《Linux操作系统的防火墙配置方法.docx》由会员分享,可在线阅读,更多相关《Linux操作系统的防火墙配置方法.docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Linux操作系统的防火墙配置方法Linux操作系统的防火墙配置方法Linux操作系统下配置防火墙的方法命令是什么呢?下面由学习啦我为大家整理了Linux操作系统的防火墙配置方法的相关知识,希望对大家有帮助!Linux操作系统的防火墙配置方法filter/iptables介绍通过使用iptables命令建立过滤规则,并将这些规则添加到内核空间过滤表内的链中。添加、删除和修改规则的命令语法如下:#iptables-ttablecommandmatchtarget(1)table-ttable有3种可用的表选项:filter、nat和mangle。该选项不是必需的,如未指定,则filter表作为默
2、认表。filter表用于一般的数据包过滤,包含INPUT、OUTPUT和FORWARD链。nat表用于要转发的数据包,包含PREROUTING链、OUTPUT链和POSTROUTING链。mangle表用于数据包及其头部的更改,包含PREROUTING和OUTPUT链。(2)commandcommand是iptables命令中最重要的部分,它告诉iptables命令要进行的操作,如插入规则、删除规则、将规则添加到链尾等。常用的一些命令如表5-15所示。示例:#iptables-AINPUT-s192.168.0.10-jACCEPT该命令将一条规则附加到INPUT链的末尾,确定来自源地址192
3、.168.0.10的数据包能够ACCEPT。#iptables-DINPUT-dport80-jDROP该命令从INPUT链删除规则。#iptables-PINPUTDROP该命令将INPUT链的默认目的指定为DROP。这将丢弃所有与INPUT链中任何规则都不匹配的数据包。3)matchmatch部分指定数据包与规则匹配所应具有的特征,比方源IP地址、目的IP地址、协议等。常用的规则匹配器如表5-16所示。linxu防火墙文档示例:#iptables-AINPUT-pTCP#iptables-AINPUT-p!ICMP#iptables-AOUTPUT-s192.168.0.10#iptabl
4、es-AOUTPUT-s!210.43.1.100#iptables-AINPUT-d192.168.1.1#iptables-AOUTPUT-d!210.43.1.100(4)target目的是由规则指定的操作,常用的一些目的和功能讲明如表5-17所示。(5)保存规则#iptables-saveiptables-script#iptables-restoreiptables-script2.Linux防火墙的配置创立iptables_example.sh文件,内容如下所示,执行如下两条命令:#serviceiptablesstart/启动iptables#shiptables_example
5、.sh/配置防火墙的过滤规则下面是对iptables_example.sh文件的讲明。第3行:开启内核对数据包的转发功能。第6行:开启内核对DOS(syn-flood)攻击的防备功能。第8、9行:eth0(ppp0)外网接口,假如通过宽带带动局域网上网,则用ppp0。第10行:eth1内网接口。第1624行:加载模块。第2630行:清空filter、nat、mangle表中的规则。第3237行:对filter和nat表设置默认过滤规则。第4447行:允许dns连接。第5765行:根据指定端口和IP地址来过滤掉数据包。第67行:通过字符串匹配来阻止内网用户访问一些网站(fund指包含该单词的网页
6、受阻)。第6973行:根据能否是通过宽带(ppp0)带动局域网上网来选择相应的规则。第80、81行:对局域网内电脑的MAC和IP地址进行绑定,能够防止内网用户随意修改IP地址。iptables_example.sh文件内容如下:1#!/bin/bash23echo1/proc/sys/net/ipv4/ip_forward4#echo1/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts5#echo1/proc/sys/net/ipv4/icmp_echo_ignore_all6echo1/proc/sys/net/ipv4/tcp_syncookies
7、78#INET_IF=ppp09INET_IF=eth010LAN_IF=eth111LAN_IP_RANGE=192.168.0.0/2412IPT=/sbin/iptables13TC=/sbin/tc14MODPROBE=/sbin/modprobe1516$MODPROBEip_tables17$MODPROBEiptable_nat18$MODPROBEip_nat_ftp19$MODPROBEip_nat_irc20$MODPROBEipt_mark21$MODPROBEip_conntrack22$MODPROBEip_conntrack_ftp23$MODPROBEip_con
