iptables防火墙(iptables防火墙规则)

本文目录：

• 1、CentOS 7.2 里iptables防火墙怎么关闭
• 2、linux中iptables防火墙怎么设置
• 3、如何配置Ubuntu 14.04中的IPTables防火墙
• 4、在linux 下如何设置iptables 防火墙
• 5、什么是iptables
• 6、启用iptables防火墙规则,修改哪个文件？

CentOS 7.2 里iptables防火墙怎么关闭

centos从7开始默认用的是firewalld，这个是基于iptables的，虽然有iptables的核心，但是iptables的服务是没安装的。所以你只要停止firewalld服务即可：

sudo systemctl stop firewalld.service  sudo systemctl disable firewalld.service

如果你要改用iptables的话，需要安装iptables服务：

sudo yum install iptables-services

sudo systemctl enable iptables  sudo systemctl enable iptables

sudo systemctl start iptables  sudo systemctl start iptables

这里是详细指令解析。改为iptables防火墙步骤。

1、关闭firewall：

systemctl stop firewalld.service

#停止firewall

systemctl disable firewalld.service

#禁止firewall开机启动

firewall-cmd --state

#查看默认防火墙状态（关闭后显示notrunning，开启后显示running）

2、iptables防火墙（这里iptables已经安装，下面进行配置）

vi/etc/sysconfig/iptables

#编辑防火墙配置文件

# sampleconfiguration for iptables service# you can edit thismanually or use system-config-firewall# please do not askus to add additional ports/services to this default configuration*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT[0:0]:OUTPUT ACCEPT[0:0]-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT-A INPUT -p icmp -jACCEPT-A INPUT -i lo -jACCEPT-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -jACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080-j ACCEPT-A INPUT -j REJECT--reject-with icmp-host-prohibited-A FORWARD -jREJECT --reject-with icmp-host-prohibitedCOMMIT:wq!

#保存退出

备注：这里使用80和8080端口为例。***部分一般添加到“-A INPUT -p tcp -m state --state NEW -m tcp--dport 22 -j ACCEPT”行的上面或者下面，切记不要添加到最后一行，否则防火墙重启后不生效。

systemctlrestart iptables.service

#最后重启防火墙使配置生效

systemctlenable iptables.service  #设置防火墙开机启动

linux中iptables防火墙怎么设置

首先你要知道你的linux系统的版本是属于哪个分发版的。当然如果你对自己的linux系统版本不知道的话也没关系。linux系统它的防火墙名为“iptables”如果你打开linux的话是黑色的话，那么你是处在终端阶段，这样如果需要打开你的防火墙的话，输入“chkconfig iptables on”，当然关闭防火墙的话只要将指令的“on”改成“off”，在执行命令即可。当然是需要重启计算机才能正式生效。 当然并不是只有一定命令启动和关闭linux系统防火墙。如果你不想让计算机重启在生效的话可以用“service”命令。当我们需要开启防火墙的话输入“service iptables start”，如需要关闭防火墙的话那就是将start替换成stop即可。当然执行service命令的话如果电脑被重启，之后对防火墙的设置还是恢复到初始状态。所有对linux系统防火墙设置的信息参数全部会丢失。 以上只是介绍了关于linux防火墙的开启及关闭。如果要在防火墙上面设置某些端口的开关命令的话，可以通过找到修改编辑/etc/sysconfig/iptables文件。说到修改防火墙的参数的话所涉及到的知识点就很多了，小编就不在做具体介绍了。

如何配置Ubuntu 14.04中的IPTables防火墙

在Ubuntu 14.04中配置IPTables的规则。

IPTables基本命令

在向大家介绍复杂防火墙规则之前，还是先上一些简单的料，让大家对IPTables最为基本的命令有一些简单了解。

首先要说明的是IPTables命令必需以root权限运行，这意味着需要使用root身份登录或者能够有权限使用su或sudo -i取得root Shell。下面的内容中都使用sudo，这也是Ubuntu系统上的首选方法。

