一、了解iptables
為了添加規則,我們需要先了解Linux中的iptables。Iptables是一個基於Netfilter模塊的工具,可以在Linux系統中管理網路連接。該工具提供了網路連接的數據包過濾、網路地址轉換(NAT)和埠轉發等能力。iptables命令是必須掌握的工具之一。
二、選擇添加規則的位置
當我們知道如何使用iptables添加規則後,我們需要確定在哪個位置添加規則。在Linux中,iptables基本上按照以下順序處理數據包。
PREROUTING -> INPUT -> FORWARD -> OUTPUT -> POSTROUTING
根據需要,您可以在任何這些處理步驟之前或之後添加規則。下面為您展示了每個處理步驟的簡短描述以及添加規則的例子:
1. PREROUTING
PREROUTING被用於Destination Network Address Translation(DNAT)。它可以更改輸入數據包的目標IP地址和埠。
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.88.88.88:8080
2. INPUT
INPUT被用於處理到達本地進程的數據包,如果您需要允許或拒絕特定的流量到達您的系統,請在此處添加規則。
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
3. FORWARD
FORWARD被用於Routing/NAT。如果您的Linux系統被配置為路由數據包,則可以根據需要添加規則。
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
4. OUTPUT
OUTPUT被用於處理離開數據包。如果你需要控制哪些流量可以從本機發送,請在這裡添加規則。
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
5. POSTROUTING
POSTROUTING用於Source Network Address Translation(SNAT)。它可以更改輸出數據包的源IP地址和埠。
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
三、添加規則
根據您的需求,輸入以下命令來添加規則。
1. 允許特定埠
如果您需要允許某些流量到達網路,請使用以下命令:
iptables -A INPUT -p tcp --dport PortNumber -j ACCEPT
2. 拒絕特定埠
如果您需要阻止某些流量到達網路,請使用以下命令:
iptables -A INPUT -p tcp --dport PortNumber -j DROP
3. 允許來自某個IP地址的訪問
如果您需要允許來自某個IP地址的訪問,請使用以下命令:
iptables -A INPUT -s IPAddress -j ACCEPT
4. 阻止來自某個IP地址的訪問
如果您需要阻止來自某個IP地址的訪問,請使用以下命令:
iptables -A INPUT -s IPAddress -j DROP
5. 允許並限制連接到本機的請求總數和速率
如果您需要允許規定數量的流量到達網路,請使用以下命令:
iptables -A INPUT -p tcp --dport PortNumber -m limit --limit 500/hour -j ACCEPT iptables -A INPUT -p tcp --dport PortNumber -j DROP
四、總結
您已經了解了iptables和在Linux防火牆配置文件中添加規則的步驟。根據需要,可以通過上面提供的例子來快速添加自定義規則至防火牆來保護您的Linux伺服器。
原創文章,作者:CFWQ,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/135641.html
微信掃一掃 
支付寶掃一掃 