20个Linux防火墙应用技巧

简介:

Netfilter作为Linux内置的主机防火墙,它可以使用iptables命令处理IPv4协议,也可以使用ip6tables命令处理IPv6协议。在iptables之前,Linux 2.2中使用ipchains来配置防火墙,Linux 2.0中则使用ipfwadm,它基于BSD的ipfw命令实现。

以下命令在RHEL 6.x上执行通过,但也适用于其他Linux发行版。

1.显示防火墙的状态

以root权限运行下面的命令:

# iptables -L -n -v

参数说明:

  • -L:列出规则。

  • -v:显示详细信息。此选项会显示接口名称、规则选项和TOS掩码,以及封包和字节计数。

  • -n:以数字形式显示IP地址和端口,不使用DNS解析。

如果希望输出的结果中显示行号,可以运行:

# iptables -L -n -v --line-nmubers

这样,就可以按照行号在防火墙中添加、删除规则。

要显示输入或输出链规则,可以运行:

# iptables -L INPUT -n -v  
# iptables -L OUTPUT -n -v --line-numbers

2.停止、开启和重启防火墙

如果你使用的是RHEL/Fedora/CentOS系统,可以运行:

# service iptables stop  # service iptables start  # service iptables restart

我们也可以使用iptables命令停止防火墙并删除所有规则:

# iptables -F  
# iptables -X  
# iptables -t nat -F  
# iptables -t nat -X  
# iptables -t mangle -F  
# iptables -t mangle -X  
# iptables -P INPUT ACCEPT  
# iptables -P OUTPUT ACCEPT  
# iptables -P FORWARD ACCEPT

参数说明:

  • -F:删除所有的规则

  • -X:删除链

  • -t table_name:匹配表(称为nat或mangle)

  • -P:设置默认策略(如DROP、REJECT或ACCEPT)

3.删除防火墙规则

以带行号的形式显示已有的防火墙规则,请运行:

# iptables -L INPUT -n --line-numbers  
# iptables -L OUTPUT -n --line-numbers  
# iptables -L OUTPUT -n --line-numbers | less  
# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1

下面我们使用行号删除规则:

# iptables -D INPUT 4

将IP地址202.54.1.1从规则中删除:

# iptables -D INPUT -s 202.54.1.1 -j DROP

参数说明:

  • -D:从选择的链中删除一条或多条规则

4.插入防火墙规则

首先运行下面的命令:

# iptables -L INPUT -n --line-numbers

得到运行结果:

Chain INPUT (policy DROP)  num  target    prot opt source     destination  1   DROP      all  --  202.54.1.1  0.0.0.0/0  2   ACCEPT    all  --  0.0.0.0/0    0.0.0.0/0

在行1和行2之间插入规则:

# iptables -I INPUT 2 -s 202.54.1.2 -j DROP

查看更新后的规则,会发现插入成功,下面是示例:

Chain INPUT (policy DROP)  Num  target    prot opt source    destination    1     DROP    all  --  202.54.1.1  0.0.0.0/0  
2     DROP    all  --  202.54.1.2  0.0.0.0/0 
3     ACCEPT  all  --  0.0.0.0/0    0.0.0.0/0

5.保存防火墙规则

在RHEL/Fedora/CentOS Linux下,可以使用下面的命令保存防火墙规则:

# service iptables save

在其它Linux发行版(如Ubuntu)上,可以使用iptables-save命令保存防火墙规则:

# iptables-save > /root/my.active.firewall.rules  

# cat /root/my.active.firewall.rules

6.重新加载防火墙规则

我们可以使用iptables-restore命令重新加载使用iptables-save命令保存的防火墙规则

# iptables-restore < /root/my.active.firewall.rules

我们还可以利用这种特性来快速部署防火墙规则。

7.设置默认防火墙策略

我们首先来配置一个防火墙策略,它默认丢弃所有的网络数据包:

# iptables -P INPUT DROP  
# iptables -P OUTPUT DROP  
# iptables -P FORWARD DROP  
# iptables -L -v -n 
#连接失败,因为防火墙丢弃所有的网络数据包  
# ping cyberciti.biz  
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2

在此基础上,我们只关闭入站连接:

# iptables -P INPUT DROP  
# iptables -P FORWARD DROP  
# iptables -P OUTPUT ACCEPT  
# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT  
# iptables -L -v -n  
#ping和wget可以正常工作  
# ping cyberciti.biz  
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2

8.在公网网络接口上停用私有网络地址

我们可以从公网网络接口上删除私有IPv4网段,以防止IP欺骗。运行下面的命令,没有源路由地址的数据包会被丢弃:

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP  

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

下面是私有网络IPv4地址范围,请确认在公网接口予以屏蔽:

  • 10.0.0.0/8 -j (A)

  • 172.16.0.0/12 (B)

  • 192.168.0.0/16 (C)

  • 224.0.0.0/4 (多播 D)

  • 240.0.0.0/5 (E)

  • 127.0.0.0/8 (回环)

9.屏蔽IP地址访问

如果我们想屏蔽一个IP地址,比如1.2.3.4,可以运行:

