一、什麼是防火牆?
防火牆是一種用於控制網路流量的系統安全設備,它利用規則過濾流量,保護網路免受未經授權的訪問、入侵和其他安全威脅。防火牆通常部署在網路的邊緣,通過檢查所有進出網路的流量,進行過濾和管理,來保證網路的安全。在Linux系統中,我們可以使用iptables命令來搭建防火牆。
二、iptables基本語法
iptables命令是Linux下使用的一個防火牆工具,它通過過濾IP數據包、埠等來保護伺服器網路安全。下面是iptables的基本語法:
iptables [-t 表名] [-A 鏈名] [-p 協議] [--dport/DPORT] [埠號] [-j 動作]
其中,-t參數用於指定iptables處理的表,默認為filter;-A參數用於指定添加的規則是追加還是插入到鏈的開頭;-p參數用於指定匹配規則的協議;–dport/DPORT參數用於指定匹配規則的目標埠;-j參數用於指定匹配規則的動作。
三、防火牆配置實例
1. 查看iptables默認規則
在配置防火牆之前,我們可以使用以下命令查看當前iptables的默認規則:
iptables -L
通過執行該命令,我們可以看到當前iptables防火牆中的規則列表。
2. 設置默認規則
在配置防火牆之前,我們需要設置iptables的默認規則,以確保伺服器的安全性。以下命令設置iptables的默認規則:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
命令解釋:
- iptables -P INPUT DROP:拒絕所有輸入流量。
- iptables -P FORWARD DROP:拒絕所有被轉發的流量。
- iptables -P OUTPUT ACCEPT:允許所有輸出流量。
3. 開放指定埠
為了保護伺服器的安全性,我們只需要開放必需的埠即可。以下命令用於開放22埠和80埠:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
命令解釋:
- iptables -A INPUT -p tcp –dport 22 -j ACCEPT:允許通過22埠建立TCP連接。
- iptables -A INPUT -p tcp –dport 80 -j ACCEPT:允許通過80埠建立TCP連接。
4. 配置IP地址白名單
為了進一步增強伺服器的安全性,我們可以配置IP地址白名單,只允許指定IP地址的訪問。以下命令用於配置IP地址白名單:
iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.101 --dport 80 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.102 --dport 53 -j ACCEPT
命令解釋:
- iptables -A INPUT -p tcp -s 192.168.1.100 –dport 22 -j ACCEPT:允許IP地址為192.168.1.100的主機通過TCP協議連接22埠。
- iptables -A INPUT -p tcp -s 192.168.1.101 –dport 80 -j ACCEPT:允許IP地址為192.168.1.101的主機通過TCP協議連接80埠。
- iptables -A INPUT -p udp -s 192.168.1.102 –dport 53 -j ACCEPT:允許IP地址為192.168.1.102的主機通過UDP協議連接53埠。
5. 刪除規則
在防火牆配置過程中,我們可能需要刪除已有的規則。以下命令用於刪除指定規則:
iptables -D INPUT 1
命令解釋:
- iptables -D INPUT 1:刪除INPUT鏈中的第一個規則。
總結
防火牆是保護伺服器網路安全的重要組成部分,Linux系統中的iptables命令為我們提供了豐富的配置選項。通過合理配置iptables規則,我們可以有效地防範各種網路威脅。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/154616.html
微信掃一掃 
支付寶掃一掃 