linuxiptables配置
Ⅰ 在linux 下如何设置iptables 防火墙
Iptable -A Input -p Tcp -d 自己的IP地址 b --dPort 端口 -J Reject
RedHat机器
cat /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [10276:1578052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13784:16761487]
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 is interface to internet
# anti Sync Flood
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
# anti some port scan
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
# anti ping of death
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
COMMIT
chkconfig iptables on
以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)
自动启动
或者是/etc/rc.d/init.d/iptables start手工启动
/etc/rc.d/init.d/iptables stop手工停止
在LINUX下架设防火墙
linuxbird
随着Internet的普及,人们的日常工作与之的关系也越来紧密,因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后,企业的内部资源就象待卖的羔羊一样,面临任人宰割的危险,因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外,更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。
一、什么是防火墙
防火墙(firewall)是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问,逼使各连接点的通过能得到检查和评估。
从诞生到现在,防火墙已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙,象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件也很多,除了下面要专门介绍的IPCHAINS外,还有很多,如:Sinus Firewall、Jfwadmin等。
目前的防火墙从结构上讲,可分为两种:
1) 代理主机结构
内部网络<----->代理网关(Proxy Gateway)<----->Internet
2) 路由器加过滤器结构
内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet
二、用IPCHAINS构建局域网防火墙的原理
其实从本质上讲,用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中,常常把这个特定的服务绑定到特定的TCP或UDP端口。之后,该后台程序就不断地监听(listen)该端口,一旦接收到符合条件的客户端请求,该服务进行TCP握手后就同客户端建立一个连接,响应客户请求。与此同时,再产生一个该绑定的拷贝,继续监听客户端的请求。
IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求,或从外部通往内部网的请求,都进行监听、检查、评估、转发、拒绝等动作。
常用的服务、协议与默认端口。
服务类型 协议 端口
WWW TCP/UDP 80
TELNET
ICMP
SMTP
POP3
ftp
DNS
三、用IPCHAINS作防火墙的步骤
1.安装
IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上,如果没有的话可以到www.linux.org下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持,所以确定已安装了IP-MASQ模块。
在TLC4.0中,把该光盘放入光驱中,
#turbopkg
并选择ipchains,然后按OK就自动自动安装了。
如果你是下载ipchains安装包的话:
1)如果是rpm包:
#rpm –ivh *.rpm
2)如果是.tar.gz包
#tar xvfz *.tar.gz(先把包解开)
再到解开目录
#./configure
#make
#make install
这样就安装成功了。
2.启用ipchains
手工修改 /proc/sys/net/ipv4/ipforward文件,将其内容置为1。
在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件
在/etc/rc.d/目录下的rc.local文件中加上下面这段代码:
if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;
以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。
3.配置ipchains(基本应用)
ipchains对机器的管理是通过对机器的ip地址作为标志的,因而首先得确保你的局域网的机器的ip地址已经配分配好,并且你对之相当熟悉。
Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的,其中input是指对内连接请求的过滤规则,output是指对外连接请求的过滤规则,ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是:
ipchains [ADC] ipchains规则 [ipchains 选项]。
有关命令的详细用法请参考有关HOWTO文档。
现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为:192.168.1.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为:
+--------------+
| 内部网段 | 192.168.1.1 ISDN、PSDN
| +------------|firewall|<===============>Internet
| 192.168.1.0 | +--------+
+-------------- +
配置ipchains防火墙规则一般有两种方式:
1) 首先允许所有的包,然后在禁止有危险的包通过防火墙;
2) 首先禁止所有的包,然后再根据所需要的服务允许特定的包通过防火墙。
相比较而言,第二种方式的做法更为安全。
下面是我的rc.ipfwadm的文件内容:
/sbin/depmod –a
/*自动加载所需模块,如果觉得这样有危险,需手动指定安装模块,可以如下面这一小段就是手动指定加载模块*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_ftp
/*加载ip伪装的ftp模块*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_irc