# iptables -A INPUT -s 1.2.3.4 -j DROP  # iptables -A INPUT -s 192.168.0.0/24 -j DROP

10.屏蔽入栈端口请求

如果我们想80端口上屏蔽所有的服务请求,可以运行:

# iptables -A INPUT -p tcp --dport 80 -j DROP  

# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

只想屏蔽IP地址1.2.3.4对80端口的请求,可以运行:

# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP  

# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

11.屏蔽出栈IP地址

现在我们来演示如何屏蔽对主机名和IP地址的出栈访问。

首先,我们来获取一个域名的IP地址:

# host -t a cyberciti.biz

输出示例:

cyberciti.biz has address 75.126.153.206

要屏蔽访问域名cyberciti.biz的网络数据包,可以运行:

# iptables -A OUTPUT -d 75.126.153.206 -j DROP

下面是使用子网掩码的示例:

# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP # iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

下面我们以屏蔽facebook.com为例,进行说明。首先,我们需要facebook的所有IP地址:

# host -t a www.facebook.com

示例输出:

www.facebook.com has address 69.171.228.40

找出IP地址69.171.228.40的CIDR:

# whois 69.171.228.40 | grep CIDR

示例输出:

CIDR:69.171.224.0/19

现在我们来阻止对facebook.com的访问:

# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

我们也可以直接屏蔽域名:

# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP  # iptables -A OUTPUT -p tcp -d facebook.com -j DROP

12.记录并丢弃数据包

在公网网络接口上记录并丢弃IP地址欺骗数据包:

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "  

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

默认情况下日志记录在/var/log/messages文件中:

# tail -f /var/log/messages  # grep --color 'IP SPOOF' /var/log/messages

我们还可以用-m参数对日志记录进行限制,以防止日志文件过度膨胀。

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "  
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

13.根据MAC地址允许或阻止数据包的传入

我们可以根据MAC地址允许或阻止数据包的传入:

# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP

14.屏蔽ICMP ping请求

我们可以通过允许下面的命令屏蔽ping请求:

# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

也可以按照特定的网段和主机限制ping请求:

# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

以下命令只接受受限制的ping请求:

#假定默认INPUT策略为丢弃数据包  
# iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT  
# iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT  
# iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT  
#所有的服务器都对ping请求作出应答  
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

15.开启端口序列

下面的命令可以允许7000到7010范围内的TCP端口访问:

# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT

16.允许一系列IP地址访问

下面的命令可以允许IP地址范围

#运行IP地址范围192.168.1.100 到192.168.1.200 访问80端口  

# iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT  

#NAT示例  

# iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25

17.建立连接并重启防火墙

当重启iptables服务时,它会断开所有已建立的连接。这是因为在重启防火墙时,会卸载IPTABLES_MODULES_UNLOAD模块。

要解决这个问题,可以编辑/etc/sysconfig/iptables-config

IPTABLES_MODULES_UNLOAD = no

18.使用Crit日志级别

# iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit

19.屏蔽或开启常见端口

屏蔽或开启常用的TCP、UDP端口:

#可以使用DROP替换ACCEPT,实现端口屏蔽。  
#打开22端口(SSH)  # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT  # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT  
#打开TCP/UDP631端口(打印服务)  
# iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT  
# iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT  
# 打开123端口,允许局域网用户进行NTP时间同步  
# iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT  
#打开25端口(SMTP)  
# iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT 
# 打开DNS端口 # iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT # iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT  
#打开http/https端口  # iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT 
# iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT  
#打开TCP110端口(POP3)  
# iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT  
#打开TCP143端口  
# iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT  
#为局域网用户开启Samba访问  
# iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT  
#为局域网用户开启代理服务器访问  
# iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT  
#为局域网用户开启MySQL访问  
# iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

20.限制客户端IP的并发连接数

我们可以使用connlimit模块限制客户端IP的并发连接数。下面的命令允许每个客户端只能并发3个ssh连接:

# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

设置HTTP并发连接为20个:

# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

参数说明:

  • --connlimit-above 3:连接数超过3个自动匹配

  • --connlimit-mask 24:子网掩码匹配

更好的使用iptables

首先,我们要学会查看man手册:

$ man iptables

 我们还可以这样查看帮助:

# iptables -h

我们还可以查看特定命令的帮助:

# iptables -j DROP -h

测试防火墙

测试端口是否开放:

# netstat -tulpn

测试TCP 80端口是否开放:

# netstat -tulpn | grep :80

如果80端口未开放,请确保启动Apache服务器:

# service httpd start

并确保打开iptables防火墙80端口:

# iptables -L INPUT -v -n | grep 80

如果80端口没有开放,可以运行下面的命令:

# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT 
  # service iptables save

下面使用telnet命令测试是否可以连接到80端口:

$ telnet www.cyberciti.biz 80

下面是示例输出:

Trying 75.126.153.206...  Connected to www.cyberciti.biz.  Escape character is '^]'.  ^]  telnet> quit  Connection closed.

