--dport
22
-j
ACCEPT
添加output記錄:
iptables
-A
OUTPUT
-p
tcp
--sport
22
-j
ACCEPT
最後注意需要再執行一下
/etc/init.d/iptables
save,這樣這兩條語句就保存到剛才那個/etc/sysconfig/iptables
文件中了。
4.接下來說明一下步驟,如果機器不在我身邊,我只能SSH進去做iptables規則,那麼我必須注意每一步,千萬別搞錯了,否則就SSH鏈接不上都有可能!
首先要做的是給咱的SSH進行ACCEPT配置,以免直接無法連接的情況發生:
1.如果SSH埠是22(這里不建議用默認埠最好改掉SSH埠)
iptables
-A
INPUT
-p
tcp
--dport
22
-j
ACCEPT
iptables
-A
OUTPUT
-p
tcp
--sport
22
-j
ACCEPT
注意要/etc/rc.d/init.d/iptables
save,以下每一步都最好執行一遍此語句,以下不再累述。
2.vim
/etc/sysconfig/iptables確定是否已經加入配置,可以的話執行service
iptables
restart重啟後生效
3.下面是很危險的操作,如果你第一步沒做就會直接可能導致你連不上SSH,此步驟前切記執行第一步!!!
iptables
-P
INPUT
DROP
iptables
-P
OUTPUT
DROP
iptables
-P
FORWARD
DROP
這個步驟是把所有不符合自己配置的規則ACCEPT的連接全部DROP掉,執行完以後如果咱SSH還沒掉,那麼謝天謝地,安全了,重啟下iptables後繼續下面的配置!
4.下面咱就不細說了,具體就是看自己伺服器要開放哪些埠或者是要訪問哪些埠來做具體的配置,下面是我自己的機器的配置:
/etc/sysconfig/iptables文件配置如下:
#
Generated
by
iptables-save
v1.4.7
on
Fri
Mar
2
19:59:43
2012
*filter
:INPUT
DROP
[0:0]
:FORWARD
DROP
[0:0]
:OUTPUT
DROP
[8:496]
-A
INPUT
-m
state
--state
RELATED,ESTABLISHED
-j
ACCEPT
#ping使用的埠
-A
INPUT
-p
icmp
-j
ACCEPT
-A
INPUT
-i
lo
-j
ACCEPT
-A
INPUT
-s
127.0.0.1/32
-d
127.0.0.1/32
-j
ACCEPT
-A
INPUT
-s
192.168.2.200/32
-d
192.168.2.200/32
-j
ACCEPT
#允許伺服器自己的SSH(對外部請求來說伺服器是目標所以使用--dport)
-A
INPUT
-p
tcp
-m
tcp
--dport
22
-j
ACCEPT
#80埠不用說了吧,伺服器網站訪問埠
-A
INPUT
-p
tcp
-m
tcp
--dport
80
-j
ACCEPT
-A
INPUT
-p
tcp
-m
tcp
--dport
3306
-j
ACCEPT
-A
INPUT
-p
tcp
-m
tcp
--dport
11211
-j
ACCEPT
-A
INPUT
-p
tcp
-m
tcp
--dport
11212
-j
ACCEPT
-A
FORWARD
-j
REJECT
--reject-with
icmp-host-prohibited
#53埠是DNS相關,TCP和UDP都要配置
-A
INPUT
-p
tcp
-m
tcp
--dport
53
-j
ACCEPT
-A
INPUT
-p
udp
-m
udp
--dport
53
-j
ACCEPT
#ping使用的埠
-A
OUTPUT
-p
icmp
-j
ACCEPT
-A
OUTPUT
-s
127.0.0.1/32
-d
127.0.0.1/32
-j
ACCEPT
-A
OUTPUT
-s
192.168.2.200/32
-d
192.168.2.200/32
-j
ACCEPT
#允許伺服器SSH到其他機器(使用外部埠就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
22
-j
ACCEPT
#允許伺服器自己的SSH(自已為源輸出就使用--sport)
-A
OUTPUT
-p
tcp
-m
tcp
--sport
22
-j
ACCEPT
#訪問外部網站80埠(使用外部埠就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
80
-j
ACCEPT
#如果伺服器需要訪問外部網站,那麼OUTPUT也需要配置53埠(使用外部埠就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
53
-j
ACCEPT
-A
OUTPUT
-p
udp
-m
udp
--dport
53
-j
ACCEPT
#如果有訪問外部郵箱,那麼打開郵箱相關埠(使用外部埠就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
465
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--dport
25
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--dport
110
-j
ACCEPT
#伺服器網站訪問埠(自已為源輸出就使用--sport)
-A
OUTPUT
-p
tcp
-m
tcp
--sport
80
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--sport
3306
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--sport
11211
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--sport
11212
-j
ACCEPT
COMMIT
#
Completed
on
Fri
Mar
2
19:59:43
2012
5.可能有時候需要刪除規則,最簡單就是修改一下/etc/sysconfig/iptables然後service iptables restart,最後/etc/rc.d/init.d/iptables save即可。
當然也可以使用指令完成:
在網上找了一下,刪除規則的方法:
語法是:
iptables
-D
chain
rulenum
[options]
其中:
chain
是鏈的意思,就是INPUT
FORWARD
之類的
rulenum
是規則的編號。從1
開始。可以使用
--line-numbers
列出規則的編號
所以,例如上面要刪除一個INPUT鏈的規則的話可以這樣:iptables
-D
INPUT
3
意思是刪除第3條規則。
還有第二種方法。第二種辦法是
-A
命令的映射,不過用-D替換-A。當你的鏈中規則很復雜,而你不想計算它們的編號的時候這就十分有用了。也就是說,你如何用iptables
-A....
語句定義了一個規則,則刪除此規則時就用
-D
來代替-
A
其餘的都不變即可。
======================
說一下上面的
--line-numbers
選項,如下面的命令:
iptables
-L
INPUT
--line-numbers
列出INPUT
鏈所有的規則
num
target
prot
opt
source
destination
1
REJECT
tcp
--
anywhere
anywhere
tcp
dpt:microsoft-ds
reject-with
icmp-port-unreachable
2
REJECT
tcp
--
anywhere
anywhere
tcp
dpt:135
reject-with
icmp-port-unreachable
3
REJECT
tcp
--
anywhere
anywhere
tcp
dpt:netbios-ssn
reject-with
icmp-port-unreachable
...
...
刪除指定行規則:
[root@localhost
rc.d]#
iptables
-D
INPUT
4
6.最後補充一下,如果想針對某IP進行單獨開放埠可以如下配置:
如果我需要對內網某機器單獨開放mysql埠,應該如下配置:
iptables
-A
INPUT
-s
192.168.2.6
-p
tcp
-m
tcp
--dport
3306
-j
ACCEPT
iptables
-A
OUTPUT
-s
192.168.2.6
-p
tcp
-m
tcp
--sport
3306
-j
ACCEPT
7.徹底禁止某IP訪問:
#屏蔽單個IP的命令是
iptables
-I
INPUT
-s
123.45.6.7
-j
DROP
#封整個段即從123.0.0.1到123.255.255.254的命令
iptables
-I
INPUT
-s
123.0.0.0/8
-j
DROP
#封IP段即從123.45.0.1到123.45.255.254的命令
iptables
-I
INPUT
-s
124.45.0.0/16
-j
DROP
#封IP段即從123.45.6.1到123.45.6.254的命令是
iptables
-I
INPUT
-s
123.45.6.0/24
-j
DROP
指令I是insert指令
但是該指令會insert在正確位置並不像A指令看你自己的排序位置,因此用屏蔽因為必須在一開始就要載入屏蔽IP,所以必須使用I命令載入,然後注意執行/etc/rc.d/init.d/iptables
save進行保存後重啟服務即可
Ⅲ kali linux怎麼配置iptables
vim /ect/sysconfig/iptables
Ⅳ Linux下的防火牆iptables
#屏蔽指定ip
#iptables -A INPUT -p tcp -s 192.168.10.1 -j DROP
#減少不安全的埠連接
#iptables -A OUTPUT -p tcp --sport 31337 -j DROP
#iptables -A OUTPUT -p tcp --dport 31337 -j DROP
#允許某個IP遠程連接
#iptables -A INPUT -s 192.168.10.1 -p tcp --dport 22 -jACCEPT
#允許某個網段的IP遠程連接
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 22 -jACCEPT
參考iptables配置
Ⅳ linux如何設置iptables
單個IP的命令是
iptables -I INPUT -s 124.115.0.199 -j DROP
封IP段的命令是
iptables -I INPUT -s 124.115.0.0/16 -j DROP
iptables -I INPUT -s 124.115.3.0/16 -j DROP
iptables -I INPUT -s 124.115.4.0/16 -j DROP
封整個段的命令是
iptables -I INPUT -s 124.115.0.0/8 -j DROP
封幾個段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
用iptables禁止一個IP地址范圍
iptables -A FORWARD -s 10.0.0.1-255 -j DROP
使iptables永久生效:
1、修改配置文件:
配置文件是在/etc/iptables
2、使用命令:
命令是/etc/rc.d/init.d/iptables save
Ⅵ Linux伺服器怎樣設置防火牆
一、怎樣在Linux系統中安裝Iptables防火牆?
幾乎所有Linux發行版都預裝了Iptables。您可以使用以下命令更新或檢索軟體包:
sudo apt-get install iptables
二、關閉哪些防火牆埠?
防火牆安裝的第一步是確定哪些埠在伺服器中保持打開狀態。這將根據您使用的伺服器類型而有所不同。例如,如果您運行的是Web伺服器,則可能需要打開以下埠:
網路:80和443
SSH:通常在埠22上運行
電子郵件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、還原默認防火牆規則
為確保設置無誤,我們需從一套新的規則開始,運行以下命令來清除防火牆中的規則:
iptables -F
2、屏蔽伺服器攻擊路由
我們可以運行下列標准命令來隔絕常見的攻擊。
屏蔽syn-flood數據包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS數據包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止無效數據包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打開所需埠
根據以上命令可屏蔽常見的攻擊方式,我們需要打開所需埠。下列例子,供您參考:
允許SSH訪問:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打開LOCALHOST訪問許可權:
iptables -A INPUT -i lo -j ACCEPT
允許網路流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允許SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、測試防火牆配置
運行下列命令保存配置並重新啟動防火牆:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是簡單的iptables防火牆安裝與配置過程。
Ⅶ linux伺服器需要發送郵件iptables怎麼配置
郵件服務都使用了25埠,我們只需要允許來自25埠的連接請求即可。
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
允許IMAP與IMAPS
# IMAP:143
iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
# IMAPS:993
iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
允許POP3與POP3S
# POP3:110
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
# POP3S:995
iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
Ⅷ 如何配置linux下的防火牆
一、Linux下開啟/關閉防火牆命令
1、永久性生效,重啟後不會復原。
開啟:
chkconfig
iptables
on
關閉:
chkconfig
iptables
off
2、
即時生效,重啟後復原
開啟:
service
iptables
start
關閉:
service
iptables
stop
需要說明的是對於Linux下的其它服務都可以用以上命令執行開啟和關閉操作。
在當開啟了防火牆時,做如下設置,開啟相關埠,
修改/etc/sysconfig/iptables
文件,添加以下內容:
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
80
-j
ACCEPT
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
22
-j
ACCEPT
二、UBuntu關閉防火牆
iptables
-A
INPUT
-i
!
PPP0
-j
ACCEPT
三、CentOS
Linux
防火牆配置及關閉
執行」setup」命令啟動文字模式配置實用程序,在」選擇一種工具」中選擇」防火牆配置」,然後選擇」運行工具」按鈕,出現防火牆配置界面,將」安全級別」設為」禁用」,然後選擇」確定」即可.
或者用命令:
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
80
-j
ACCEPT
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
22
-j
ACCEPT
#/etc/rc.d/init.d/iptables
save
這樣重啟計算機後,防火牆默認已經開放了80和22埠
這里應該也可以不重啟計算機:
#/etc/init.d/iptables
restart
關閉防火牆服務即可:
查看防火牆信息:
#/etc/init.d/iptables
status
關閉防火牆服務:
#/etc/init.d/iptables
stop
Ⅸ 如何使用iptables命令為Linux系統配置防火牆
構築防火牆之IPtables搭建防火牆的規則
一般情況下,iptables已經包含在了Linux發行版中,可以運行iptables
--version來查看...並且大部分發行版都會有一個已經預先配置好的防火牆。不同的發行版的
配置文件
位置不盡相同,我們可以使用命令locate
Ⅹ Linux防火牆怎麼設置
在終端中輸入如下命令打開防火牆:
chkconfig iptables on
如閉防火牆則輸入:
chkconfig iptables off
上述兩條命令均要重啟系統才能生效。
如果不想通過重啟系統而即時生效的話,可以用「service」命令。缺點是重啟系統後設置會丟失。
開啟了防火牆:
service iptables start
關閉防火牆:
service iptables stop
要在防火牆中設置某些埠的開關,可修改編輯/etc/sysconfig/iptables文件,比如開啟SSH 埠22,可以加上如下內容:
-A RH-Firewall-1-INPUT -m state ――state NEW -m tcp -p tcp ――dport 22 -j ACCEPT