linux防火墙规则
Ⅰ linux中iptables防火墙怎么设置
一,安装并启动防火墙
[root@linux ~]# /etc/init.d/iptables start
当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig/iptables,我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了。
1.加载模块
/sbin/modprobe ip_tables
2.查看规则
iptables -L -n -v
3.设置规则
#清除已经存在的规则
iptables -F
iptables -X
iptables -Z
#默认拒绝策略(尽量不要这样设置,虽然这样配置安全性高,但同时会拒绝包括lo环路在内的所#有网络接口,导致出现其他问题。建议只在外网接口上做相应的配置)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#ssh 规则
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
#本地还回及tcp握手处理
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#www-dns 规则
iptables -I INPUT -p tcp –sport 53 -j ACCEPT
iptables -I INPUT -p udp –sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT
#ICMP 规则
iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
二,添加防火墙规则
1,添加filter表
1.[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口
出口我都是开放的iptables -P OUTPUT ACCEPT,所以出口就没必要在去开放端口了。
2,添加nat表
1.[root@linux ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
将源地址是 192.168.10.0/24 的数据包进行地址伪装
3,-A默认是插入到尾部的,可以-I来插入到指定位置
1.[root@linux ~]# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
2.[root@linux ~]# iptables -L -n --line-number
3.Chain INPUT (policy DROP)
4.num target prot opt source destination
5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的
8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW
12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默认插到最后
13.Chain FORWARD (policy ACCEPT)
14.num target prot opt source destination
15.Chain OUTPUT (policy ACCEPT)
16.num target prot opt source destination
三,查下iptable规则
1,查看filter表
1.[root@linux ~]# iptables -L -n --line-number |grep 21 //--line-number可以显示规则序号,在删除的时候比较方便
2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
如果不加-t的话,默认就是filter表,查看,添加,删除都是的
2,查看nat表
1.[root@linux ~]# iptables -t nat -vnL POSTROUTING --line-number
2.Chain POSTROUTING (policy ACCEPT 38 packets, 2297 bytes)
3.num pkts bytes target prot opt in out source destination
4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0
四,修改规则
1.[root@linux ~]# iptables -R INPUT 3 -j DROP //将规则3改成DROP
五,删除iptables规则
1.[root@linux ~]# iptables -D INPUT 3 //删除input的第3条规则
2.[root@linux ~]# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的第一条规则
3.[root@linux ~]# iptables -F INPUT //清空 filter表INPUT所有规则
4.[root@linux ~]# iptables -F //清空所有规则
5.[root@linux ~]# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则
六,设置默认规则
1.[root@linux ~]# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP
所有添加,删除,修改后都要保存起来,/etc/init.d/iptables save.上面只是一些最基本的操作,要想灵活运用,还要一定时间的实际操作。
iptables配置常规映射及软路由
作用:虚拟化云平台服务器网段192.168.1.0/24 通过一台linux服务器(eth0:192.168.1.1、eth1:10.0.0.5)做软路由达到访问10.0.0.5能访问的网络范围,并且通过iptables的NAT映射提供服务。
NAT 映射网络端口:
效果: 10.0.0.5:2222 —-》 192.168.1.2:22
命令:iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22
service iptables save
service iptables restart
注意:1.在192.168.1.2的网络配置上需要将NAT主机的内网ip即192.168.1.1作为默认网关,如果10.0.0.5具有公网访问权限,dns则设置成公网对应dns
2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效
软路由192.168.1.0/24通过10.0.0.5访问外网:
命令:iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5
service iptables save
service iptables restart
Ⅱ linux防火墙规则变更时间
服务器时间与网络时间不符:
一、手动修改
1. date命令:查看当前时间
2. date -s 时分秒 :修改时间
还需要把日期改过来
3. date -s 完整日期时间(YYYY-MM-DD hh:mm[:ss]):修改日期、时间
时间要用双引号括起来,否则报错
手动修改会存在一定的时间误差
4. hwclock -w
将时间写入bios避免重启失效。
当我们进行完 Linux 时间的校时后,还需要以 hwclock 来更新 BIOS 的时间,因为每次重新启动的时候,系统会重新由 BIOS 将时间读出来,所以, BIOS 才是重要的时间依据。
二、同步网络时间
1. 检查系统是否安装ntp服务
安装ntp服务命令:
apt-get install ntp 或者 yum install ntp
2. service --status-all:检查ntp服务是否启动
[+]表示服务已启动
3. ntpdate 服务器IP:同步服务器时间
ntp常用服务器:
中国国家授时中心:210.72.145.44
NTP服务器(上海) :ntp.api.bz
美国:time.nist.gov
复旦:ntp.fudan.e.cn
微软公司授时主机(美国) :time.windows.com
台警大授时中心(台湾):asia.pool.ntp.org
好像有点问题了
服务器换成上海的
时间还是差一分钟,手动把时间与当前时间间隔改大一些,再同步发现有问题,服务器时间根本就不对,差了半天时间,用微软公司授时主机(美国),发现和上海的服务器时间差不多,那是不是时区设置有问题??
