linux防火墻怎么配置-linux中防火墻的基本配置

linux防火墻怎么配置？下面是linux中防火墻的基本配置，希望對(duì)朋友有所幫助！

服務(wù)腳本： /etc/rc.d/init.d/iptables

腳本配置文件：/etc/sysconfig/iptables-config

service iptables {status|start|stop|restart|save}

規(guī)則的保存位置：/etc/sysconfig/iptables

首先要?jiǎng)?chuàng)建/etc/sysconfig/iptables然后再啟動(dòng)

若想保存規(guī)則 使用命令service iptables save

語法格式：

iptables [-t TABLE] COMMAND CHAIN [CRETIRIA] -j ACTION

-t

raw

mangle

nat

filter:

-t TABLE也可以省略，默認(rèn)為filter

如果有多個(gè)表時(shí)，執(zhí)行順序依次為raw,mangle,nat,filter

COMMAND：對(duì)鏈，或者對(duì)鏈中的規(guī)則進(jìn)行管理操作

鏈中規(guī)則：

-A 追加一條規(guī)則

-I # 插入一條規(guī)則 后加數(shù)字表示插入為第幾條

-R # 替換第幾條

-D # 刪除第幾條規(guī)則

鏈：

-N: 新建一個(gè)自定義鏈

-X: 刪除一個(gè)自定義的空鏈

-E：重命名一條自定義鏈

-F: 清空指定鏈，如果不指定鏈，則清空整個(gè)表中的所有鏈

-P: 設(shè)定鏈的默認(rèn)策略

-Z: 置零 (每條規(guī)則，包括默認(rèn)策略都有兩個(gè)計(jì)數(shù)器：一個(gè)是被本規(guī)則匹配到的所有數(shù)據(jù)包的個(gè)數(shù)；另一個(gè)是被本規(guī)則匹配到的所有數(shù)據(jù)包的大小之和)；

查看：

-L: 查看

-v

-vv

-vvv

--line-numbers

-x：計(jì)數(shù)器的精確值（不做單位換算）

-n: 顯示數(shù)字地址（不對(duì)地址和端口做反解）

匹配條件：

通用匹配

-s 指定源IP或者源網(wǎng)絡(luò)

-d 指定目標(biāo)IP或者目標(biāo)網(wǎng)絡(luò)

網(wǎng)絡(luò)地址和目標(biāo)地址前均可用“!”取反

-p {icmp|tcp|udp}指明協(xié)議類型

-i IN_INTERFACE 數(shù)據(jù)包的流入接口

-o OUT_INTERFACE 數(shù)據(jù)包流出的接口

擴(kuò)展匹配

隱式擴(kuò)展

-p tcp

--sport PORT[-PORT2] 源端口

--dport PORT[-PORT2] 目標(biāo)端口

--tcp-flags SYN,ACK,RST,FIN SYN

，前表示要檢查的標(biāo)志位 ，其后為 必須為1的位

--syn --tcp-flags SYN,ACK,RST,FIN SYN 的簡(jiǎn)寫

-p udp

--sport

--dport

-p icmp

--icmp-type

0: echo-reply 響應(yīng)報(bào)文

8: echo-request 請(qǐng)求報(bào)文

顯式擴(kuò)展:

netfilter擴(kuò)展模塊引入的擴(kuò)展，用于擴(kuò)展匹配條件，通常需要額外專用選項(xiàng)來定義

-m state: 用于實(shí)現(xiàn)連接的狀態(tài)檢測(cè)

--state

NEW(新發(fā)起連接), ESTABLISHED(已建立連接)

RELATED, INVALID（非法的、無法識(shí)別的、無效的連接）

-m multiport 同時(shí)指定多個(gè)端口號(hào)，中間用逗號(hào)隔開

--source-ports

--destination-ports

--ports

以下用法示例，本機(jī)IP：192.168.0.6，外部IP：192.168.0.7

[root@localhost ~]# iptables -L -n 查看已制定規(guī)則

[root@localhost ~]# iptables -L -n -t nat 查看nat表

[root@localhost ~]# iptables -t filter -A INPUT -s 192.168.0.7 -p icmp --icmp-type 8 -j DROP #INPUT DROP 必須大寫 拒絕192.168.0.7請(qǐng)求ICMP報(bào)文

[root@localhost ~]# iptables -L -n --line-numbers 顯示行號(hào)

[root@localhost ~]# iptables -D INPUT 2 刪除INPUT鏈的第二條規(guī)則

[root@localhost ~]# iptables -A INPUT -s 192.168.0.7 -d 192.168.0.6 -p icmp --icmp-type 0 -j DROP #關(guān)閉對(duì)方的ping回應(yīng)報(bào)文

iptables -A INPUT -s ! 172.16.0.0 -d 172.16.100.1 -p tcp --dport 80 -j DROP 拒絕除172.16.0.0網(wǎng)段的所有主機(jī)訪問WEB服務(wù)

[root@localhost ~]# iptables -F INPUT 清除規(guī)則

[root@localhost ~]# iptables -A INPUT -s 0.0.0.0/0 -d 192.168.0.6 -p tcp --dport 22 -j ACCEPT #寫所有地址時(shí)一定要寫掩碼

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -p tcp --sport 22 -j ACCEPT

[root@localhost ~]# iptables -P INPUT DROP 把默認(rèn)策略改為拒絕

[root@localhost ~]# iptables -P OUTPUT DROP

[root@localhost ~]# iptables -A INPUT -s 192.168.0.7 -d 192.168.0.6 -p icmp --icmp-type 8 -j ACCEPT

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -d 192.168.0.7 -p icmp --icmp-type 0 -j ACCEPT 讓別的主機(jī)能ping進(jìn)來

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -p icmp --icmp-type 8 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -p icmp --icmp-type 0 -j ACCEPT 本機(jī)能PING通外邊主機(jī)

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 允許新建立的和已建立的連接進(jìn)來

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 允許已建立的連接出去

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -m state --state NEW,ESTABLISHED -j ACCEPT 不區(qū)分協(xié)議和端口號(hào)

[root@localhost ~]# iptables -A OUTPUT -s 192.168.0.6 -m state --state ESTABLISHED -j ACCEPT

[root@localhost ~]# iptables -A INPUT -d 192.168.0.6 -p tcp -m multiport --destination-ports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT 多個(gè)端口合到一塊