linux防火牆規則
Ⅰ linux中iptables防火牆怎麼設置
一,安裝並啟動防火牆
[root@linux ~]# /etc/init.d/iptables start
當我們用iptables添加規則,保存後,這些規則以文件的形勢存在磁碟上的,以CentOS為例,文件地址是/etc/sysconfig/iptables,我們可以通過命令的方式去添加,修改,刪除規則,也可以直接修改/etc/sysconfig/iptables這個文件就行了。
1.載入模塊
/sbin/modprobe ip_tables
2.查看規則
iptables -L -n -v
3.設置規則
#清除已經存在的規則
iptables -F
iptables -X
iptables -Z
#默認拒絕策略(盡量不要這樣設置,雖然這樣配置安全性高,但同時會拒絕包括lo環路在內的所#有網路介面,導致出現其他問題。建議只在外網介面上做相應的配置)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#ssh 規則
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
#本地還回及tcp握手處理
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#www-dns 規則
iptables -I INPUT -p tcp –sport 53 -j ACCEPT
iptables -I INPUT -p udp –sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT
#ICMP 規則
iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
二,添加防火牆規則
1,添加filter表
1.[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //開放21埠
出口我都是開放的iptables -P OUTPUT ACCEPT,所以出口就沒必要在去開放埠了。
2,添加nat表
1.[root@linux ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
將源地址是 192.168.10.0/24 的數據包進行地址偽裝
3,-A默認是插入到尾部的,可以-I來插入到指定位置
1.[root@linux ~]# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
2.[root@linux ~]# iptables -L -n --line-number
3.Chain INPUT (policy DROP)
4.num target prot opt source destination
5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的
8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默認插到最後
13.Chain FORWARD (policy ACCEPT)
14.num target prot opt source destination
15.Chain OUTPUT (policy ACCEPT)
16.num target prot opt source destination
三,查下iptable規則
1,查看filter表
1.[root@linux ~]# iptables -L -n --line-number |grep 21 //--line-number可以顯示規則序號,在刪除的時候比較方便
2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
如果不加-t的話,默認就是filter表,查看,添加,刪除都是的
2,查看nat表
1.[root@linux ~]# iptables -t nat -vnL POSTROUTING --line-number
2.Chain POSTROUTING (policy ACCEPT 38 packets, 2297 bytes)
3.num pkts bytes target prot opt in out source destination
4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0
四,修改規則
1.[root@linux ~]# iptables -R INPUT 3 -j DROP //將規則3改成DROP
五,刪除iptables規則
1.[root@linux ~]# iptables -D INPUT 3 //刪除input的第3條規則
2.[root@linux ~]# iptables -t nat -D POSTROUTING 1 //刪除nat表中postrouting的第一條規則
3.[root@linux ~]# iptables -F INPUT //清空 filter表INPUT所有規則
4.[root@linux ~]# iptables -F //清空所有規則
5.[root@linux ~]# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有規則
六,設置默認規則
1.[root@linux ~]# iptables -P INPUT DROP //設置filter表INPUT默認規則是 DROP
所有添加,刪除,修改後都要保存起來,/etc/init.d/iptables save.上面只是一些最基本的操作,要想靈活運用,還要一定時間的實際操作。
iptables配置常規映射及軟路由
作用:虛擬化雲平台伺服器網段192.168.1.0/24 通過一台linux伺服器(eth0:192.168.1.1、eth1:10.0.0.5)做軟路由達到訪問10.0.0.5能訪問的網路范圍,並且通過iptables的NAT映射提供服務。
NAT 映射網路埠:
效果: 10.0.0.5:2222 —-》 192.168.1.2:22
命令:iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22
service iptables save
service iptables restart
注意:1.在192.168.1.2的網路配置上需要將NAT主機的內網ip即192.168.1.1作為默認網關,如果10.0.0.5具有公網訪問許可權,dns則設置成公網對應dns
2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主機上需要開啟轉發才能生效
軟路由192.168.1.0/24通過10.0.0.5訪問外網:
命令:iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5
service iptables save
service iptables restart
Ⅱ linux防火牆規則變更時間
伺服器時間與網路時間不符:
一、手動修改
1. date命令:查看當前時間
2. date -s 時分秒 :修改時間
還需要把日期改過來
3. date -s 完整日期時間(YYYY-MM-DD hh:mm[:ss]):修改日期、時間
時間要用雙引號括起來,否則報錯
手動修改會存在一定的時間誤差
4. hwclock -w
將時間寫入bios避免重啟失效。
當我們進行完 Linux 時間的校時後,還需要以 hwclock 來更新 BIOS 的時間,因為每次重新啟動的時候,系統會重新由 BIOS 將時間讀出來,所以, BIOS 才是重要的時間依據。
二、同步網路時間
1. 檢查系統是否安裝ntp服務
安裝ntp服務命令:
apt-get install ntp 或者 yum install ntp
2. service --status-all:檢查ntp服務是否啟動
[+]表示服務已啟動
3. ntpdate 伺服器IP:同步伺服器時間
ntp常用伺服器:
中國國家授時中心:210.72.145.44
NTP伺服器(上海) :ntp.api.bz
美國:time.nist.gov
復旦:ntp.fudan.e.cn
微軟公司授時主機(美國) :time.windows.com
台警大授時中心(台灣):asia.pool.ntp.org
好像有點問題了
伺服器換成上海的
時間還是差一分鍾,手動把時間與當前時間間隔改大一些,再同步發現有問題,伺服器時間根本就不對,差了半天時間,用微軟公司授時主機(美國),發現和上海的伺服器時間差不多,那是不是時區設置有問題??
