首頁 >運維 >linux運維 >linux下的軟體防火牆iptables-防火牆的設計

linux下的軟體防火牆iptables-防火牆的設計

齐天大圣
齐天大圣原創
2020-11-18 15:27:092333瀏覽

在之前的幾篇文章裡,已經介紹過了iptables的表、鏈,以及如何增加規則鍊等。這裡,想和大家分享一個簡單的防火牆的規則,這裡主要針對filter的input鏈設定規則,這篇文章相當於一個iptables規則實戰,幫助大家加深鞏固所學的知識。

應用規則如下:

  • 清除已有規則,將原有的規則全部清除。

  • 設定預設策略,將filter的input鏈預設策略設為drop,其他的都設為accept。

  • 信任本機,對於回環網卡lo必須設定為可信任的。

  • 回應資料包,對於主機主動向外請求的而回應的資料包可以進入本機(establish/related)

  • 拒絕無效資料包,對於無效的資料包都拒絕(INVALID)

  • 白名單,信任某些ip或網路位址等

  • 黑名單,不信任的ip或網路位址等

  • 允許icmp包,對於icmp包放行

  • 開放部分端口, 有些服務的端口是必須要向外開放的,像是80、443、22等埠

我們準備製作3個shell腳本檔:iptables.rule、iptables.allow(白名單)、iptables .deny(黑名單)文件。這三個文件,我通常會先建立一個目錄/etc/iptables,這三個文件存在這個目錄。

下面,我們看這個iptables.rule的腳本內容:

#!/bin/bash
# iptables rule

# 清楚默认规则
iptables -F
iptables -X
iptables -Z

# 修改默认策略
iptables -P INPUT  DROP
iptables -P FORWARD  ACCEPT
iptables -P OUTPUT  ACCEPT

# 信任本机
iptables -A INPUT -i lo -j ACCEPT 

# 响应数据包
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

# 拒绝无效数据包
iptables -A INPUT  -m state --state INVALID -j DROP

# 白名单
if [ -f "/etc/iptables/iptables.allow" ];then
    sh /etc/iptables/iptables.allow
fi

# 黑名单
if [ -f "/etc/iptables/iptables.deny" ];then
    sh /etc/iptables/iptables.deny
fi

# 允许icmp包
iptables -A INPUT -p icmp -j ACCEPT

# 开放部分端口
iptables -A INPUT -p tcp --dport 22  -j ACCEPT # ssh服务
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # www服务
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # ssl

# 保存规则
/usr/libexec/iptables/iptables.init save

對於iptables.allow,我們通常會將信任的ip或網路位址寫入這個文件,例如該主機所在區域網路為192.168.1.0/24,想要信任該區域網路內的主機的話,可以在該檔案寫入

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

而iptables.deny則是用來阻擋某些惡意ip的流量進入到本機,例如像阻擋8.210.247.5這個ip,可以在該檔案寫入

iptables -A INPUT -s 8.210.247.5/32 -j DROP

在iptables.rule的最後,我們使用的命令來保存了防火牆規則,注意,如果不加入本命令,該規則只會零時生效,當重啟了iptables或重啟了系統,我們之前設定的規則就會失效了。

相關推薦:《linux課程

##

以上是linux下的軟體防火牆iptables-防火牆的設計的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn