CentOS iptables配置詳解

一、基本概念

iptables 是在 Linux 內核中實現的強大的防火牆工具，它可以用來檢查、修改數據包，且還可以充當 NAT 伺服器使用，是 Linux 伺服器必備防護工具之一。

在 CentOS 中，安裝 iptables 後，通常要配置防火牆規則，以保證伺服器安全。

二、iptables配置文件詳解

CentOS 中 iptables 配置文件為 /etc/sysconfig/iptables，使用文本編輯器打開該文件：

$ sudo vi /etc/sysconfig/iptables

可以看到此文件中包含有關規則和鏈的信息，以下是一些基本的規則說明：

-A：增加規則
-D：刪除規則
-I：插入規則
-j：規則動作
-p：協議
–dport：目標埠
-s：源地址
-d：目標地址
-i：輸入介面
-o：輸出介面

三、iptables 命令詳解

以下是幾個常用的 iptables 命令：

iptables -L [-n]：列出所有規則，-n 表示不進行主機名和埠號的解析。
iptables -A INPUT -p tcp –dport 22 -j ACCEPT：添加允許 SSH 連接的規則。
iptables -A INPUT -s 192.0.2.0/24 -j DROP：拒絕來自 192.0.2.0/24 網路的所有連接。
iptables -D INPUT 1：刪除 INPUT 鏈中的第一個規則。
iptables -P FORWARD DROP：將 FORWARD 鏈上的默認策略設為 DROP。
iptables-save > /etc/sysconfig/iptables：將當前 iptables 規則保存到 /etc/sysconfig/iptables 文件中。

四、常用防火牆規則詳解

1. 允許本地迴環介面

本地迴環介面是指介面地址為 127.0.0.1 的網路介面。在 CentOS 中，可以使用以下命令添加這個規則：

iptables -A INPUT -i lo -j ACCEPT

2. 允許 SSH 連接

SSH 服務是連接到 CentOS 伺服器的必要服務之一，可以使用以下 iptables 規則允許 SSH 連接：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

3. 開啟 HTTP 和 HTTPS 服務

在 CentOS 中啟用 HTTP 和 HTTPS 服務需要開啟 80 和 443 埠。可以使用以下命令添加規則：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

4. 拒絕 ICMP 請求

由於 ICMP 協議的存在，攻擊者可以使用 ping 等命令進行網路掃描。可以使用以下命令阻止 ICMP 請求：

iptables -A INPUT -p icmp -j DROP

5. 限制連接數

為防止惡意訪問，可以限制對伺服器的連接數。以下是一個適用於 HTTP 伺服器的示例規則：

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j DROP

五、iptables 配置實例

以下是一個基本的 iptables 配置實例：

# 開啟迴環介面
iptables -A INPUT -i lo -j ACCEPT

# 開啟 SSH 連接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 開啟 HTTP 和 HTTPS 服務
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 拒絕 ICMP 請求
iptables -A INPUT -p icmp -j DROP

# 限制連接數
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j DROP

# 默認規則
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

以上規則允許本地迴環介面、SSH 連接、HTTP 和 HTTPS 服務，拒絕 ICMP 請求，限制 HTTP 連接數，並將 DEFAULT 策略設置為 DROP。

總結

以上就是 CentOS iptables 配置的詳解，希望能夠幫助到你。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-tw/n/253897.html