/*加载ip伪装的irc模块*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_raudio
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_user
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_autofw
/sbin/modprobe -a -t /lib/moles/2.2.10/ipv4/ip_masq*
/*自动加载ip伪装的相关模块*/
ipchains –F
/*刷新所有的ipchains规则*/
ipchains -P forward DENY
/*拒绝转发所有的ip包*/
/*下面允许特定的包通过*/
/*开设权限比较高的主机*/
ipchains -A forward -s 192.168.1.10/32 -j MASQ
/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/
ipchains -A forward -s 192.168.1.12/32 -j MASQ
/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员,在依次添加*/
ipchains -A forward -s 192.168.1.41/32 -j MASQ
/*for example linuxbird的主机地址:192.168.1.41*/
/*某些机器,因需要不能对外连接*/
ipchains -A forward -s 192.168.1.3/32 -j DENY
/*此机器为内部文档专用机,不能访问外部*/
/*设置内部普通用户能访问的站点*/
ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS
ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS
/*这是上网的DNS服务器,本人用的是福州电信局的DNS*/
/*以下是普通用户能访问的站点,根据需要可以对其增删改*/
ipchains -A forward -d 202.101.98.50/32 -j MASQ
/* public.fz.fj.cn*/
ipchains -A forward -d 202.101.98.60/32 -j MASQ
/* pub5.fz.fj.cn*/
ipchains -A forward -d 202.96.44.14/24 -j MASQ
/*freemail.263.net*/
ipchains -A forward -d 202.99.11.120/32 -j MASQ
/*www.linuxaid.com.cn*/
ipchains -A forward -d 205.227.44.44/24 -j MASQ
/* www.oracle.com*/
ipchains -A forward -d 205.227.44.46/32 -j MASQ
/* lliance.oracle.com*/
#ipchains -A forward -d 205.227.44.237/32 -j MASQ
/* support.oracle.com*/
ipchains -A forward -d 209.246.5.38/24 -j MASQ
/* technet.oracle.com*/
ipchains -A forward -d 137.69.200.8/32 -j MASQ
/* www.legato.com*/
ipchains -A forward -d 202.96.125.102/32 -j MASQ
/*www.188.net*/
ipchains -A forward -d 207.105.83.51/32 -j MASQ
/* www.borland.com*/
ipchains -A forward -d 207.46.131.30/24 -j MASQ
/* www.microsoft.com*/
ipchains -A forward -d 207.46.130.30/24 -j MASQ
/* www.microsoft.com*/
ipchains -A forward -d 204.146.81.99/32 -j MASQ
/* www.ibm.com*/
ipchains -A forward -d 202.102.24.74/24 -j MASQ
/* www.lodesoft.com*/
ipchains -A forward -d 210.77.34.109/32 -j MASQ
/* www.csdn.net*/
ipchains -A forward -d 192.138.151.66/32 -j MASQ
/* www.sybase.com*/
ipchains -A forward -d 202.102.26.1/32 -j MASQ
/* www.nari-china.com*/
ipchains -A forward -d 202.102.26.51/32 -j MASQ
/*www.aeps-info.com*/
ipchains -A forward -d 202.106.185.2/32 -j MASQ
/* www.sohu.com */
……
Ⅱ 如何修改linux iptables
1.首先介绍一下指令和相关配置文件
启动指令:service
iptables
start
重启指令:service
iptables
restart
关闭指令:service
iptables
stop
然后是相关配置:/etc/sysconfig/iptables
如何操作该配置呢?
vim
/etc/sysconfig/iptables
然后进去修改即可,修改完了怎么办?这里很多人会想到/etc/rc.d/init.d/iptables
save指令,但是一旦你这么干了你刚才的修改内容就白做了。。。
具体方法是:
只修改/etc/sysconfig/iptables
使其生效的办法是修改好后先service
iptables
restart,然后才调用/etc/rc.d/init.d/iptables
save,
因为/etc/rc.d/init.d/iptables
save会在iptables服务启动时重新加载,要是在重启之前直接先调用了/etc/rc.d/init.d/iptables
save那么你
的/etc/sysconfig/iptables
配置就回滚到上次启动服务的配置了,这点必须注意!!!
2.下面介绍一些指令用法(主要还是man iptables看下相关资料才行)
-A:指定链名
-p:指定协议类型
-d:指定目标地址
--dport:指定目标端口(destination
port
目的端口)
--sport:指定源端口(source
port
源端口)
-j:指定动作类型
3.如果我不像修改文件直接打命令可以吗,当然没问题,步骤如下:
例如我给SSH加放行的语句:
添加input记录:
iptables
-A
INPUT
-p
tcp
--dport
22
-j
ACCEPT
添加output记录:
iptables
-A
OUTPUT
-p
tcp
--sport
22
-j
ACCEPT
最后注意需要再执行一下
/etc/init.d/iptables
save,这样这两条语句就保存到刚才那个/etc/sysconfig/iptables
文件中了。
4.接下来说明一下步骤,如果机器不在我身边,我只能SSH进去做iptables规则,那么我必须注意每一步,千万别搞错了,否则就SSH链接不上都有可能!