8、ntrack_irc24$MODPROBEipt_MASQUERADE2526forTABLEinfilternatmangle;do27$IPT-t$TABLE-F28$IPT-t$TABLE-X29$IPT-t$TABLE-Z30done3132$IPT-PINPUTDROP33$IPT-POUTPUTACCEPT34$IPT-PFORWARDDROP35$IPT-tnat-PPREROUTINGACCEPT36$IPT-tnat-POUTPUTACCEPT37$IPT-tnat-PPOSTROUTINGACCEPT3839#拒绝互联网用户访问内网40$IPT-AINPUT-i$INET_
9、IF-mstate-stateRELATED,ESTABLISHED-jACCEPT41$IPT-AINPUT-ptcp-dport22-jACCEPT42$IPT-AINPUT-i$INET_IF-mstate-stateNEW,INVALID-jDROP4344forDNSin$(grepn/etc/resolv.conf|awkprint$2do45$IPT-AINPUT-ptcp-s$DNS-sportdomain-jACCEPT46$IPT-AINPUT-pudp-s$DNS-sportdomain-jACCEPT47done4849#antibadscaning50$IPT-AIN
10、PUT-i$INET_IF-ptcp-tcp-flagsALLFIN,URG,PSH-jDROP51$IPT-AINPUT-i$INET_IF-ptcp-tcp-flagsALLALL-jDROP52$IPT-AINPUT-i$INET_IF-ptcp-tcp-flagsALLSYN,RST,ACK,FIN,URG-jDROP53$IPT-AINPUT-i$INET_IF-ptcp-tcp-flagsALLNONE-jDROP54$IPT-AINPUT-i$INET_IF-ptcp-tcp-flagsSYN,RSTSYN,RST-jDROP55$IPT-AINPUT-i$INET_IF-ptc
11、p-tcp-flagsSYN,FINSYN,FIN-jDROP5657$IPT-AINPUT-ptcp-sport1080-jDROP58$IPT-AINPUT-ptcp-sport1090-jDROP59$IPT-AINPUT-i$INET_IF-s60.2.139.192/27-jDROP60$IPT-AINPUT-i$INET_IF-s60.3.246.162/32-jDROP6162$IPT-AFORWARD-ptcp-sport1080-jDROP63$IPT-AFORWARD-ptcp-dport1080-jDROP64$IPT-AFORWARD-s60.2.139.192/27-
12、jDROP65$IPT-AFORWARD-d60.2.139.192/27-jDROP6667$IPT-AFORWARD-mstring-algobm-stringfund-jDROP6869if$INET_IF=ppp0;then70$IPT-tnat-APOSTROUTING-o$INET_IF-s$LAN_IP_RANGE-jMASQUERADE71else72$IPT-tnat-APOSTROUTING-o$INET_IF-s$LAN_IP_RANGE-jSNAT-to-source1.2.3.473fi7475#nolimit76$IPT-AFORWARD-s192.168.0.18
13、-mmac-mac-source00-16-EC-A8-F1-A5-jACCEPT77$IPT-AFORWARD-d192.168.0.18-jACCEPT7879#MAC、IP地址绑定80$IPT-AFORWARD-s192.168.0.2-mmac-mac-source00-18-F3-30-86-45-jACCEPT81$IPT-AFORWARD-s192.168.0.3-mmac-mac-source00-15-60-B9-94-8E-jACCEPT8283$IPT-AFORWARD-d192.168.0.2-jACCEPT84$IPT-AFORWARD-d192.168.0.3-jA
14、CCEPTLinux操作系统的防火墙设置命令Linux操作系统下防火墙的设置需要用到哪些命令?如下文所述:1、ipchains服务不能和iptables服务同时运行。要确定ipchains服务被禁用,执行下面命令:/sbin/chkconfig-level345ipchainsoff2、修改防火墙配置需要修改/etc/sysconfig/iptables这个文件,假如要开放哪个端口,在里面添加一条。-ARH-Firewall-1-INPUT-mstate-stateNEW-mtcp-ptcp-dport1521-jACCEPT就能够了,其中1521是要开放的端口号,然后重新启动linux的防火
15、墙服务。3、要确保它在系统引导时启动,使用下面命令:/sbin/chkconfig-level345iptableson4、停止/启动防火墙服务的命令:用root登录后,执行serviceiptablesstop-停止serviceiptablesstart-启动(service命令位于/sbin)5、防火墙规则只要在iptables服务运行的时候才能被激活。要手工启动服务,使用下面命令:/sbinrviceiptablesrestart这是Linux操作系统下防火墙的设置的几条简单的命令。Linux操作系统的防火墙配置方法Linux操作系统下配置防火墙的方法命令是什么呢?下面由学习啦我为大家整理了Linux操作系统的防火墙配置方法的相关知识,希望对大家有帮助!Linux操作系统的防火墙配置方法filter/iptables介绍通过使用iptables命令建立过滤规则推荐度: