Linux防火墙iptables简易教程.docx

Linux防火墙iptables简易教程Linux防火墙iptables简易教程加城3防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。对于linux下常见的防火墙iptables的一些内容，本着简明化学习的目的，微魔为大家剔除了很多冗余的内容，提取出尽量多的精华部分成文，和大家共同学习，本文涉及的内容包括如下Linux防火墙iptables简明教程1.安装iptables2.查看现有的iptables规则3.删除某iptables规则4.去除现有iptables规则5.创立规则6.设置开机启动7.保存iptables规则8.iptables在手动防CC攻击中的简单应用1.安装iptables很多Linux已经默认安装iptables，可使用后文的查看命令测试能否安装CentOS/RedHat下执行：yuminstalliptablesDebian/Ubuntu下执行：apt-getinstalliptables2.查看现有的iptables规则命令后面的line-number为显示行号(将规则一则一则输出，并显示行号)，可选，方便后文的删除指令。iptables-L-n-line-numbers3.删除某iptables规则例如，删除第12行的规则，行号可由之前的命令查看iptables-DINPUT124.去除现有iptables规则iptables-Fiptables-Xiptables-Z5.创立规则a).开放端口命令iptables-AINPUT-jREJECT将屏蔽其他未受权的端口，因而请务必开放22端口以保障SSH连接正常复制代码代码如下:#允许本机访问iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPT#允许已建立的或相关连的通行iptables-AINPUT-mstate-stateESTABLISHED,RELATED-jACCEPT#允许所有本机向外的访问iptables-AOUTPUT-jACCEPT#允许访问22端口iptables-AINPUT-ptcp-dport22-jACCEPT#允许访问80端口iptables-AINPUT-ptcp-dport80-jACCEPT#允许FTP服务的21和20端口iptables-AINPUT-ptcp-dport21-jACCEPTiptables-AINPUT-ptcp-dport20-jACCEPT#假如有其他端口的话，规则也类似，略微修改上述语句就行#禁止其他未允许的规则访问iptables-AINPUT-jREJECTiptables-AFORWARD-jREJECTb).屏蔽ipiptables-IINPUT-s123.123.123.123-jDROP可通过更换上述ip为ip段来到达屏蔽ip段的目的若需屏蔽整个ip段(123.0.0.1到123.255.255.254)则换为123.0.0.0/8若需屏蔽ip段123.123.0.1到123.123.255.254，则换为124.123.0.0/16若需屏蔽ip段123.123.123.1到123.123.123.254则换为123.123.123.0/246.设置开机启动一般在安装iptables完成后，开机启动会自动设置成功，但在个别CentOS系统上，貌似还有些问题，能够使用如下命令手动设置chkconfig-level345iptableson7.保存iptables规则serviceiptablessave8.iptables在手动防CC攻击中的简单应用关于获取攻击者ip的方法，能够通过很多方法获取，如查看网站日志等，本文不再赘述。a).建立要屏蔽的ip/ip段文件，名为ip.txt#屏蔽的ip123.4.5.6#屏蔽的ip段(编写方法，同前文)123.4.5.6/24b).建立block_ip.sh脚本文件复制代码代码如下:#!/bin/sh#Filename:block_ip.sh#Purpose:blocksallIPaddress/networkfoundinatextfile#ThetextfilemusthaveoneIPaddressornetworkperline#Changethefollowingpath/filenametomatchyoursIP_LIST_FILE=/path/to/ip.txt#Dontchangeanythingbelowunlessyouareasmartypant!#IPTABLES_BIN=/sbin/iptables#GettheIPaddress/networkfromthefileandignoreanylinestartingwith#(comments)BAD_IP_ADDR_LIST=$(grep-Ev#$IP_LIST_FILE)#NowloopthroughtheIPaddress/networklistandbanthemusingiptabelsforiin$BAD_IP_ADDR_LISTdoecho-nBlocking$i.$IPTABLES_BIN-AINPUT-s$i-jDROP$IPTABLES_BIN-AOUTPUT-d$i-jDROPechoDONE.done#ENDOFSCRIPT-NOTHINGTOSEEHERE-THATSALLFOLKS!#c).运行脚本sh/path/to/block_ip.shd).查看iptables规则能否生效/正确，这一步的命令，之前有提到哦，开动脑筋，实在忘了，点击此处补充浏览：防火墙主要使用技巧一、所有的防火墙文件规则必须更改。尽管这种方法听起来很容易，但是由于防火墙没有内置的变动管理流程，因而文件更改对于很多企业来讲都不是最佳的实践方法。假如防火墙管理员由于突发情况或者一些其他形式的业务中断做出更改，那么他撞到枪口上的可能性就会比拟大。但是假如这种更改抵消了之前的协议更改，会导致宕机吗?这是一个相当高发的状况。防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础，因而团队的所有成员都必须达成共鸣，观察谁进行了何种更改。这样就能及时发现并修理故障，让整个协议管理愈加简单和高效。二、以最小的权限安装所有的访问规则。另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的：即源(IP地址)，目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目的对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些规则就会变得权限过度释放，因而就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量?三、根据法规协议和更改需求来校验每项防火墙的更改。在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题，应用新产品和业务部门的经过中，我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神，而不仅是一篇法律条文。四、当服务过期后从防火墙规则中删除无用的规则。规则膨胀是防火墙经常会出现的安全问题，由于多数运作团队都没有删除规则的流程。业务部门擅于让你知道他们了解这些新规则，却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共鸣是个好的开场。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。Linux防火墙iptables简易教程