最好的起点就是先通过“-L”参数来查看下当前系统的所有IPTables规则：

sudo iptables -L

可以看到Linux中都有的3个常用默认链(INPUT、OUTPUT和FORWARD)，同时也可以看到每个链的缺省策略（每个链对默认策略都是接受），在此可以看到Ubuntu中并没有添加任何默认规则集。

如果希望通过命令来查看每个链的默认规则，可以使用“-S”参数：

sudo iptables -S

如果看到IPTables里面已经有规则了，并希望取消这些规则后重新更配置话，可以使用“-F”参数来清空已有的规则集：

sudo iptables -F

虽然“-F”参数可以清空并刷新链中所有的现有规则集，但并不会对链的默认策略进行更改。因此，如果是在更改远程VPS防火墙策略的话需要在“-F”清空所有规则时先将INPUT和OUTPUT链的默认策略恢复到ACCEPT，以免规则清空后SSH连接被阻断。要做到这一点可执行如下命令：

sudo iptables -P INPUT ACCEPT

sudo iptables -P OUTPUT ACCEPT

sudo iptables -F

在配置好允许SSH连接后（下面介绍），再将INPUT和OUTPUT链的默认规则更改为DROP即可。

创建自已的IPTables规则

现在就要开始为的VPS创建自定义的防火墙规则啦，正如上篇文章中所说，由于INPUT链会处理所有连接到服务器的入站数据包，因此的所有操作都与INPUT链有关。现在先来配置服务器允许SSH连接。

完整命令应该是这样的：

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

说明：

-A INPUT ：表明要将此规则追加到某个链的最后，由于要操作INPUT链接，所以这么写。

-m conntrack ：iptables除了自己的核心功能外还只有一些实用的扩展和模块，这个参数表明添加conntrack模块提供的能力。（conntrack模块可以根据先前的连接来确定数据包之间的关系）

–ctstate ：该参数是conntrack模块提供的，它可以确定如何用现在的数据包去匹配先前获得的数据包。ESTABLISHED值将自动允许现有连接的数据包，RELATED值将允许已建立连接的相关数据包。（这样就与SSH会话特性相匹配上了）

-j ACCEPT ：这个参数用于指定匹配的数据包的目标。用在这里表示接受和允许符合上述标准的数据包通过。

配置好后来看一下：

sudo iptables -L

现在，应该已经知道IPTables的基本语法了，下面继续添加规则打怪，以期尽快升级为高手。

接受其它必要连接

大家的VPS上一般SSH服务的22端口，Web服务器的80端口及Mysql的3306端口都是需要打开的，不然怎么对外提供服务呢。因此也需要通过如下命令在IPTables中打开这些端口：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

为了保证的VPS能够正常运行，还需要添加一条允许规则。通常，计算机上的服务都会发送网络数据包以保持彼此之间的通信。而这种通信会利用到一个名叫loopback的伪网卡将流量引导回自己。因此，还需要为loopback网卡添加一条允许规则。

sudo iptables -I INPUT 1 -i lo -j ACCEPT

-I INPUT 1 ：与“-A”不同，它可以指定要将规则添加到该链的位置。

实施Drop规则

前面讲的内容其实都是基于一个前提假设的，但事先需要先把防火墙的2种常用模式说明一下。一种是明确定义允许通过防火墙的规则，不匹配的都丢弃。另外一种是明确定义拒绝通过防火墙的规则，其余的都允许。的前提假设采用的就是第一种方式，这样配置起来相对简单，规则也较少，也更加安全。

前面已经为INPUT链接定义了一些允许规则，但默认INPUT链是允许所有包，所以现在需要将INPUT链的默认规则更改为“Drop”即丢弃。通过如下命令完成更改：

sudo iptables -P INPUT DROP

查看和保存配置

IPTables的配置是立即生效的，前面已经介绍过，在配置好之后可以直接用“-L”参数进行查看，这里再另外增加一个“–line-numbers”参数，它主要用于显示行数，对于规则较多时的查看非常方便。

sudo iptables -L --line-numbers

虽然IPTables的命令执行后会立即生效，但这个生效过程其实是临时的，系统在重启之后便会丢失。因此，还需要将这些配置添加到配置文件当中，以保证系统在下次重启后会自动载入的IPTables防火墙规则。

sudo apt-get update

sudo apt-get install iptables-persistent

该命令脚本下载执行后会询问是否对IPTables配置进行保存，如果确定的话选择“是”即可。保存后下次重启系统也不会造成配置丢失了。

在linux 下如何设置iptables 防火墙

Iptable -A Input -p Tcp -d 自己的IP地址 b --dPort 端口 -J Reject

RedHat机器

cat /etc/sysconfig/iptables

*filter

:INPUT ACCEPT [10276:1578052]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [13784:16761487]

-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP

-A INPUT -s 172.16.0.0/255.240.0.0 -j DROP

-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 is interface to internet

# anti Sync Flood

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT

# anti some port scan

-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

# anti ping of death

-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT

COMMIT

chkconfig iptables on

以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)

自动启动

或者是/etc/rc.d/init.d/iptables start手工启动

/etc/rc.d/init.d/iptables stop手工停止

在LINUX下架设防火墙

linuxbird

随着Internet的普及，人们的日常工作与之的关系也越来紧密，因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后，企业的内部资源就象待卖的羔羊一样，面临任人宰割的危险，因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外，更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。

一、什么是防火墙

防火墙(firewall)是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问，逼使各连接点的通过能得到检查和评估。

从诞生到现在，防火墙已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙，象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件也很多，除了下面要专门介绍的IPCHAINS外，还有很多，如：Sinus Firewall、Jfwadmin等。

目前的防火墙从结构上讲，可分为两种：

1） 代理主机结构

内部网络-----代理网关(Proxy Gateway)-----Internet

2） 路由器加过滤器结构

内部网络-----过滤器(Filter)----路由器(Router)----Internet

二、用IPCHAINS构建局域网防火墙的原理

其实从本质上讲，用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。之后，该后台程序就不断地监听（listen)该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。与此同时，再产生一个该绑定的拷贝，继续监听客户端的请求。

IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求，或从外部通往内部网的请求，都进行监听、检查、评估、转发、拒绝等动作。

常用的服务、协议与默认端口。

服务类型 协议 端口

WWW TCP/UDP 80

TELNET

ICMP

SMTP

POP3

FTP

DNS

三、用IPCHAINS作防火墙的步骤

1.安装

IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上，如果没有的话可以到下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持，所以确定已安装了IP-MASQ模块。

在TLC4.0中，把该光盘放入光驱中，

#turbopkg

并选择ipchains，然后按OK就自动自动安装了。

如果你是下载ipchains安装包的话：

1）如果是rpm包：

#rpm –ivh *.rpm

2)如果是.tar.gz包

#tar xvfz *.tar.gz(先把包解开)

再到解开目录

#./configure

#make

#make install

这样就安装成功了。

2.启用ipchains

手工修改 /proc/sys/net/ipv4/ipforward文件，将其内容置为1。

在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件

在/etc/rc.d/目录下的rc.local文件中加上下面这段代码：

if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;

以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。

3.配置ipchains（基本应用）

ipchains对机器的管理是通过对机器的ip地址作为标志的，因而首先得确保你的局域网的机器的ip地址已经配分配好，并且你对之相当熟悉。

Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的，其中input是指对内连接请求的过滤规则，output是指对外连接请求的过滤规则，ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是：

ipchains [ADC] ipchains规则 [ipchains 选项]。

有关命令的详细用法请参考有关HOWTO文档。

现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为：192.168.1.1，假设目前防火墙是进行代理上网，拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为：

+--------------+

| 内部网段 | 192.168.1.1 ISDN、PSDN

| +------------|firewall|===============Internet

| 192.168.1.0 | +--------+

+-------------- +

配置ipchains防火墙规则一般有两种方式：

1） 首先允许所有的包，然后在禁止有危险的包通过防火墙；

2） 首先禁止所有的包，然后再根据所需要的服务允许特定的包通过防火墙。

相比较而言，第二种方式的做法更为安全。

下面是我的rc.ipfwadm的文件内容：

/sbin/depmod –a

/*自动加载所需模块，如果觉得这样有危险，需手动指定安装模块，可以如下面这一小段就是手动指定加载模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_ftp

/*加载ip伪装的ftp模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_irc

/*加载ip伪装的irc模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_raudio

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_user

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_autofw

/sbin/modprobe -a -t /lib/modules/2.2.10/ipv4/ip_masq*

/*自动加载ip伪装的相关模块*/

ipchains –F

/*刷新所有的ipchains规则*/

ipchains -P forward DENY

/*拒绝转发所有的ip包*/

/*下面允许特定的包通过*/

/*开设权限比较高的主机*/

ipchains -A forward -s 192.168.1.10/32 -j MASQ

/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/

ipchains -A forward -s 192.168.1.12/32 -j MASQ

/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员，在依次添加*/

ipchains -A forward -s 192.168.1.41/32 -j MASQ

/*for example linuxbird的主机地址：192.168.1.41*/

/*某些机器，因需要不能对外连接*/

ipchains -A forward -s 192.168.1.3/32 -j DENY

/*此机器为内部文档专用机，不能访问外部*/

/*设置内部普通用户能访问的站点*/

ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS

ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS

/*这是上网的DNS服务器，本人用的是福州电信局的DNS*/

/*以下是普通用户能访问的站点，根据需要可以对其增删改*/

ipchains -A forward -d 202.101.98.50/32 -j MASQ

/* public.fz.fj.cn*/

ipchains -A forward -d 202.101.98.60/32 -j MASQ

/* pub5.fz.fj.cn*/

ipchains -A forward -d 202.96.44.14/24 -j MASQ

/*freemail.263.net*/

ipchains -A forward -d 202.99.11.120/32 -j MASQ

/**/

ipchains -A forward -d 205.227.44.44/24 -j MASQ

/* */

ipchains -A forward -d 205.227.44.46/32 -j MASQ

/* lliance.oracle.com*/

#ipchains -A forward -d 205.227.44.237/32 -j MASQ

/* support.oracle.com*/

ipchains -A forward -d 209.246.5.38/24 -j MASQ

/* technet.oracle.com*/

ipchains -A forward -d 137.69.200.8/32 -j MASQ

/* */

ipchains -A forward -d 202.96.125.102/32 -j MASQ

/**/

ipchains -A forward -d 207.105.83.51/32 -j MASQ

/* */

ipchains -A forward -d 207.46.131.30/24 -j MASQ

/* */

ipchains -A forward -d 207.46.130.30/24 -j MASQ

/* */

ipchains -A forward -d 204.146.81.99/32 -j MASQ

/* */

ipchains -A forward -d 202.102.24.74/24 -j MASQ

/* */

ipchains -A forward -d 210.77.34.109/32 -j MASQ

/* */

ipchains -A forward -d 192.138.151.66/32 -j MASQ

/* */

ipchains -A forward -d 202.102.26.1/32 -j MASQ

/* */

ipchains -A forward -d 202.102.26.51/32 -j MASQ

/**/

ipchains -A forward -d 202.106.185.2/32 -j MASQ

/* */

……

什么是iptables

iptables－－静态防火墙

iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络——哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log）。

启用iptables防火墙规则,修改哪个文件？

iptables的规则是保存在/etc/sysconfig/iptables中的，你可以使用\x0d\x0aiptables-save 文件名来自定义规则的保存位置，使用iptables-restore\x0d\x0a

回答于 2022-12-20

向TA提问

官方服务

官方网站

官方网站

【iptables防火墙】的内容来源于互联网，如引用不当，请联系我们修改。