linux下的軟體防火牆iptables－防火牆的設計

在之前的幾篇文章裡，已經介紹過了iptables的表、鏈，以及如何增加規則鍊等。這裡，想和大家分享一個簡單的防火牆的規則，這裡主要針對filter的input鏈設定規則，這篇文章相當於一個iptables規則實戰，幫助大家加深鞏固所學的知識。

應用規則如下：

• 清除已有規則，將原有的規則全部清除。

• 設定預設策略，將filter的input鏈預設策略設為drop，其他的都設為accept。

• 信任本機，對於回環網卡lo必須設定為可信任的。

• 回應資料包，對於主機主動向外請求的而回應的資料包可以進入本機(establish/related)

• 拒絕無效資料包，對於無效的資料包都拒絕（INVALID）

• 白名單，信任某些ip或網路位址等

• 黑名單，不信任的ip或網路位址等

• 允許icmp包，對於icmp包放行

• 開放部分端口， 有些服務的端口是必須要向外開放的，像是80、443、22等埠

我們準備製作3個shell腳本檔：iptables.rule、iptables.allow（白名單）、iptables .deny（黑名單）文件。這三個文件，我通常會先建立一個目錄/etc/iptables，這三個文件存在這個目錄。

下面，我們看這個iptables.rule的腳本內容：

#!/bin/bash
# iptables rule

# 清楚默认规则
iptables -F
iptables -X
iptables -Z

# 修改默认策略
iptables -P INPUT  DROP
iptables -P FORWARD  ACCEPT
iptables -P OUTPUT  ACCEPT

# 信任本机
iptables -A INPUT -i lo -j ACCEPT 

# 响应数据包
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

# 拒绝无效数据包
iptables -A INPUT  -m state --state INVALID -j DROP

# 白名单
if [ -f "/etc/iptables/iptables.allow" ];then
    sh /etc/iptables/iptables.allow
fi

# 黑名单
if [ -f "/etc/iptables/iptables.deny" ];then
    sh /etc/iptables/iptables.deny
fi

# 允许icmp包
iptables -A INPUT -p icmp -j ACCEPT

# 开放部分端口
iptables -A INPUT -p tcp --dport 22  -j ACCEPT # ssh服务
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # www服务
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # ssl

# 保存规则
/usr/libexec/iptables/iptables.init save

對於iptables.allow，我們通常會將信任的ip或網路位址寫入這個文件，例如該主機所在區域網路為192.168.1.0/24，想要信任該區域網路內的主機的話，可以在該檔案寫入

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

而iptables.deny則是用來阻擋某些惡意ip的流量進入到本機，例如像阻擋8.210.247.5這個ip，可以在該檔案寫入

iptables -A INPUT -s 8.210.247.5/32 -j DROP

在iptables.rule的最後，我們使用的命令來保存了防火牆規則，注意，如果不加入本命令，該規則只會零時生效，當重啟了iptables或重啟了系統，我們之前設定的規則就會失效了。

相關推薦：《linux課程》

##

以上是linux下的軟體防火牆iptables－防火牆的設計的詳細內容。更多資訊請關注PHP中文網其他相關文章！