Linux 防火墙 iptables 初学者教程

本文涉及的产品
云防火墙,500元 1000GB
简介: iptables 是专为 Linux 操作系统打造的极其灵活的防火墙工具。对 Linux 极客玩家和系统管理员来说,iptables 非常有用。本文将向你展示如何配置最通用的 Linux 防火墙。

image.png

iptables 是专为 Linux 操作系统打造的极其灵活的防火墙工具。对 Linux 极客玩家和系统管理员来说,iptables 非常有用。本文将向你展示如何配置最通用的 Linux 防火墙。

关于 iptables

iptables 是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables 会查找其对应的匹配规则。如果找不到,iptables 将对其采取默认操作。

几乎所有的Linux发行版都预装了 iptables。在 Ubuntu/Debian 中更新/安装 iptables 的命令为:

sudo apt-get install iptables

现有的一些图形界面软件也可以替代 iptables,如 Firestarter。但 iptables 用起来并不难。配置 iptables 的规则时要特别小心,特别是在你远程登陆服务器的时候。因为这时的一个错误有可能让你和服务器永久失去连接,而你必须要到服务器面前才能解决它。


iptables规则链的类型

iptables 的规则链分为三种:输入、转发和输出。

  • 输入——这条链用来过滤目的地址是本机的连接。例如,如果一个用户试图使用 SSH 登陆到你的 PC/服务器,iptables 会首先匹配其 IP 地址和端口到 iptables 的输入链规则。
  • 转发——这条链用来过滤目的地址和源地址都不是本机的连接。例如,路由器收到的绝大数数据均需要转发给其它主机。如果你的系统没有开启类似于路由器的功能,如 NATing,你就不需要使用这条链。
    有一个安全且可靠的方法可以检测你的系统是否需要转发链:

iptables -L -v

image.png

  • 上图是对一台已经运行了几个星期的服务器的截图。这台服务器没有对输入和输出做任何限制。从中可以看到,输入链和输出链已经分别处理了 11 GB 和 17 GB 的数据,而转发链则没有处理任何数据。这是因为此服务器没有开启类似于路由器的转发功能。
  • 输出——这条链用来过滤源地址是本机的连接。例如,当你尝试 ping howtogeek.com 时,iptables 会检查输出链中与 ping 和 howtogeek.com 相关的规则,然后决定允许还是拒绝你的连接请求。

注意:当 ping 一台外部主机时,看上去好像只是输出链在起作用。但是请记住,外部主机返回的数据要经过输入链的过滤。当配置 iptables 规则时,请牢记许多协议都需要双向通信,所以你需要同时配置输入链和输出链。人们在配置 SSH 的时候通常会忘记在输入链和输出链都配置它。


链的默认行为

在配置特定的规则之前,也许你想配置这些链的默认行为。换句话说,当 iptables 无法匹配现存的规则时,你想让它作出何种行为。

你可以运行如下的命令来显示当前 iptables 对无法匹配的连接的默认动作:

iptables -L

image.png

正如上面所显示的,我们可以使用 grep 来使输出的结果变得更加简洁。在上面的截图中,所有的链默认情况下均接受所有的连接。

通常情况下,你会希望你的系统默认情况下接收所有的网络数据。这种设定也是 iptables 的默认配置。接收网络连接的配置命令是:

iptables --policyINPUT ACCEPT

iptables --policy OUTPUT ACCEPT

iptables --policy FORWARD ACCEPT

你也可以在使用默认配置的情况下,添加一些命令来过滤特定的 IP 地址或端口号。我们稍后在本文介绍这些命令。

如果你想默认情况下拒绝所有的网络连接,然后在其基础上添加允许的 IP 地址或端口号,你可以将默认配置中的 ACCEPT 变成 DROP,如下图所示。这对于一些含有敏感数据的服务器来说是极其有用的。通常这些服务器只允许特定的 IP 地址访问它们。

iptables --policy INPUTDROP

iptables --policy OUTPUTDROP

iptables --policy FORWARD DROP


对特定连接的配置

下面来看看如何对特定的 IP 地址或端口作出设定。本文主要介绍三种最基本和常见的设定。

  • Accept – 接收所有的数据。
  • Drop – 丢弃数据。应用场景:当你不想让数据的来源地址意识到你的系统的存在(最好的处理方法)。
  • Reject – 不允许建立连接,但是返回一个错误回应。应用场景:当你不想让某个 IP 地址访问你的系统,但又想让它们知道你的防火墙阻止了其访问。

为了直观的区分上述三种情况,我们使用一台 PC 来 ping 一台配置了 iptables 的 Linux 电脑:

允许访问:

image.png

丢弃访问:

image.png

拒绝访问:

image.png


允许或阻止特定的连接

在配置完基本的规则链之后,你就可以配置 iptables 来允许或者阻止特定的 IP 地址或者端口。

注意:在这些例子中,我们使用 iptables -A 将额外的规则添加到现存的链中。Iptables 在执行匹配的时候,会从列表的顶端开始搜索。你可以使用 iptables -I [chain] [number] 将新的规则插入到列表的指定位置。


来自同一 IP 地址的连接

下面这个例子展示了如何阻止来自 IP 地址为 10.10.10.10 的所有连接。

iptables -AINPUT -s 10.10.10.10 -j DROP

来自一组 IP 地址的连接

下面这个例子展示了如何阻止来自子网 10.10.10.0/24 内的任意 IP 地址的连接。你可以使用子网掩码或者标准的/符号来标示一个子网:

iptables -A INPUT -s 10.10.10.0/24 -j DROP

iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP

特定端口的连接

这个例子展示了如何阻止来自 10.10.10.10 的 SSH 连接

iptables -AINPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP

你可以将“ssh”替换成其它任何协议或者端口号。上述命令中的 -p tcp 告诉 iptables 连接使用的是何种协议。

下面这个例子展示了如何阻止来自任意 IP 地址的 SSH 连接

iptables -AINPUT -p tcp --dport ssh -j DROP

连接状态

我们之前提到过,许多协议均需要双向通信。例如,如果你打算允许 SSH 连接,你必须同时配置输入和输出链。但是,如果你只想允许来自外部的 SSH 请求,那该怎么做?

下面这个例子展示了如何允许源 IP 地址为 10.10.10.10 同时阻止目的地址为 10.10.10.10 的 SSH 连接:

iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ACCEPT

保存更改

上述方法对 iptables 规则作出的改变是临时的。如果你想永久保存这些更改,你需要运行额外的命令(不同 Linux 发行版下的保存命令也不相同):


Ubuntu

sudo /sbin/iptables-save

Red Hat / CentOS

/sbin/service iptables save

或者

/etc/init.d/iptables save

其它命令

列出 iptables 的当前配置:

iptables -L

使用 -v 选项将显示数据包和字节信息;使用 -n 选项将以数字形式列出信息,即不将 IP 地址解析为域名。

换句话讲,主机名,协议和网络都以数字的形式列出。

清除当前所有的配置规则:

iptables -F

相关文章
|
2月前
|
Linux 网络安全 Python
linux centos上安装python3.11.x详细完整教程
这篇文章提供了在CentOS系统上安装Python 3.11.x版本的详细步骤,包括下载、解压、安装依赖、编译配置、解决常见错误以及版本验证。
834 1
linux centos上安装python3.11.x详细完整教程
|
7天前
|
Linux Python
Linux 中某个目录中的文件数如何查看?这篇教程分分钟教会你!
在 Linux 系统中,了解目录下的文件数量是常见的需求。本文介绍了多种方法,包括使用 `ls` 和 `wc` 命令组合、`find` 命令、`tree` 命令以及编程方式(如 Python)。无论你是新手还是有经验的用户,都能找到适合自己的方法。掌握这些技巧将提高你在 Linux 系统中的操作效率。
18 4
|
1月前
|
Linux Docker 容器
Centos安装docker(linux安装docker)——超详细小白可操作手把手教程,包好用!!!
本篇博客重在讲解Centos安装docker,经博主多次在不同服务器上测试,极其的稳定,尤其是阿里的服务器,一路复制命令畅通无阻。
541 4
Centos安装docker(linux安装docker)——超详细小白可操作手把手教程,包好用!!!
|
1月前
|
存储 数据可视化 Java
震惊!如何在linux下部署项目,部署/运行jar包 超详细保姆级教程!
如何在Linux系统下部署和运行Java项目jar包,包括传输文件到Linux、使用nohup命令运行jar包、查看端口状态、杀死进程和查看项目运行状态,以及如何解决“没有主清单属性”的错误。
414 1
震惊!如何在linux下部署项目,部署/运行jar包 超详细保姆级教程!
|
23天前
|
关系型数据库 MySQL Linux
基于阿里云服务器Linux系统安装Docker完整图文教程(附部署开源项目)
基于阿里云服务器Linux系统安装Docker完整图文教程(附部署开源项目)
191 2
|
3天前
|
存储 运维 Linux
Linux防火墙firewall的使用
CentOS 7 中的 firewalld 是基于 Netfilter 的防火墙服务,支持动态配置,无需重启服务即可生效。它通过区域管理网络流量,每个区域可以设置不同的防火墙规则。默认区域为 public,可以通过命令行工具 firewall-cmd 进行管理和配置。firewalld 提供了丰富的预定义服务和区域,方便用户根据需求进行灵活配置。
8 0
|
1月前
|
运维 网络协议 安全
Linux安全运维--一篇文章全部搞懂iptables
Linux安全运维--一篇文章全部搞懂iptables
41 1
|
1月前
|
Linux C语言 C++
vsCode远程执行c和c++代码并操控linux服务器完整教程
这篇文章提供了一个完整的教程,介绍如何在Visual Studio Code中配置和使用插件来远程执行C和C++代码,并操控Linux服务器,包括安装VSCode、安装插件、配置插件、配置编译工具、升级glibc和编写代码进行调试的步骤。
195 0
vsCode远程执行c和c++代码并操控linux服务器完整教程
|
2月前
|
存储 Linux 5G
Linux 基于 LVM 逻辑卷的磁盘管理【简明教程】
这篇文章介绍了LVM(逻辑卷管理)如何提供灵活的磁盘管理方式,允许动态调整逻辑卷的大小而不会丢失数据。
Linux 基于 LVM 逻辑卷的磁盘管理【简明教程】
|
1月前
|
Linux 开发工具 Docker
各个类linux服务器安装docker教程
各个类linux服务器安装docker教程
55 0