重慶分公司
重慶分公司,新征程啟航
為企業(yè)提供網(wǎng)站建設(shè)、域名注冊、服務(wù)器等服務(wù)
linux下防火墻的設(shè)計(jì)示例
這篇文章給大家分享的是有關(guān)linux下防火墻的設(shè)計(jì)示例的內(nèi)容。小編覺得挺實(shí)用的,因此分享給大家做個(gè)參考。一起跟隨小編過來看看吧。
梨樹網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)!從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作,到程序開發(fā),運(yùn)營維護(hù)。創(chuàng)新互聯(lián)于2013年創(chuàng)立到現(xiàn)在10年的時(shí)間,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn),來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。
應(yīng)用規(guī)則如下:
清除已有規(guī)則,將原有的規(guī)則全部清除。
設(shè)定默認(rèn)策略,將filter的input鏈默認(rèn)策略設(shè)置為drop,其他的都設(shè)置為accept。
信任本機(jī),對于回環(huán)網(wǎng)卡lo必須設(shè)置為可信任的。
響應(yīng)數(shù)據(jù)包,對于主機(jī)主動向外請求的而響應(yīng)的數(shù)據(jù)包可以進(jìn)入本機(jī)(establish/related)
拒絕無效數(shù)據(jù)包,對于無效的數(shù)據(jù)包都拒絕(INVALID)
白名單,信任某些ip或網(wǎng)絡(luò)地址等
黑名單,不信任的ip或網(wǎng)絡(luò)地址等
允許icmp包,對于icmp包放行
開放部分端口, 有些服務(wù)的端口是必須要向外開放的,比如80、443、22等端口
我們準(zhǔn)備制作3個(gè)shell腳本文件:iptables.rule、iptables.allow(白名單)、iptables.deny(黑名單)文件。這三個(gè)文件,我一般會先建立一個(gè)目錄/etc/iptables,這三個(gè)文件存在這個(gè)目錄。
下面,我們看這個(gè)iptables.rule的腳本內(nèi)容:
#!/bin/bash
# iptables rule
# 清楚默認(rèn)規(guī)則
iptables -F
iptables -X
iptables -Z
# 修改默認(rèn)策略
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# 信任本機(jī)
iptables -A INPUT -i lo -j ACCEPT
# 響應(yīng)數(shù)據(jù)包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 拒絕無效數(shù)據(jù)包
iptables -A INPUT -m state --state INVALID -j DROP
# 白名單
if [ -f "/etc/iptables/iptables.allow" ];then
sh /etc/iptables/iptables.allow
fi
# 黑名單
if [ -f "/etc/iptables/iptables.deny" ];then
sh /etc/iptables/iptables.deny
fi
# 允許icmp包
iptables -A INPUT -p icmp -j ACCEPT
# 開放部分端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # ssh服務(wù)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # www服務(wù)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # ssl
# 保存規(guī)則
/usr/libexec/iptables/iptables.init save對于iptables.allow,我們一般會將信任的ip或網(wǎng)絡(luò)地址寫入到這個(gè)文件,比如該主機(jī)所在局域網(wǎng)絡(luò)為192.168.1.0/24,想要信任該局域網(wǎng)內(nèi)的主機(jī)的話,可以在該文件寫入
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
而iptables.deny則是用來阻擋某些惡意ip的流量進(jìn)入到本機(jī),比如像阻擋8.210.247.5這個(gè)ip,可以在該文件寫入
iptables -A INPUT -s 8.210.247.5/32 -j DROP
在iptables.rule的最后,我們使用的命令來保存了防火墻規(guī)則,注意,如果不加入本命令,該規(guī)則只會零時(shí)生效,當(dāng)重啟了iptables或重啟了系統(tǒng),我們之前設(shè)定的規(guī)則就會失效了。
感謝各位的閱讀!關(guān)于linux下防火墻的設(shè)計(jì)示例就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,讓大家可以學(xué)到更多知識。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到吧!
網(wǎng)頁標(biāo)題:linux下防火墻的設(shè)計(jì)示例
標(biāo)題來源:http://www.xueling.net.cn/article/jgphss.html