4. 修改服务器时区
4.1 date -R : 查看当前时区
另一台服务器(时间正常)时区:
so,现在要来改时区了
4.2 tzselect
时区没改回来
最后一步
修改成功。
Ⅲ linux怎么清除防火墙规则
设置防火墙规则的步骤如下:
一、局域网内共享的天网防火墙设置
1、首先保证在没有装防火墙的情况下局域网内是可以相互通讯的(如果你连这个都不能保障那么就不是防火墙的问题了)
2、在防火墙的系统设置里面按刷新,设置好本地局域网的IP地址
3、在自定义IP规则的TCP协议里把其中‘允许局域网内的机器进行连接和传输’打上勾,并且保存规则
4、访问网络
如果共享打印机不能使用的,那就要开放对应的连接端口就可以了
二、设置规则开放WEB服务的步骤
1、进入防火墙自定义IP规则,增加规则
2、输入名称、说明 (可任意输入,以便查阅)
3、设置数据包方向——接收和发送,对方IP地址——任何地址
4、设置TCP本地端口80到80,对方端口0到0,TCP标志位为SYN,当满足上面条件时“通行”,确定
5、在IP规则列表中把该规则上移到TCP协议的第一条,并选上勾再保存
三、设置规则开放FTP服务的步骤
1、进入防火墙自定义IP规则,增加规则
2、输入名称、说明 (可任意输入,以便查阅)
3、设置数据包方向——接收和发送,对方IP地址——任何地址
4、设置TCP本地端口20到21,对方端口0到0,TCP标志位为SYN,当满足上面条件时“通行”,确定
5、在IP规则列表中把该规则上移到TCP协议的第一条,并选上勾再保存
其它端口的开放设置方法类似
四、关闭或开放特定端口
例,关闭TCP 139端口
1、进入防火墙自定义IP规则,增加规则
2、输入名称、说明 (可任意输入,以便查阅)
3、设置数据包方向——接收或发送,对方IP地址——任何地址
4、设置TCP本地端口139到139,对方端口0到0,TCP标志位为SYN,当满足上面条件时‘拦截’,确定;同时还:记录、警告、发声(视个人设置喜好,可选择若干方式)
5、在IP规则列表中把该新规则上移到TCP协议的第一条,并选上勾再保存
其它端口的关闭设置方法类似;如要开放端口的,设置后把‘拦截’改为‘通行’就可以了。
五、设置规则屏蔽或开放IP的步骤
1、进入防火墙自定义IP规则,增加规则
2、输入名称、说明 (可任意输入,以便查阅)
3、设置数据包方向——接收和发送,对方IP地址——指定地址
4、选择IP协议,当满足上面条件时“拦截”,确定
5、在IP规则列表中把该规则上移到IP协议的第一条,并把新规则和IP规则选上勾再保存
屏蔽IP的方法如上;但如果要开放指定IP的,设置后把‘拦截’改为‘通行’就可以了。
Ⅳ Linux服务器怎样设置防火墙
一、怎样在Linux系统中安装Iptables防火墙?
几乎所有Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包:
sudo apt-get install iptables
二、关闭哪些防火墙端口?
防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如,如果您运行的是Web服务器,则可能需要打开以下端口:
网络:80和443
SSH:通常在端口22上运行
电子邮件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、还原默认防火墙规则
为确保设置无误,我们需从一套新的规则开始,运行以下命令来清除防火墙中的规则:
iptables -F
2、屏蔽服务器攻击路由
我们可以运行下列标准命令来隔绝常见的攻击。
屏蔽syn-flood数据包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS数据包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止无效数据包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打开所需端口
根据以上命令可屏蔽常见的攻击方式,我们需要打开所需端口。下列例子,供您参考:
允许SSH访问:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打开LOCALHOST访问权限:
iptables -A INPUT -i lo -j ACCEPT
允许网络流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允许SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、测试防火墙配置
运行下列命令保存配置并重新启动防火墙:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是简单的iptables防火墙安装与配置过程。
Ⅳ 当使用linux作为网络防火墙时,一般在哪个链上设置防火墙规则
一、基本查看命令
chkconfig命令只是查看和设置服务的自动启动情况,并不能反映当前服务的状态.
二、服务查看方式
service iptables status可以查看到iptables服务的当前状态
但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置
iptables -L
上述命令的返回值如果显示没有防火墙规则,那就是不起作用;反之就是防火墙在起作用.
