• Linux系统Iptables防火墙


    Linux下关闭防火墙的命令,今天为了安全想把LInux服务器的ssh远程连接的端口休息一下,我就把sshd_config文件里的添加了一行port 8081可是配置好重新启动ssh服务后就是连接不上,想了好久才感觉是不是防火墙的问题啊,于是我就关闭了防火墙就可以了

    1、即时生效,重启后复原
    开启: service iptables start
    关闭: service iptables stop

    2、永久性生效,重启后不会复原
    开启: chkconfig iptables on
    关闭: chkconfig iptables off

    如果你想为了安全而开启防火墙,但是开启了SSH就连接不上了,没事儿有办法,你知道在防火墙的iptables设置文件里,设置不阻止SSH的端口就可以了,办法很简单,编辑/etc/sysconfig/iptables文件,在里面插入-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8081 -j ACCEPT 一行就可以了,我这里用的是8081端口,添加时改成你设置的SSH端口。
    然后service iptables restart 重新启动防火墙。

    利用上面的方法就可以顺利用ssh连接到远程服务器了

    Linux 的内置firewall机制,是通过kernel中的netfilter模块实现的(www.netfilter.ort)。Linux kernel使用netfilter对进出的数据包进行过滤,netfilter由三个规则表组成,每个表又有许多内建的链组成。通过使用iptables命令可以对这些表链进行操作,如添加、删除和列出规则等。

      一、Netfilter规则表—filter nat mangle

      filter,用于路由网络数据包。是默认的,也就是说如果没有指定-t参数,当创建一条新规则时,它会默认存放到该表内。

      INPUT 网络数据包流向服务器

      OUTPUT 网络数据包从服务器流出

      FORWARD 网络数据包经服务器路由

      nat,用于NAT表.NAT(Net Address Translation )是一种IP地址转换方法。

      PREROUTING 网络数据包到达服务器时可以被修改

      OUTPUT 网络数据包由服务器流出

      POSTROUTING 网络数据包在即将从服务器发出时可以被修改

      mangle,用于修改网络数据包的表,如TOS(Type Of Service),TTL(Time To Live),等

      INPUT 网络数据包流向服务器

      OUTPUT 网络数据包流出服务器

      FORWARD 网络数据包经由服务器转发

      PREROUTING 网络数据包到达服务器时可以被修改

      POSTROUTING 网络数据包在即将从服务器发出时可以被修改

      1.配置Iptables

      当数据包进入服务器时,Linux Kernel会查找对应的链,直到找到一条规则与数据包匹配。如果该规则的target是ACCEPT,就会跳过剩下的规则,数据包会被继续发送。如果该规则的target是DROP,该数据包会被拦截掉,kernel不会再参考其他规则。

      Note:如果从始至终都没有一条规则与数据包匹配,而且表末尾又没有drop all的规则,那末该数据包会被accept。Cisco则相反,在表末尾会因含deny all的规则。

      1.) Iptables的命令选项

      iptables [-t tables] command option parameter target

      -A 在链尾添加一条规则

      -C 将规则添加到用户定义链之前对其进行检查

      -D 从链中删除一条规则

      -E 重命名用户定义的链,不改变链本身

      -F 清空链,删除链上的所有规则

      -I 在链中插入一条规则

      -L 列出某个链上的规则,如iptables –L INPUT 列出INPUT链的规则

      -N 创建一个新链

      -P 定义某个链的默认策略

      -R 替换链上的某条规则

      -X 删除某个用户相关的链

      -Z 将所有表的所有链的字节和数据包计数器清零

      2.) Iptables的命令参数

      -p –protocol

      应用于数据包的协议类型,可以是TCP UDP ICMP或ALL。!也可使用。

      当使用-p tcp时,还可使用其他可以选项,以便允许进一步定义规则。选项包括:

      ——sport 允许指定匹配数据包源端口.port1:port ,表示port1和port2之间的所有端口

      ——dport 目的端口,和——sport雷同。

      当使用-p !udp时,也有特殊的选项供使包括:

      ——sport,——dport,与-p tcp 相同,只不过用以用于UDP包。

      使用-p icmp参数时,只有一个选项可用。

      ——icmp-type,允许在过滤规则中指定icmp类型。

      -s –source 指定数据包的源地址。该参数后跟一个IP地址,一个带有sub-net mask的网络地址,或一个主机名。(不建议使用主机名)

      -d,- - destination 数据包的目的地址,同-s.