最后,我们也推荐使用嗅探工具(如tcpdump、ngrep)对防火墙设置进行测试。

以上只是一些基本的防火墙配置策略,如果你想构造更复杂的防火墙策略,需要对TCP/IP和Linux内核配置文件sysctl.conf进行更深入的学习。(张志平/编译)











本文转自 chengxuyonghu 51CTO博客,原文链接:http://blog.51cto.com/6226001001/1575983,如需转载请自行联系原作者
目录
相关文章
|
2天前
|
消息中间件 运维 监控
Linux命令lsipc:深入解析与实战应用
`lsipc` (通常指 `ipcs`) 是Linux命令,用于查看系统中的IPC资源,包括消息队列、信号量和共享内存。它显示详细信息,支持过滤,并且需要相应权限。示例用法:显示共享内存(`-m`)、查询消息队列(`-q -i ID`)、查看关联进程(`-m -p`)。注意权限、操作影响及定期监控。结合`ipcrm`等工具可进行更深入管理。
|
2天前
|
数据挖掘 Linux 数据处理
探索Linux下的Lua命令:轻量级脚本语言在数据处理和分析中的应用
**探索Linux上的Lua:轻量级脚本语言用于数据处理。Lua通过命令行解释器执行,适用于游戏开发、数据分析及自动化。特点包括小巧、高效、可扩展和动态类型。使用`lua`或`luajit`,配合-e、-l、-i参数执行脚本或互动模式。示例:执行`hello.lua`脚本打印&quot;Hello, Lua!&quot;。最佳实践涉及版本兼容、性能优化、使用C API、测试和文档编写。**
|
3天前
|
存储 Linux 数据处理
Linux中的link命令:深入解析与实际应用
**Linux的`ln`命令详解:创建硬链接和软链接。硬链接共享相同inode,不占额外空间;软链接(符号链接)如快捷方式,可跨文件系统。使用`-s`创建软链接,`-f`强制覆盖。注意选择合适链接类型,避免循环链接,确保目标存在。**
|
3天前
|
Unix Linux 异构计算
用于实时 Linux® 的 TwinCAT Runtime,基于 Linux® 的实时控制器开辟了新的应用可能性
**TwinCAT Runtime for Linux®** 打开了倍福实时控制的新领域,支持在同一PC上运行多个独立实例,促进硬件整合和效率提升。基于Debian的定制Linux发行版,内置实时内核,允许GPU驱动的高速应用如机器视觉。利用Docker等容器技术,实现模块化控制和资源优化,降低工程成本。此发行版将逐步扩展到更多倍福设备,为Linux用户提供熟悉的TwinCAT编程环境和增强的灵活性。
|
5天前
|
Ubuntu Linux C语言
【opencv】opencv在windows和linux的应用
【opencv】opencv在windows和linux的应用
|
5天前
|
Linux 数据处理
Linux命令中的tic:深入了解与高效应用
`tic`是Linux中用于处理 Tektronix 4015 终端文本解释的命令,源于troff文本格式化系统。尽管现代系统不再常见该终端,`tic`仍用于特定数据处理,尤其是与troff配合,将troff输出转换为特定格式。使用时注意兼容性、输入格式和参数调整,如`-a`设定宽高比。通过`man tic`可获取更多详情。示例:`troff document.tr | tic`。了解这些能更好地处理特定文本格式任务。
|
6天前
|
Java Linux Spring
在 Linux 系统中将 Spring Boot 应用作为系统服务运行
【6月更文挑战第11天】最近由于一些原因,服务器经常会重启,每次重启后需要手动启动 Spring Boot 的工程,因此我需要将其配置成开启自启动的服务。
26 1
|
3天前
|
应用服务中间件 Linux 网络安全
PHP应用部署在App Service for Linux环境中,上传文件大于1MB时,遇见了413 Request Entity Too Large 错误的解决方法
在Azure App Service for Linux上部署的PHP应用遇到上传文件超过1MB时出现413 Request Entity Too Large错误的解决之法
|
3天前
|
Linux 数据处理
Linux中的localectl命令:深入了解与应用
`localectl`是Linux中用于管理区域设置的`systemd`工具,涉及日期、时间、货币格式等。它通过修改配置文件调整系统本地化,并确保数据处理工具的正确运行。主要功能包括列出所有区域设置(`list-locales`)、设置主区域(如`set-locale LANG=en_US.UTF-8`)和查看当前状态。使用时注意理解区域设置差异,备份配置,测试设置效果,并保持系统一致性。查阅文档以获取更多操作详情。
|
3天前
|
Linux 数据处理
Linux中的setarch命令:深入探索与实际应用
`setarch`是Linux中用于调整程序执行环境的命令,允许在不同CPU架构或功能标志之间切换,支持跨架构运行二进制文件和测试程序兼容性。它通过设置`PERSONALITY`标志改变指令集解释方式。关键参数包括指定架构(-a)和设置CPU功能标志(-R)。在实际应用中,如需在32位模式下运行64位程序,可以使用`setarch i386 &lt;command&gt;`。使用时注意程序需求、测试验证,避免滥用,并在必要时备份。查阅文档以获取详细信息。