4. 修改伺服器時區
4.1 date -R : 查看當前時區
另一台伺服器(時間正常)時區:
so,現在要來改時區了
4.2 tzselect
時區沒改回來
最後一步
修改成功。
Ⅲ linux怎麼清除防火牆規則
設置防火牆規則的步驟如下:
一、區域網內共享的天網防火牆設置
1、首先保證在沒有裝防火牆的情況下區域網內是可以相互通訊的(如果你連這個都不能保障那麼就不是防火牆的問題了)
2、在防火牆的系統設置裡面按刷新,設置好本地區域網的IP地址
3、在自定義IP規則的TCP協議里把其中『允許區域網內的機器進行連接和傳輸』打上勾,並且保存規則
4、訪問網路
如果共享列印機不能使用的,那就要開放對應的連接埠就可以了
二、設置規則開放WEB服務的步驟
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收和發送,對方IP地址——任何地址
4、設置TCP本地埠80到80,對方埠0到0,TCP標志位為SYN,當滿足上面條件時「通行」,確定
5、在IP規則列表中把該規則上移到TCP協議的第一條,並選上勾再保存
三、設置規則開放FTP服務的步驟
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收和發送,對方IP地址——任何地址
4、設置TCP本地埠20到21,對方埠0到0,TCP標志位為SYN,當滿足上面條件時「通行」,確定
5、在IP規則列表中把該規則上移到TCP協議的第一條,並選上勾再保存
其它埠的開放設置方法類似
四、關閉或開放特定埠
例,關閉TCP 139埠
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收或發送,對方IP地址——任何地址
4、設置TCP本地埠139到139,對方埠0到0,TCP標志位為SYN,當滿足上面條件時『攔截』,確定;同時還:記錄、警告、發聲(視個人設置喜好,可選擇若干方式)
5、在IP規則列表中把該新規則上移到TCP協議的第一條,並選上勾再保存
其它埠的關閉設置方法類似;如要開放埠的,設置後把『攔截』改為『通行』就可以了。
五、設置規則屏蔽或開放IP的步驟
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收和發送,對方IP地址——指定地址
4、選擇IP協議,當滿足上面條件時「攔截」,確定
5、在IP規則列表中把該規則上移到IP協議的第一條,並把新規則和IP規則選上勾再保存
屏蔽IP的方法如上;但如果要開放指定IP的,設置後把『攔截』改為『通行』就可以了。
Ⅳ Linux伺服器怎樣設置防火牆
一、怎樣在Linux系統中安裝Iptables防火牆?
幾乎所有Linux發行版都預裝了Iptables。您可以使用以下命令更新或檢索軟體包:
sudo apt-get install iptables
二、關閉哪些防火牆埠?
防火牆安裝的第一步是確定哪些埠在伺服器中保持打開狀態。這將根據您使用的伺服器類型而有所不同。例如,如果您運行的是Web伺服器,則可能需要打開以下埠:
網路:80和443
SSH:通常在埠22上運行
電子郵件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、還原默認防火牆規則
為確保設置無誤,我們需從一套新的規則開始,運行以下命令來清除防火牆中的規則:
iptables -F
2、屏蔽伺服器攻擊路由
我們可以運行下列標准命令來隔絕常見的攻擊。
屏蔽syn-flood數據包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS數據包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止無效數據包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打開所需埠
根據以上命令可屏蔽常見的攻擊方式,我們需要打開所需埠。下列例子,供您參考:
允許SSH訪問:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打開LOCALHOST訪問許可權:
iptables -A INPUT -i lo -j ACCEPT
允許網路流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允許SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、測試防火牆配置
運行下列命令保存配置並重新啟動防火牆:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是簡單的iptables防火牆安裝與配置過程。
Ⅳ 當使用linux作為網路防火牆時,一般在哪個鏈上設置防火牆規則
一、基本查看命令
chkconfig命令只是查看和設置服務的自動啟動情況,並不能反映當前服務的狀態.