首先要做的是给咱的SSH进行ACCEPT配置,以免直接无法连接的情况发生:
1.如果SSH端口是22(这里不建议用默认端口最好改掉SSH端口)
iptables
-A
INPUT
-p
tcp
--dport
22
-j
ACCEPT
iptables
-A
OUTPUT
-p
tcp
--sport
22
-j
ACCEPT
注意要/etc/rc.d/init.d/iptables
save,以下每一步都最好执行一遍此语句,以下不再累述。
2.vim
/etc/sysconfig/iptables确定是否已经加入配置,可以的话执行service
iptables
restart重启后生效
3.下面是很危险的操作,如果你第一步没做就会直接可能导致你连不上SSH,此步骤前切记执行第一步!!!
iptables
-P
INPUT
DROP
iptables
-P
OUTPUT
DROP
iptables
-P
FORWARD
DROP
这个步骤是把所有不符合自己配置的规则ACCEPT的连接全部DROP掉,执行完以后如果咱SSH还没掉,那么谢天谢地,安全了,重启下iptables后继续下面的配置!
4.下面咱就不细说了,具体就是看自己服务器要开放哪些端口或者是要访问哪些端口来做具体的配置,下面是我自己的机器的配置:
/etc/sysconfig/iptables文件配置如下:
#
Generated
by
iptables-save
v1.4.7
on
Fri
Mar
2
19:59:43
2012
*filter
:INPUT
DROP
[0:0]
:FORWARD
DROP
[0:0]
:OUTPUT
DROP
[8:496]
-A
INPUT
-m
state
--state
RELATED,ESTABLISHED
-j
ACCEPT
#ping使用的端口
-A
INPUT
-p
icmp
-j
ACCEPT
-A
INPUT
-i
lo
-j
ACCEPT
-A
INPUT
-s
127.0.0.1/32
-d
127.0.0.1/32
-j
ACCEPT
-A
INPUT
-s
192.168.2.200/32
-d
192.168.2.200/32
-j
ACCEPT
#允许服务器自己的SSH(对外部请求来说服务器是目标所以使用--dport)
-A
INPUT
-p
tcp
-m
tcp
--dport
22
-j
ACCEPT
#80端口不用说了吧,服务器网站访问端口
-A
INPUT
-p
tcp
-m
tcp
--dport
80
-j
ACCEPT
-A
INPUT
-p
tcp
-m
tcp
--dport
3306
-j
ACCEPT
-A
INPUT
-p
tcp
-m
tcp
--dport
11211
-j
ACCEPT
-A
INPUT
-p
tcp
-m
tcp
--dport
11212
-j
ACCEPT
-A
FORWARD
-j
REJECT
--reject-with
icmp-host-prohibited
#53端口是DNS相关,TCP和UDP都要配置
-A
INPUT
-p
tcp
-m
tcp
--dport
53
-j
ACCEPT
-A
INPUT
-p
udp
-m
udp
--dport
53
-j
ACCEPT
#ping使用的端口
-A
OUTPUT
-p
icmp
-j
ACCEPT
-A
OUTPUT
-s
127.0.0.1/32
-d
127.0.0.1/32
-j
ACCEPT
-A
OUTPUT
-s
192.168.2.200/32
-d
192.168.2.200/32
-j
ACCEPT
#允许服务器SSH到其他机器(使用外部端口就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
22
-j
ACCEPT
#允许服务器自己的SSH(自已为源输出就使用--sport)
-A
OUTPUT
-p
tcp
-m
tcp
--sport
22
-j
ACCEPT
#访问外部网站80端口(使用外部端口就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
80
-j
ACCEPT
#如果服务器需要访问外部网站,那么OUTPUT也需要配置53端口(使用外部端口就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
53
-j
ACCEPT
-A
OUTPUT
-p
udp
-m
udp
--dport
53
-j
ACCEPT
#如果有访问外部邮箱,那么打开邮箱相关端口(使用外部端口就使用--dport)
-A
OUTPUT
-p
tcp
-m
tcp
--dport
465
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--dport
25
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--dport
110
-j
ACCEPT
#服务器网站访问端口(自已为源输出就使用--sport)
-A
OUTPUT
-p
tcp
-m
tcp
--sport
80
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--sport
3306
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--sport
11211
-j
ACCEPT
-A
OUTPUT
-p
tcp
-m
tcp
--sport
11212
-j
ACCEPT
COMMIT
#
Completed
on
Fri
Mar
2
19:59:43
2012