      -j,——jump 用于指定一个target,告诉规则将该匹配的数据包发送到该 target。Target可以是ACCEPT,DROP,QUEUE,RETURN.如果没有-j,那么不会对数据包进行任何操作,只是将计数器加1。

      -i - - in-interface ,对于INPUT FORWARD PREROUTING链,该参数指定数据包到达服务器时所使用的端口。

      -o - - out-interface,对于OUTPUT FORWARD POSTROUTING链,该参数指定数据包离开服务器时使用的端口。

      3.) Iptables的命令target

      创建规则的最后一步是指定Iptables对数据包的操作。只要某一规则匹配该数据包,就不会再有别的规则的操作。内建的target有:ACCEPT DROP QUEUE RETURN。

      ACCEPT:允许数据包通过,到达目的地。

      DROP:拒绝数据包通过,丢弃该包。

      QUEUE:将数据包发送回到用户应用程序处理。

      RETURN:不再根据当前链的其他规则来检查数据包,而是直接返回,继续被发送到其目的地址,或下一个链。

    2.应用Iptables规则 示例

      允许WWW

      iptables –A INPUT –p tcp –dport 80 –j ACCEPT

      该规则被添加到filter表的INPUT链,允许目的端口是80的数据包。

      在内部接口上允许DHCP

      iptables –A INPUT –i eth0 –p tcp - - sport 68 - -dport 67 ACCEPT

      iptables –A INPUT –i eth0 –p ucp - -sport 68 - -dport 67 ACCEPT

      以上同时允许TCP和UDP协议。

      3.保存和恢复Iptables

      保存Iptables

      使用iptables-save可将现行的iptables规则保存,

      iptables-save > iptables保存路径,如# iptables-save > /etc/iptables.up.rule

      恢复Iptables

      使用iptables-restore 可从配置文档恢复iptables表到现行iptables表.

      iptables-restore < /etc/iptables.up.rule

      二、Ubuntu Server中的Iptables

      Ubuntu Server6.06中已经默认安装iptables,版本是1.3.3.默认状态是关闭。

      通过修改/etc/network/interfaces可将iptables打开:

      auto lo

      Iface lo inet loopback

      auto eth0

      iface eth0 inet dhcp

      #添加以下内容

      pre-up iptables-restore < /etc/iptables.up.rule

      #call the restored rule when active the eth0

      post-down iptables-save > /etc/iptables.up.rule

      #restore the iptables rule when shutdown the interface eth0

      然后重新激活eth0即可。

      另外,可随时修改/etc/iptables.up.rule配置文件,来更改iptables的规则。Iptables.up.rule格式如下:

      #Generated by iptables-save V1.3.3 on Tue Jul 31 14:18:44 2007

      *filter

      :INPUT ACCEPT [73:8213]

      :FORWARD ACCEPT [0:0]

      :OUTPUT ACCEPT [8:825]

      -A INPUT –i lo –p icmp –j DROP

      -A INPUT –i eth0 –p icmp –j DROP

      COMMIT

      #Completed on Tue Jul 31 14:10:44 2007

      行与行之间不能有空行。

      三.Summary

      iptables表链中每条规则的顺序很重要,如果首条是accept all,那末所有的数据包都会被允许通过firewall,因此应当适当的安排规则顺序。

      通常的法则是:拒绝所有 允许少数.

  • 相关阅读:
    【BZOJ 3282】Tree Link Cut Tree模板题
    【BZOJ 2002】【Hnoi 2010】弹飞绵羊 分块||Link Cut Tree 两种方法
    【BZOJ 1507】【NOI 2003】&【Tyvj P2388】Editor 块状链表模板题
    小结-Splay
    【BZOJ 3545】【ONTAK 2010】Peaks & 【BZOJ 3551】【ONTAK 2010】Peaks加强版 Kruskal重构树
    【BZOJ 3732】 Network Kruskal重构树+倍增LCA
    【BZOJ 3674】可持久化并查集加强版&【BZOJ 3673】可持久化并查集 by zky 用可持久化线段树破之
    【BZOJ 1901】【Zju 2112】 Dynamic Rankings 动态K值 树状数组套主席树模板题
    1020: [SHOI2008]安全的航线flight
    POJ
  • 原文地址:https://www.cnblogs.com/BloodAndBone/p/1848507.html
Copyright © 2020-2023  润新知