主頁(yè) > 知識(shí)庫(kù) > linux設(shè)置iptables防火墻的詳細(xì)步驟(centos防火墻設(shè)置方法)

linux設(shè)置iptables防火墻的詳細(xì)步驟(centos防火墻設(shè)置方法)

熱門(mén)標(biāo)簽:昆明crm外呼系統(tǒng)價(jià)格 400電話申請(qǐng)安裝 臨沂語(yǔ)音電話機(jī)器人公司 北京地圖標(biāo)注平臺(tái)注冊(cè)入駐 洛陽(yáng)外呼增值業(yè)務(wù)線路解決方案 騰沖銷(xiāo)售外呼管理系統(tǒng)服務(wù) 電銷(xiāo)機(jī)器人自動(dòng)撥號(hào)信息 用什么軟件做地圖標(biāo)注 長(zhǎng)沙呼叫中心外呼系統(tǒng)穩(wěn)定嗎

我們 來(lái)討論一下如何為你的CentOS 服務(wù)器來(lái)設(shè)置簡(jiǎn)單的防火墻。 這里我們以DigitalOcean的CentOS 6 VPS為基礎(chǔ)來(lái)討論的,同樣也適用于 阿里云上其他類型的LINUX系統(tǒng)。 (阿里云有個(gè)云盾系統(tǒng),因此在你自己的VPS上不設(shè)置防火墻也是可以的)

需要說(shuō)明的是: 本文只涉及最基礎(chǔ)最常用的防火墻設(shè)置,能屏蔽一些常用的攻擊,但并不能徹底保證你的服務(wù)器的安全。

系統(tǒng)的隨時(shí)更新 以及 關(guān)閉不必要的服務(wù) 仍然是保證系統(tǒng)安全非常重要的步驟。

如果你需要更全面的了解iptables,閱讀本文后,請(qǐng)google或是閱讀更加深入的資料!

首先簡(jiǎn)單介紹一下什么是IPTables:

iptables是Linux內(nèi)核中內(nèi)置的防火墻,可以允許管理員通過(guò)設(shè)置table, chain以及相關(guān)的規(guī)則來(lái)進(jìn)行數(shù)據(jù)包過(guò)濾和NAT。 一般來(lái)講,iptables防火墻已經(jīng)內(nèi)置于CentOS 6及其他Linux版本中,而且iptables服務(wù)默認(rèn)都是啟動(dòng)的。  iptables應(yīng)用于IPv4, 如果要用IPv6,需要使用ip6tables.

iptables的命令格式:


復(fù)制代碼
代碼如下:

iptables[-ttable]command[chain][rules][-jtarget]

[-ttable]:用來(lái)指明使用的表,有三種選項(xiàng):filter,nat和mangle,如果未指定,則使用filter作為缺省表。事實(shí)上,對(duì)于單個(gè)服務(wù)器的防火墻配置,一般來(lái)講,我們只需要對(duì)filter表進(jìn)行配件就OK了。filter表包括INPUT,OUTPUT,和FORWARD三個(gè)chain.

command表明iptables命名要做什么,比如

-A(–append):該命令會(huì)把一條規(guī)則附件到chain的末尾。

-D(–delete)用來(lái)刪除某個(gè)規(guī)則。

-F(–flush)如果指定了chain,刪除該chain中的所有規(guī)則,如果未指定chain,則刪除所有chain中的所有規(guī)則。

target:是由規(guī)則指定的操作。包括下面幾種:

ACCEPT:接收信息包(允許它前往目的地),并且將停止遍歷chain.

DROP:拒絕,

此外還有REJECT,RETURN,LOG,REDIRECT,MARK,MIRROR,MAQUERADE等。

具體的iptables的語(yǔ)法和概念就不再多說(shuō)了,請(qǐng)參照iptablesmanpage官方文檔.