5.可能有时候需要删除规则,最简单就是修改一下/etc/sysconfig/iptables然后service iptables restart,最后/etc/rc.d/init.d/iptables save即可。
当然也可以使用指令完成:
在网上找了一下,删除规则的方法:
语法是:
iptables
-D
chain
rulenum
[options]
其中:
chain
是链的意思,就是INPUT
FORWARD
之类的
rulenum
是规则的编号。从1
开始。可以使用
--line-numbers
列出规则的编号
所以,例如上面要删除一个INPUT链的规则的话可以这样:iptables
-D
INPUT
3
意思是删除第3条规则。
还有第二种方法。第二种办法是
-A
命令的映射,不过用-D替换-A。当你的链中规则很复杂,而你不想计算它们的编号的时候这就十分有用了。也就是说,你如何用iptables
-A....
语句定义了一个规则,则删除此规则时就用
-D
来代替-
A
其余的都不变即可。
======================
说一下上面的
--line-numbers
选项,如下面的命令:
iptables
-L
INPUT
--line-numbers
列出INPUT
链所有的规则
num
target
prot
opt
source
destination
1
REJECT
tcp
--
anywhere
anywhere
tcp
dpt:microsoft-ds
reject-with
icmp-port-unreachable
2
REJECT
tcp
--
anywhere
anywhere
tcp
dpt:135
reject-with
icmp-port-unreachable
3
REJECT
tcp
--
anywhere
anywhere
tcp
dpt:netbios-ssn
reject-with
icmp-port-unreachable
...
...
删除指定行规则:
[root@localhost
rc.d]#
iptables
-D
INPUT
4
6.最后补充一下,如果想针对某IP进行单独开放端口可以如下配置:
如果我需要对内网某机器单独开放mysql端口,应该如下配置:
iptables
-A
INPUT
-s
192.168.2.6
-p
tcp
-m
tcp
--dport
3306
-j
ACCEPT
iptables
-A
OUTPUT
-s
192.168.2.6
-p
tcp
-m
tcp
--sport
3306
-j
ACCEPT
7.彻底禁止某IP访问:
#屏蔽单个IP的命令是
iptables
-I
INPUT
-s
123.45.6.7
-j
DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables
-I
INPUT
-s
123.0.0.0/8
-j
DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables
-I
INPUT
-s
124.45.0.0/16
-j
DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables
-I
INPUT
-s
123.45.6.0/24
-j
DROP
指令I是insert指令
但是该指令会insert在正确位置并不像A指令看你自己的排序位置,因此用屏蔽因为必须在一开始就要加载屏蔽IP,所以必须使用I命令加载,然后注意执行/etc/rc.d/init.d/iptables
save进行保存后重启服务即可
Ⅲ kali linux怎么配置iptables
vim /ect/sysconfig/iptables
Ⅳ Linux下的防火墙iptables
#屏蔽指定ip
#iptables -A INPUT -p tcp -s 192.168.10.1 -j DROP
#减少不安全的端口连接
#iptables -A OUTPUT -p tcp --sport 31337 -j DROP
#iptables -A OUTPUT -p tcp --dport 31337 -j DROP
#允许某个IP远程连接
#iptables -A INPUT -s 192.168.10.1 -p tcp --dport 22 -jACCEPT
#允许某个网段的IP远程连接
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 22 -jACCEPT
参考iptables配置
Ⅳ linux如何设置iptables
单个IP的命令是
iptables -I INPUT -s 124.115.0.199 -j DROP
封IP段的命令是
iptables -I INPUT -s 124.115.0.0/16 -j DROP
iptables -I INPUT -s 124.115.3.0/16 -j DROP
iptables -I INPUT -s 124.115.4.0/16 -j DROP
封整个段的命令是
iptables -I INPUT -s 124.115.0.0/8 -j DROP
封几个段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
用iptables禁止一个IP地址范围
iptables -A FORWARD -s 10.0.0.1-255 -j DROP
使iptables永久生效:
1、修改配置文件:
配置文件是在/etc/iptables
2、使用命令:
命令是/etc/rc.d/init.d/iptables save
Ⅵ Linux服务器怎样设置防火墙
一、怎样在Linux系统中安装Iptables防火墙?