三、查看服务状态
iptables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
四、Linux运行级别
linux有六个运行级别,0(关机),1单用户,2多用户(无NFS),3完全多用户, 4(未使用),5图形界面X11,6重启,
五、不同操作系统服务配置文件路径
CENTOS/redhat,service iptables status
debian,/etc/init.d/iptables
Ⅵ Linux下如何添加防火墙规则
RedHat
Linux
为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。
[Linux
]
为你的系统选择恰当的安全级别。
“高级”
如果你选择了“高级”
,你的系统就不会接受那些没有被你具体指定的连接(除了默认设置外)。只有以下连接是默认允许的:
DNS回应
DHCP
—
任何使用
DHCP
的网络接口都可以被相应地配置。
如果你选择“高级”,你的防火墙将不允许下列连接:
1.活跃状态FTP(在多数客户机中默认使用的被动状态FTP应该能够正常运行。)
2.IRC
DCC
文件传输
3.RealAudio
4.远程
X
窗口系统客户机
如果你要把系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。如果需要额外的服务,你可以选择
“定制”
来具体指定允许通过防火墙的服务。
注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS
和
LDAP)将行不通。
“中级”
如果你选择了“中级”,你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的:
1.低于1023
的端口
—
这些是标准要保留的端口,主要被一些系统服务所使用,例如:
FTP
、
SSH
、
telnet
、
HTTP
、和
NIS
。
2.NFS
服务器端口(2049)—
在远程服务器和本地客户机上,NFS
都已被禁用。
3.为远程
X
客户机设立的本地
X
窗口系统显示。
4.X
字体服务器端口(
xfs
不在网络中监听;它在字体服务器中被默认禁用)。
如果你想准许到RealAudio之类资源的访问,但仍要堵塞到普通系统服务的访问,选择
“中级”
。你可以选择
“定制”
来允许具体指定的服务穿过防火墙。
注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS
和
LDAP)将行不通。
“无防火墙”
无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。
选择
“定制”
来添加信任的设备或允许其它的进入接口。
“信任的设备”
选择“信任的设备”中的任何一个将会允许你的系统接受来自这一设备的全部交通;它不受防火墙规则的限制。
Ⅶ linux的防火墙有什么作用
linux防火墙作用一:
一、防火墙的基本模型
基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙是为了保持网络连通性而设立的安全机制,因此防火墙技术就是通过分析、控制网络以上层协议特征,实现被保护网络所需安全策略的技术。构建防火墙有三类基本模型:即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火墙。
二、不应该过滤的包
在开始过滤某些不想要的包之前要注意以下内容:
ICMP包
ICMP
包可用于检测TCP/IP失败的情形。如果阻挡这些包将导致不能得“Host unreachable”或“No route to host”等信息。ICMP包还用于MTU发现,某些TCP实现使用了MTU发现来决定是否进行分段。MTU发现通过发送设置了不进行分段的位的包探测,
当得到的ICMP应答表示需要分段时,再发送较小的包。如果得不到ICMP包(“destination unreachable”类型的包),则本地主机不减少MTU大小,这将导致测试无法停止或网络性能下降。 到DNS的TCP连接
如果要拦阻出去的TCP连接,那么要记住DNS不总是使用UDP。如果从DNS服务器过来的回答超过512字节,客户端将使用TCP连接,并仍使用端口53接收数据。若禁止了TCP连接,DNS大多数情况下会正常工作,但可能会有奇怪的延时故障出现。
如果内部网络的DNS查询总是指向某个固定的外部DNS服务器,可以允许本地域端口到该服务器的域端口连接。
主动式FTP的TCP连接
FTP有两种运作方式,即传统的主动式(active)方式和目前流行的被动式(passive)方式。在主动式FTP模式下,FTP 服务器发送文件或应答LS命令时,主动和客户端建立TCP连接。如果这些TCP连接被过滤,则主动方式的FTP将被中断。如果使用被动方式,则过滤远地的TCP连接没有问题。因为数据连接是从客户端到服务器进行的(包括双向的数据)。
三、针对可能的网络攻击
防火墙的性能是否优良关键在于其配置能否防护来自外界的各种网络攻击。这要求网络管理者能针对可能的网络攻击特点设定完善的安全策略。以网络常见的“ping of death”攻击为例,“ping of death”攻击通过发送一个非法的大ICMP包使接收者的TCP堆栈溢出从而引起混乱。针对这种攻击可将防火墙配置为阻挡ICMP分段。因为普通的
ICMP包大都不需要到分段的程度,阻挡ICMP分段只拦阻大的“ping”包。 这种防护策略也可用于针对其他协议安全缺陷的网络攻击。
linux防火墙作用二:
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。
2.使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如, Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如, Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统, 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法, 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据, 来判断可能的攻击和探测。
策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
数 据 包 过 滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑, 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
应 用 级 网 关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接, 由两个终止代理服务器上的 链接来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。
linux防火墙作用三:
windows防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
具体作用如下:
1、防止来自网络上的恶意攻击;
2、阻止外来程序连接计算机端口;
3、对电脑进行防护,防止木马入侵或其它黑客软件、程序运行‘
4、阻止本地程序通过计算机端口,向外并发信息;