簡(jiǎn)單來(lái)說(shuō),iptables防火墻是由一系列的規(guī)則(rule)組成,一個(gè)數(shù)據(jù)請(qǐng)求進(jìn)來(lái),會(huì)依次和這些規(guī)則進(jìn)行比較,如果正好符合規(guī)則的定義,那這個(gè)數(shù)據(jù)請(qǐng)求要么會(huì)被接收ACCEPT,要么被拒絕DRIP。如果不符合任何規(guī)則的定義,最后缺省的規(guī)則會(huì)被應(yīng)用。

開(kāi)始操作之前:

注意:一定要把你在DigitalOcean/Linode/阿里云上的服務(wù)器做一下快照備份,否則一旦你iptables的配置出了問(wèn)題,極有可能把你自己擋在門(mén)外,你自己都無(wú)法連接到服務(wù)器了?。〕霈F(xiàn)這種情況可是會(huì)欲哭無(wú)淚呀,除了重新做系統(tǒng)好像沒(méi)有更好的辦法了。(DigitalOcean提供了一個(gè)webconsole的界面,有時(shí)候會(huì)給你反悔和擦除iptables設(shè)置的機(jī)會(huì),但阿里云沒(méi)有)

決定哪些端口需要開(kāi)放

首先,SSH的端口22自然是需要開(kāi)放的,否則我們就無(wú)法登錄服務(wù)器了。

一般來(lái)講,CentOS的VPS經(jīng)常作為用LAMP搭建的Web服務(wù)器,F(xiàn)TP服務(wù)器,Mail服務(wù)器等。

對(duì)于Web服務(wù)來(lái)說(shuō),需要開(kāi)放80端口,如果是HTTPS/SSL協(xié)議的話,還需用開(kāi)放443端口

對(duì)于Mail服務(wù)來(lái)說(shuō),由于涉及SMTP,POP3,IMAP協(xié)議,需要開(kāi)放的端口如下:

SMTP:25SecureSMTP:465POP3:110SecurePOP3:995IMAP:143IMAPoverSSL:993

對(duì)于FTP服務(wù)來(lái)說(shuō),需要開(kāi)放20,21兩個(gè)端口

第一步:屏蔽最常見(jiàn)的攻擊

缺省情況下,CentOS的iptables的設(shè)置是允許任何數(shù)據(jù)通過(guò)的。

我們首先要清空iptables中的所有的規(guī)則:


復(fù)制代碼
代碼如下:

iptables-F

然后我們加上阻止簡(jiǎn)單掃描和攻擊的規(guī)則


復(fù)制代碼
代碼如下:

iptables-AINPUT-ptcp--tcp-flagsALLNONE-jDROP#NONE包(所有標(biāo)識(shí)bit都沒(méi)有設(shè)置)主要是掃描類的數(shù)據(jù)包
iptables-AINPUT-ptcp!--syn-mstate--stateNEW-jDROP#防止sync-flood攻擊
iptables-AINPUT-ptcp--tcp-flagsALLALL-jDROP#ALL包(所有的標(biāo)注bit都被設(shè)置了)也是網(wǎng)絡(luò)掃描的數(shù)據(jù)包

關(guān)于sync-flood,請(qǐng)參照wikipedia的解釋。

第二步:為相應(yīng)的服務(wù)開(kāi)放對(duì)應(yīng)的端口

首先我們應(yīng)該接受本機(jī)localhost的任何請(qǐng)求,否則,數(shù)據(jù)庫(kù)連接等將無(wú)法工作

1
iptables-AINPUT-ilo-jACCEPT
對(duì)于不同的服務(wù)需要開(kāi)放不同的端口


復(fù)制代碼
代碼如下:

iptables-AINPUT-ptcp--dport22-jACCEPT#SSH
iptables-AINPUT-ptcp--dport80-jACCEPT#HTTP
iptables-AINPUT-ptcp--dport443-jACCEPT#HTTPS
iptables-AINPUT-ptcp--dport25-jACCEPT#SMTP
iptables-AINPUT-ptcp--dport465-jACCEPT#SecureSMTP
iptables-AINPUT-ptcp--dport110-jACCEPT#POP3
iptables-AINPUT-ptcp--dport995-jACCEPT#SecurePOP3
iptables-AINPUT-ptcp--dport143-jACCEPT#IMAP
iptables-AINPUT-ptcp--dport993-jACCEPT#SecureIMAP

第三步:加上通用的規(guī)則

首先要允許所有從服務(wù)器端發(fā)起的連接,由此返回的響應(yīng)數(shù)據(jù)應(yīng)該是允許的!比如VPS發(fā)起的yumupdate,必須要允許外部的update數(shù)據(jù)進(jìn)來(lái)


復(fù)制代碼
代碼如下:

iptables-IINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT

最后,設(shè)置缺省的策略:屏蔽任何進(jìn)入的數(shù)據(jù)請(qǐng)求,允許所有從Server發(fā)出的請(qǐng)求


復(fù)制代碼
代碼如下:

iptables-POUTPUTACCEPT/p> p>iptables-PINPUTDROP

至此,規(guī)則設(shè)置完畢

第四步:保存設(shè)置

首先通過(guò)下面的命令查看一下我們的設(shè)置是否正確!


