本文共 2201 字,大约阅读时间需要 7 分钟。
在你安安装并系统中启用防火墙时,随系统默认设置开放了22、80、25端口。本节将指导你从零开始配置一个安全且实用的防火墙方案。
在启用防火墙前,先查看现有规则是否存在:
iptables -L -n
可以看到默认已经开放了INPUT、FORWARD、OUTPUT三条链,并默认设置允许所有网络连接。
不论你是否启用防火墙,在自定义配置前建议清理所有现有规则:
iptables -Fiptables -X
这将清除所有预设表中的规则链。
为确保安全性,我们采用以下策略:
iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT
说明:
接下来为需要开放的端口和服务添加规则:
####college 添加INPUT链规则
为了允许外部访问网络服务,需开放服务器提供的端口:
#SSH端口(22)iptables -A INPUT -p tcp --dport 22 -j ACCEPT#Web服务器端口(80)iptables -A INPUT -p tcp --dport 80 -j ACCEPT#邮件服务器端口(25)iptables -A INPUT -p tcp --dport 25 -j ACCEPT#FTP服务器端口(21)iptables -A INPUT -p tcp --dport 21 -j ACCEPT#DNS查询端口(53)iptables -A INPUT -p tcp --dport 53 -j ACCEPT
对于OUTPUT链,默认接受所有端口的数据包,建议仅开放特定端口:
#允许未经яс说的输出连接iptables -A OUTPUT -p tcp --sport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 80 -j ACCEPTiptables -A OUTPUT -p tcp --sport 25 -j ACCEPTiptables -A OUTPUT -p tcp --sport 21 -j ACCEPTiptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
ICMP查询(如ping)需特殊处理:
#允许ICMP进入iptables -A INPUT -p icmp -j ACCEPT#允许ICMP出站iptables -A OUTPUT -p icmp -j ACCEPT
内网接口(lo)必须允许本地数据包:
iptables -A INPUT -i lo -p all -j ACCEPTiptables -A OUTPUT -o lo -p all -j ACCEPT
为了维护现有连接的状态:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
为了规避被恶意攻击:
#封锁非法端口iptables -A OUTPUT -p tcp --dport 31337 -j DROP#封锁常见攻击端口iptables -A OUTPUT -p tcp --dport 135 137 139 2142 -j DROP#封锁NFS共享iptables -A OUTPUT -p tcp --dport 2049 -j DROP
在NAT表中添加以下规则以管理网络转发:
#DNSMasq配置iptables -t nat -A PREROUTING -i eth0 -j DNAT --target 192.168.0.1 --destination 0.0.0.0/0
#Web服务器NAT规则iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
若需要清除NAT表中的规则:
iptables -F -t natiptables -X -t nat
确保在服务重启后防火墙规则仍然生效:
/etc/rc.d/init.d/iptables save
保存后重启防火墙服务:
service iptables restart
以上步骤将帮助你构建一个安全的、符合业务需求的防火墙配置方案。建议按要求完成上述步骤,并根据实际网络环境进行调整和补充。
转载地址:http://hyzfk.baihongyu.com/