iptables 防火墙是 Linux 系统中最常见的防火墙软件,它可以保护你的服务器免受各种网络攻击。本文将向你介绍如何在 Ubuntu 系统上安装和配置 iptables 防火墙。
### 安装 iptables
在 Ubuntu 系统中,可以使用 apt-get 命令来安装 iptables:
```
sudo apt-get install iptables
```
安装完成后,你可以使用以下命令来检查是否正确安装:
```
sudo iptables --version
```
如果显示了当前版本,则说明成功安装了 iptables。
### iptables 基础知识
在使用 iptables 前,有几个基础概念需要了解:
1. 表(Table): iptables 使用的数据结构,包含了不同类型的 Chain 。
2. Chain(链): 存储规则的列表,分为 INPUT、FORWARD 和 OUTPUT 三种类型,规则会按照顺序进行应用。
3. Rule(规则): 定义了网络包的过滤方式,每个规则都包括匹配条件和动作。
iptables 在启动时会使用默认设置,这些设置允许所有的流量通过服务器。因此,在配置 iptables 前,需要将 iptables 的默认设置更改为 DROP,这样所有流量都会被阻止。接下来,我们将介绍如何配置 iptables 以允许指定的流量通过服务器。
### 配置 iptables
在开始之前,请确保你使用的账户拥有管理员权限。
#### 步骤 1:备份当前 iptables 设置
在修改 iptables 设置前,需要先备份当前的设置,这样可以在出现问题时恢复之前的设置。
```
sudo iptables-save > ~/iptables-backup
```
备份的文件会保存在用户的家目录下,文件名为 iptables-backup 。
#### 步骤 2:设置默认规则
我们需要将 iptables 的默认规则更改为 DROP,这样所有流量都会被拒绝。
```
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
```
#### 步骤 3:允许回环接口(Loopback Interface)
回环接口是指服务器内部访问自身的接口,需要允许 loopback 访问。
```
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
```
#### 步骤 4:允许已建立的连接
需要允许已建立的连接通过,这样可以确保网络连接的稳定性。
```
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
```
#### 步骤 5:允许常见的服务
根据你需要使用的服务,允许常见的端口通过。
例如,允许 SSH 通过:
```
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
```
其他常见的服务端口:
- HTTP:80
- HTTPS:443
- FTP:21
- SMTP:25
- DNS:53
#### 步骤 6:拒绝其余的流量
最后,需要添加一个规则以拒绝未匹配到的流量。
```
sudo iptables -A INPUT -j DROP
sudo iptables -A OUTPUT -j DROP
```
现在,你已经成功地配置了 iptables,可以使用以下命令来查看当前规则:
```
sudo iptables -L -v
```
使用上述规则后,应该只允许通过你指定的端口和服务进行访问。
评论前必须登录!
注册