《查看Linux系统防火墙的命令详解.docx》由会员分享,可在线阅读,更多相关《查看Linux系统防火墙的命令详解.docx(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、查看Linux系统防火墙的命令详解查看Linux系统防火墙的命令详解Linux系统的防火墙的状态我们能够使用命令来查看状态。下面由学习啦我为大家整理了查看Linux系统防火墙的命令详解,希望对大家有帮助!查看Linux系统防火墙的命令详解查看Linux系统防火墙的命令一、service方式查看防火墙状态:rootcentos6#serviceiptablesstatusiptables:未运行防火墙。开启防火墙:rootcentos6#serviceiptablesstart关闭防火墙:rootcentos6#serviceiptablesstop查看Linux系统防火墙的命令二、iptabl
2、es方式先进入init.d目录,命令如下:rootcentos6#cd/etc/init.d/rootcentos6init.d#然后查看防火墙状态:rootcentos6init.d#/etc/init.d/iptablesstatus暂时关闭防火墙:rootcentos6init.d#/etc/init.d/iptablesstop重启iptables:rootcentos6init.d#/etc/init.d/iptablesrestart补充:linux系统防火墙的配置方法一、开场配置我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 roottp#i
3、ptables-L-nChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestinationChainRH-Firewall-1-INPUT(0references)targetprotoptsourcedestinationACCEPTall-0.0.0.0/00.0.0.0/0ACCEPTicmp-0.0.0.0/00.0.0.0/0
4、icmptype255ACCEPTesp-0.0.0.0/00.0.0.0/0ACCEPTah-0.0.0.0/00.0.0.0/0ACCEPTudp-0.0.0.0/0224.0.0.251udpdpt:5353ACCEPTudp-0.0.0.0/00.0.0.0/0udpdpt:631ACCEPTall-0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHEDACCEPTtcp-0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22ACCEPTtcp-0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80ACCEPTtcp-0.0
5、.0.0/00.0.0.0/0stateNEWtcpdpt:25REJECTall-0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited能够看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.假如你在安装linux时没有选择启动防火墙,是这样的 roottp#iptables-L-nChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(po
6、licyACCEPT)targetprotoptsourcedestination什么规则都没有. (2)去除原有规则.不管你在安装linux时能否启动了防火墙,假如你想配置属于本人的防火墙,那就去除如今filter的所有规则. roottp#iptables-F去除预设表filter中的所有规则链的规则 roottp#iptables-X去除预设表filter中使用者自定链中的规则我们在来看一下 roottp#iptables-L-nChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)
7、targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提早讲一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存. roottp#/etc/rc.d/init.d/iptablessave这样就能够写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用. roottp#serviceiptablesrestart如今IPTABLES配置表里什么配置都没有了,
8、那我们开场我们的配置吧 (3)设定预设规则 roottp#iptables-PINPUTDROP roottp#iptables-POUTPUTACCEPT roottp#iptables-PFORWARDDROP上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该讲这样配置是很安全的.我们要控制流入数据包而对于OUTPUT链,也就是流出的包我们不用做过多限制,而是采取ACCEPT,也就是讲,不在着个规则里的包怎么办呢,那就是通过.能够看出INPUT,FORWARD两个链采用的是允
9、许什么包通过,而OUTPUT链采用的是不允许什么包通过.这样设置还是挺合理的,当然你可以以三个链都DROP,但这样做我以为是没有必要的,而且要写的规则就会增加.但假如你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.注:假如你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.由于你没有设置任何规则.怎么办,去本机操作呗! (4)添加规则.首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采用远程SSH登陆,我们要开启22端口. roottp#iptables-AINPUT-ptcp-dport22-jACC
10、EPT roottp#iptables-AOUTPUT-ptcp-sport22-jACCEPT(注:这个规则,假如你把OUTPUT设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.其他的端口也一样,假如开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链: roottp#iptables-AOUTPUT-ptcp-sport80-jACCEPT,其他同理.)假如做了WEB服务器,开启80端口. roottp#iptables-AINPUT-ptcp-dport80-jACCEPT假如做了邮件服务器,开启25,110端口.