二、服務查看方式
service iptables status可以查看到iptables服務的當前狀態
但是即使服務運行了,防火牆也不一定起作用,你還得看防火牆規則的設置
iptables -L
上述命令的返回值如果顯示沒有防火牆規則,那就是不起作用;反之就是防火牆在起作用.
三、查看服務狀態
iptables 0:關閉 1:關閉 2:啟用 3:啟用 4:啟用 5:啟用 6:關閉
四、Linux運行級別
linux有六個運行級別,0(關機),1單用戶,2多用戶(無NFS),3完全多用戶, 4(未使用),5圖形界面X11,6重啟,
五、不同操作系統服務配置文件路徑
CENTOS/redhat,service iptables status
debian,/etc/init.d/iptables
Ⅵ Linux下如何添加防火牆規則
RedHat
Linux
為增加系統安全性提供了防火牆保護。防火牆存在於你的計算機和網路之間,用來判定網路中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火牆可以極大地增加你的系統安全性。
[Linux
]
為你的系統選擇恰當的安全級別。
「高級」
如果你選擇了「高級」
,你的系統就不會接受那些沒有被你具體指定的連接(除了默認設置外)。只有以下連接是默認允許的:
DNS回應
DHCP
—
任何使用
DHCP
的網路介面都可以被相應地配置。
如果你選擇「高級」,你的防火牆將不允許下列連接:
1.活躍狀態FTP(在多數客戶機中默認使用的被動狀態FTP應該能夠正常運行。)
2.IRC
DCC
文件傳輸
3.RealAudio
4.遠程
X
窗口系統客戶機
如果你要把系統連接到互聯網上,但是並不打算運行伺服器,這是最安全的選擇。如果需要額外的服務,你可以選擇
「定製」
來具體指定允許通過防火牆的服務。
注記:如果你在安裝中選擇設置了中級或高級防火牆,網路驗證方法(NIS
和
LDAP)將行不通。
「中級」
如果你選擇了「中級」,你的防火牆將不準你的系統訪問某些資源。訪問下列資源是默認不允許的:
1.低於1023
的埠
—
這些是標准要保留的埠,主要被一些系統服務所使用,例如:
FTP
、
SSH
、
telnet
、
HTTP
、和
NIS
。
2.NFS
伺服器埠(2049)—
在遠程伺服器和本地客戶機上,NFS
都已被禁用。
3.為遠程
X
客戶機設立的本地
X
窗口系統顯示。
4.X
字體伺服器埠(
xfs
不在網路中監聽;它在字體伺服器中被默認禁用)。
如果你想准許到RealAudio之類資源的訪問,但仍要堵塞到普通系統服務的訪問,選擇
「中級」
。你可以選擇
「定製」
來允許具體指定的服務穿過防火牆。
注記:如果你在安裝中選擇設置了中級或高級防火牆,網路驗證方法(NIS
和
LDAP)將行不通。
「無防火牆」
無防火牆給予完全訪問權並不做任何安全檢查。安全檢查是對某些服務的禁用。建議你只有在一個可信任的網路(非互聯網)中運行時,或者你想稍後再進行詳細的防火牆配置時才選此項。
選擇
「定製」
來添加信任的設備或允許其它的進入介面。
「信任的設備」
選擇「信任的設備」中的任何一個將會允許你的系統接受來自這一設備的全部交通;它不受防火牆規則的限制。
Ⅶ linux的防火牆有什麼作用
linux防火牆作用一:
一、防火牆的基本模型
基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制,因此防火牆技術就是通過分析、控制網路以上層協議特徵,實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型:即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。
二、不應該過濾的包
在開始過濾某些不想要的包之前要注意以下內容:
ICMP包
ICMP
包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現,某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測,
當得到的ICMP應答表示需要分段時,再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包),則本地主機不減少MTU大小,這將導致測試無法停止或網路性能下降。 到DNS的TCP連接
如果要攔阻出去的TCP連接,那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組,客戶端將使用TCP連接,並仍使用埠53接收數據。若禁止了TCP連接,DNS大多數情況下會正常工作,但可能會有奇怪的延時故障出現。
如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器,可以允許本地域埠到該伺服器的域埠連接。
主動式FTP的TCP連接
FTP有兩種運作方式,即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下,FTP 伺服器發送文件或應答LS命令時,主動和客戶端建立TCP連接。如果這些TCP連接被過濾,則主動方式的FTP將被中斷。如果使用被動方式,則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。
三、針對可能的網路攻擊
防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例,「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的
ICMP包大都不需要到分段的程度,阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。
linux防火牆作用二:
它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接, 由兩個終止代理伺服器上的 鏈接來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。
linux防火牆作用三:
windows防火牆是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。
具體作用如下:
1、防止來自網路上的惡意攻擊;
2、阻止外來程序連接計算機埠;
3、對電腦進行防護,防止木馬入侵或其它黑客軟體、程序運行『
4、阻止本地程序通過計算機埠,向外並發信息;