復(fù)制代碼
代碼如下:

iptable-L-n

確認(rèn)沒(méi)有問(wèn)題后,執(zhí)行下面的命令


復(fù)制代碼
代碼如下:

serviceiptablessave

執(zhí)行上述命令后,相應(yīng)的規(guī)則會(huì)寫(xiě)入/etc/sysconfig/iptables這個(gè)文件,你可以檢查一下看看。

最后執(zhí)行


復(fù)制代碼
代碼如下:

serviceiptablesrestart.

重新啟動(dòng)iptables防火墻,以使上述設(shè)置生效。

最佳的方法:

為了更方便的修改和維護(hù)自己的iptables的設(shè)置,我一般是把所有的iptables的設(shè)置先寫(xiě)到一個(gè)單獨(dú)文件中,測(cè)試沒(méi)有問(wèn)題后。然后再保存到iptable的配置文件中。

下面是我自己的iptables文件~/script/firewall.sh


復(fù)制代碼
代碼如下:

#!/bin/bash
#Asimpleiptablesfirewallconfiguration/p> p>PATH=/sbin:/bin:/usr/sbin:/usr/bin;exportPATH/p> p>#flush/eraseoriginalrules
iptables-F#清除所有已制定的rule
iptables-X#清除用戶自定義的chain/table
iptables-Z#將所有的chain的計(jì)數(shù)和流量統(tǒng)計(jì)歸零/p> p>#Acceptlocalhostconnetting,nomatterwhatitis
iptables-AINPUT-ilo-jACCEPT/p> p>#Acceptanyresponsepackagewhichisinitiatedfrominside
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT/p> p>#blockmostcommonnetworkattacks(reconpacketsandsyn-floodattack)
iptables-AINPUT-ptcp--tcp-flagsALLNONE-jDROP
iptables-AINPUT-ptcp!--syn-mstate--stateNEW-jDROP
iptables-AINPUT-ptcp--tcp-flagsALLALL-jDROP/p> p>#openportsfordifferentservices
iptables-AINPUT-ptcp--dport22-jACCEPT#SSH
iptables-AINPUT-ptcp--dport80-jACCEPT#HTTP
#iptables-AINPUT-ptcp--dport443-jACCEPT#HTTPS
#iptables-AINPUT-ptcp--dport25-jACCEPT#SMTP
#iptables-AINPUT-ptcp--dport465-jACCEPT#SecureSMTP
#iptables-AINPUT-ptcp--dport110-jACCEPT#POP3
#iptables-AINPUT-ptcp--dport995-jACCEPT#SecurePOP/p> p>#ICMPconfiguration
#TopreventICMPDDOS,wedonotallowICMPtype8(echo-request)orlimitthisrequestwith1/second
#someICMPrequestsareallowed.
icmp_type="0341112141618"
forticmpin$icmp_type
do
iptables-AINPUT-picmp--icmp-type$ticmp-jACCEPT
done
#iptables-AINPUT-picmp--icmp-type8-mlimit--limit1/second-jACCEPT/p> p>#defaultpolicies
iptables-POUTPUTACCEPT
iptables-PINPUTDROP/p> p>#saveto/etc/sysconfig/iptables
/etc/init.d/iptablessave

你可以根據(jù)你的需要進(jìn)行相應(yīng)的修改。

標(biāo)簽:汕頭 濰坊 南充 遼寧 涼山 昌都 三亞 通化

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《linux設(shè)置iptables防火墻的詳細(xì)步驟(centos防火墻設(shè)置方法)》,本文關(guān)鍵詞  linux,設(shè)置,iptables,防火墻,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《linux設(shè)置iptables防火墻的詳細(xì)步驟(centos防火墻設(shè)置方法)》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于linux設(shè)置iptables防火墻的詳細(xì)步驟(centos防火墻設(shè)置方法)的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章