几乎所有Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包:
sudo apt-get install iptables
二、关闭哪些防火墙端口?
防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如,如果您运行的是Web服务器,则可能需要打开以下端口:
网络:80和443
SSH:通常在端口22上运行
电子邮件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、还原默认防火墙规则
为确保设置无误,我们需从一套新的规则开始,运行以下命令来清除防火墙中的规则:
iptables -F
2、屏蔽服务器攻击路由
我们可以运行下列标准命令来隔绝常见的攻击。
屏蔽syn-flood数据包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS数据包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止无效数据包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打开所需端口
根据以上命令可屏蔽常见的攻击方式,我们需要打开所需端口。下列例子,供您参考:
允许SSH访问:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打开LOCALHOST访问权限:
iptables -A INPUT -i lo -j ACCEPT
允许网络流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允许SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、测试防火墙配置
运行下列命令保存配置并重新启动防火墙:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是简单的iptables防火墙安装与配置过程。
Ⅶ linux服务器需要发送邮件iptables怎么配置
邮件服务都使用了25端口,我们只需要允许来自25端口的连接请求即可。
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
允许IMAP与IMAPS
# IMAP:143
iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
# IMAPS:993
iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
允许POP3与POP3S
# POP3:110
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
# POP3S:995
iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
Ⅷ 如何配置linux下的防火墙
一、Linux下开启/关闭防火墙命令
1、永久性生效,重启后不会复原。
开启:
chkconfig
iptables
on
关闭:
chkconfig
iptables
off
2、
即时生效,重启后复原
开启:
service
iptables
start
关闭:
service
iptables
stop
需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。
在当开启了防火墙时,做如下设置,开启相关端口,
修改/etc/sysconfig/iptables
文件,添加以下内容:
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
80
-j
ACCEPT
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
22
-j
ACCEPT
二、UBuntu关闭防火墙
iptables
-A
INPUT
-i
!
PPP0
-j
ACCEPT
三、CentOS
Linux
防火墙配置及关闭
执行”setup”命令启动文字模式配置实用程序,在”选择一种工具”中选择”防火墙配置”,然后选择”运行工具”按钮,出现防火墙配置界面,将”安全级别”设为”禁用”,然后选择”确定”即可.
或者用命令:
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
80
-j
ACCEPT
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
22
-j
ACCEPT
#/etc/rc.d/init.d/iptables
save
这样重启计算机后,防火墙默认已经开放了80和22端口
这里应该也可以不重启计算机:
#/etc/init.d/iptables
restart
关闭防火墙服务即可:
查看防火墙信息:
#/etc/init.d/iptables
status
关闭防火墙服务:
#/etc/init.d/iptables
stop
Ⅸ 如何使用iptables命令为Linux系统配置防火墙
构筑防火墙之IPtables搭建防火墙的规则
一般情况下,iptables已经包含在了Linux发行版中,可以运行iptables
--version来查看...并且大部分发行版都会有一个已经预先配置好的防火墙。不同的发行版的
配置文件
位置不尽相同,我们可以使用命令locate
Ⅹ Linux防火墙怎么设置
在终端中输入如下命令打开防火墙:
chkconfig iptables on
如闭防火墙则输入:
chkconfig iptables off
上述两条命令均要重启系统才能生效。
如果不想通过重启系统而即时生效的话,可以用“service”命令。缺点是重启系统后设置会丢失。
开启了防火墙:
service iptables start
关闭防火墙:
service iptables stop
要在防火墙中设置某些端口的开关,可修改编辑/etc/sysconfig/iptables文件,比如开启SSH 端口22,可以加上如下内容:
-A RH-Firewall-1-INPUT -m state ――state NEW -m tcp -p tcp ――dport 22 -j ACCEPT