11、 roottp#iptables-AINPUT-ptcp-dport110-jACCEPT roottp#iptables-AINPUT-ptcp-dport25-jACCEPT假如做了FTP服务器,开启21端口 roottp#iptables-AINPUT-ptcp-dport21-jACCEPT roottp#iptables-AINPUT-ptcp-dport20-jACCEPT假如做了DNS服务器,开启53端口 roottp#iptables-AINPUT-ptcp-dport53-jACCEPT假如你还做了其他的服务器,需要开启哪个端口,照写就行了.上面主要写的都是INPUT链,但凡
12、不在上面的规则里的,都DROP允许icmp包通过,也就是允许ping, roottp#iptables-AOUTPUT-picmp-jACCEPT(OUTPUT设置成DROP的话) roottp#iptables-AINPUT-picmp-jACCEPT(INPUT设置成DROP的话)允许loopback!(不然会导致DNS无法正常关闭等问题)IPTABLES-AINPUT-ilo-pall-jACCEPT(假如是INPUTDROP)IPTABLES-AOUTPUT-olo-pall-jACCEPT(假如是OUTPUTDROP)下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我
13、们就写需要DROP(放弃)的链.减少不安全的端口连接 roottp#iptables-AOUTPUT-ptcp-sport31337-jDROP roottp#iptables-AOUTPUT-ptcp-dport31337-jDROP有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的elite端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的时机还有其他端口也一样,像:31335、27444、27665、20034NetBus、9704、137-139(smb),2049(NFS)端口
14、也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.当然出入更安全的考虑你可以以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加允许SSH登陆一样.照着写就行了.下面写一下愈加细致的规则,就是限制到某台机器如:我们只允许192.168.0.3的机器进行SSH连接 roottp#iptables-AINPUT-s192.168.0.3-ptcp-dport22-jACCEPT假如要允许,或限制一段IP地址可用192.168.0.0/24表示192.168.0.1-255端的所有IP.24表示子网掩码数.但要记得把/etc/sysconfig/iptables里的这
15、一行删了.-AINPUT-ptcp-mtcp-dport22-jACCEPT由于它表示所有地址都能够登陆.或采用命令方式: roottp#iptables-DINPUT-ptcp-dport22-jACCEPT然后保存,我再讲一边,反是采用命令的方式,只在当时生效,假如想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里. roottp#/etc/rc.d/init.d/iptablessave这样写!192.168.0.3表示除了192.168.0.3的ip地址其他的规则连接也一样这么设置.在下面就是FORWARD链,FORWARD链的默认规则是DROP
16、,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做) roottp#iptables-AFORWARD-ieth0-oeth1-mstate-stateRELATED,ESTABLISHED-jACCEPT roottp#iptables-AFORWARD-ieth1-oeh0-jACCEPT丢弃坏的TCP包 roottp#iptables-AFORWARD-pTCP!-syn-mstate-stateNEW-jDROP处理IP碎片数量,防止攻击,允许每秒100个 roottp#iptables-AFORWA
17、RD-f-mlimit-limit100/s-limit-burst100-jACCEPT设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包. roottp#iptables-AFORWARD-picmp-mlimit-limit1/s-limit-burst10-jACCEPT我在前面只所以允许ICMP包通过,就是由于我在这里有限制.二、配置一个NAT表放火墙1,查看本机关于NAT的设置情况 roottprc.d#iptables-tnat-LChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROU
18、TING(policyACCEPT)targetprotoptsourcedestinationSNATall-192.168.0.0/24anywhereto:211.101.46.235ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章当然你假如还没有配置NAT的话,你也不用去除规则,由于NAT在默认情况下是什么都没有的假如你想去除,命令是 roottp#iptables-F-tnat roottp#iptable
19、s-X-tnat roottp#iptables-Z-tnat2,添加规则添加基本的NAT地址转换,(关于怎样配置NAT能够看我的另一篇文章),添加规则,我们只添加DROP链.由于默认链全是ACCEPT.防止外网用内网IP欺骗 roottpsysconfig#iptables-tnat-APREROUTING-ieth0-s10.0.0.0/8-jDROP roottpsysconfig#iptables-tnat-APREROUTING-ieth0-s172.16.0.0/12-jDROP roottpsysconfig#iptables-tnat-APREROUTING-ieth0-s19
20、2.168.0.0/16-jDROP假如我们想,比方阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人以为没有太大必要)例:禁止与211.101.46.253的所有连接 roottp#iptables-tnat-APREROUTING-d211.101.46.253-jDROP禁用FTP(21)端口 roottp#iptables-tnat-APREROUTING-ptcp-dport21-jDROP这样写范围太大了,我们能够更准确的定义. roottp#iptables-tnat-APREROUTING-ptcp-dport21-d211.101.46.253-jDROP这样只禁用211.101.46.253地址的FTP连接,其他连接还能够.如web(80端口)连接.根据我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.