linux伺服器的防火牆

① linux如何關閉防火牆

1、 打開Linux系統進入桌面，點擊上方菜單欄處【系統】選項

② Linux系統中最實用的防火牆有哪些

Linux系統最實用的防火牆列表（最常用也是各發行版本基本上都帶的就是iptables)

1. Iptables
Iptables/Netfilter是基於防火牆的最流行的命令行。它是Linux伺服器安全的頭道防線。許多系統管理員用它來微調伺服器。其作用是過濾內核中網路堆棧中的數據包，特性包括：列出數據包過濾規則集的內容;執行速度快，因為它僅檢查數據包的頭部;管理員可以根據需要，在數據包的過濾規則集中來增加、修改、刪除規則;支持藉助文件來備份和恢復。

2. IPCop 防火牆
IPCop的設計界面非常友好，便於管理。它對於小型企業和本地PC非常實用。管理員可以將一台老PC配置為安全的VPN，使其提供安全的上網環境。此防火牆還可以保留常用的信息，可以為其用戶提供更好的Web瀏覽體驗。其彩色編碼的Web界面可以使管理員監視CPU、內存、磁碟及網路吞吐量的性能，並支持多種語言，它可以提供非常安全並易實施的升級和附加補丁。

③ 怎麼關閉linux伺服器防火牆

1、查看防火牆狀態 /etc/init.d/iptables/status。

④ linux的防火牆有什麼作用

linux防火牆作用一：

一、防火牆的基本模型

基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制，因此防火牆技術就是通過分析、控制網路以上層協議特徵，實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型：即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。

二、不應該過濾的包

在開始過濾某些不想要的包之前要注意以下內容：

ICMP包

ICMP

包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現，某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測，

當得到的ICMP應答表示需要分段時，再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包)，則本地主機不減少MTU大小，這將導致測試無法停止或網路性能下降。 到DNS的TCP連接

如果要攔阻出去的TCP連接，那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組，客戶端將使用TCP連接，並仍使用埠53接收數據。若禁止了TCP連接，DNS大多數情況下會正常工作，但可能會有奇怪的延時故障出現。

如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器，可以允許本地域埠到該伺服器的域埠連接。

主動式FTP的TCP連接

FTP有兩種運作方式，即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下，FTP 伺服器發送文件或應答LS命令時，主動和客戶端建立TCP連接。如果這些TCP連接被過濾，則主動方式的FTP將被中斷。如果使用被動方式，則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。

三、針對可能的網路攻擊

防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例，「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的

ICMP包大都不需要到分段的程度，阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。

linux防火牆作用二：

它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況， 以此來實現網路的安全保護。

在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網路的安全。

2.使用Firewall的益處

保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統， 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。

增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。

記錄和統計網路利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。

策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

3.防火牆的種類

防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

數 據 包 過 濾

數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用， 網路性能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備， 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。

數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒。

應 用 級 網 關

應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。

數據包過濾和應用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯系， 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施非法訪問和攻擊。

代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術， 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接， 由兩個終止代理伺服器上的 鏈接來實現，外部計算機的網路鏈路只能到達代理伺服器， 從而起到了隔離防火牆內外計算機系統的作用。

linux防火牆作用三：

windows防火牆是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。

具體作用如下：

1、防止來自網路上的惡意攻擊;

2、阻止外來程序連接計算機埠;

3、對電腦進行防護，防止木馬入侵或其它黑客軟體、程序運行『

4、阻止本地程序通過計算機埠，向外並發信息;

⑤ 如何配置linux下的防火牆

准備裝有Linux系統的電腦。

1.在linux系統裡面找到並打開編輯配置防火牆的文件，執行命令：
vi /etc/sysconfig/iptables。

(5)linux伺服器的防火牆擴展閱讀：

查看防火牆狀態：

[root@cluster1 ~]# service iptables status

iptables：未運行防火牆。

開啟防火牆：

[root@cluster1 ~]# service iptables start

關閉防火牆：

[root@cluster1 ~]# service iptables stop

⑥ Linux伺服器怎樣設置防火牆

一、怎樣在Linux系統中安裝Iptables防火牆?

幾乎所有Linux發行版都預裝了Iptables。您可以使用以下命令更新或檢索軟體包：

sudo apt-get install iptables
二、關閉哪些防火牆埠?

防火牆安裝的第一步是確定哪些埠在伺服器中保持打開狀態。這將根據您使用的伺服器類型而有所不同。例如，如果您運行的是Web伺服器，則可能需要打開以下埠：

網路：80和443
SSH：通常在埠22上運行
電子郵件：110(POP3)，143(IMAP)，993(IMAP SSL)，995(POP3 SSL)。
1、還原默認防火牆規則

為確保設置無誤，我們需從一套新的規則開始，運行以下命令來清除防火牆中的規則：

iptables -F
2、屏蔽伺服器攻擊路由

我們可以運行下列標准命令來隔絕常見的攻擊。

屏蔽syn-flood數據包：
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS數據包：
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止無效數據包：
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打開所需埠

根據以上命令可屏蔽常見的攻擊方式，我們需要打開所需埠。下列例子，供您參考：

允許SSH訪問：

iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打開LOCALHOST訪問許可權：
iptables -A INPUT -i lo -j ACCEPT
允許網路流量：
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允許SMTP流量：
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、測試防火牆配置

運行下列命令保存配置並重新啟動防火牆：

iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是簡單的iptables防火牆安裝與配置過程。

⑦ linux中iptables防火牆怎麼設置

一，安裝並啟動防火牆
［root@linux ~］# /etc/init.d/iptables start
當我們用iptables添加規則，保存後，這些規則以文件的形勢存在磁碟上的，以CentOS為例，文件地址是/etc/sysconfig/iptables，我們可以通過命令的方式去添加，修改，刪除規則，也可以直接修改/etc/sysconfig/iptables這個文件就行了。
1.載入模塊
/sbin/modprobe ip_tables
2.查看規則
iptables -L -n -v
3.設置規則
#清除已經存在的規則
iptables -F
iptables -X
iptables -Z
#默認拒絕策略（盡量不要這樣設置，雖然這樣配置安全性高，但同時會拒絕包括lo環路在內的所#有網路介面，導致出現其他問題。建議只在外網介面上做相應的配置）
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#ssh 規則
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
#本地還回及tcp握手處理
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT
#www-dns 規則
iptables -I INPUT -p tcp –sport 53 -j ACCEPT
iptables -I INPUT -p udp –sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT
#ICMP 規則
iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
二，添加防火牆規則
1，添加filter表
1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //開放21埠
出口我都是開放的iptables -P OUTPUT ACCEPT，所以出口就沒必要在去開放埠了。
2，添加nat表
1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
將源地址是 192.168.10.0/24 的數據包進行地址偽裝
3，-A默認是插入到尾部的，可以-I來插入到指定位置
1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
2.［root@linux ~］# iptables -L -n --line-number
3.Chain INPUT （policy DROP）
4.num target prot opt source destination
5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的
8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED
11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW
12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默認插到最後
13.Chain FORWARD （policy ACCEPT）
14.num target prot opt source destination
15.Chain OUTPUT （policy ACCEPT）
16.num target prot opt source destination
三，查下iptable規則
1，查看filter表
1.［root@linux ~］# iptables -L -n --line-number |grep 21 //--line-number可以顯示規則序號，在刪除的時候比較方便
2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
如果不加-t的話，默認就是filter表，查看，添加，刪除都是的
2，查看nat表
1.［root@linux ~］# iptables -t nat -vnL POSTROUTING --line-number
2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）
3.num pkts bytes target prot opt in out source destination
4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0
四，修改規則
1.［root@linux ~］# iptables -R INPUT 3 -j DROP //將規則3改成DROP
五，刪除iptables規則
1.［root@linux ~］# iptables -D INPUT 3 //刪除input的第3條規則
2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //刪除nat表中postrouting的第一條規則
3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有規則
4.［root@linux ~］# iptables -F //清空所有規則
5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有規則
六，設置默認規則
1.［root@linux ~］# iptables -P INPUT DROP //設置filter表INPUT默認規則是 DROP
所有添加，刪除，修改後都要保存起來，/etc/init.d/iptables save.上面只是一些最基本的操作，要想靈活運用，還要一定時間的實際操作。
iptables配置常規映射及軟路由
作用：虛擬化雲平台伺服器網段192.168.1.0/24 通過一台linux伺服器（eth0:192.168.1.1、eth1:10.0.0.5）做軟路由達到訪問10.0.0.5能訪問的網路范圍，並且通過iptables的NAT映射提供服務。
NAT 映射網路埠：
效果： 10.0.0.5:2222 —-》 192.168.1.2:22
命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22
service iptables save
service iptables restart
注意：1.在192.168.1.2的網路配置上需要將NAT主機的內網ip即192.168.1.1作為默認網關，如果10.0.0.5具有公網訪問許可權，dns則設置成公網對應dns
2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主機上需要開啟轉發才能生效
軟路由192.168.1.0/24通過10.0.0.5訪問外網：
命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5
service iptables save
service iptables restart