在之前的幾篇文章里,已經介紹過了iptables的表、鏈,以及如何增加規則鏈等。這里,想和大家分享一個簡單的防火墻的規則,這里主要針對filter的input鏈設置規則,本篇文章相當于一個iptables規則實戰,幫助大家加深鞏固所學的知識。
應用規則如下:
-
清除已有規則,將原有的規則全部清除。
-
設定默認策略,將filter的input鏈默認策略設置為drop,其他的都設置為accept。
-
信任本機,對于回環網卡lo必須設置為可信任的。
-
響應數據包,對于主機主動向外請求的而響應的數據包可以進入本機(establish/related)
-
拒絕無效數據包,對于無效的數據包都拒絕(INVALID)
-
白名單,信任某些ip或網絡地址等
-
黑名單,不信任的ip或網絡地址等
-
允許icmp包,對于icmp包放行
-
開放部分端口, 有些服務的端口是必須要向外開放的,比如80、443、22等端口
我們準備制作3個shell腳本文件:iptables.rule、iptables.allow(白名單)、iptables.deny(黑名單)文件。這三個文件,我一般會先建立一個目錄/etc/iptables,這三個文件存在這個目錄。
下面,我們看這個iptables.rule的腳本內容:
#!/bin/bash #?iptables?rule #?清楚默認規則 iptables?-F iptables?-X iptables?-Z #?修改默認策略 iptables?-P?INPUT??DROP iptables?-P?FORWARD??ACCEPT iptables?-P?OUTPUT??ACCEPT #?信任本機 iptables?-A?INPUT?-i?lo?-j?ACCEPT? #?響應數據包 iptables?-A?INPUT??-m?state?--state?ESTABLISHED,RELATED?-j?ACCEPT #?拒絕無效數據包 iptables?-A?INPUT??-m?state?--state?INVALID?-j?DROP #?白名單 if?[?-f?"/etc/iptables/iptables.allow"?];then ????sh?/etc/iptables/iptables.allow fi #?黑名單 if?[?-f?"/etc/iptables/iptables.deny"?];then ????sh?/etc/iptables/iptables.deny fi #?允許icmp包 iptables?-A?INPUT?-p?icmp?-j?ACCEPT #?開放部分端口 iptables?-A?INPUT?-p?tcp?--dport?22??-j?ACCEPT?#?ssh服務 iptables?-A?INPUT?-p?tcp?--dport?80?-j?ACCEPT?#?www服務 iptables?-A?INPUT?-p?tcp?--dport?443?-j?ACCEPT?#?ssl #?保存規則 /usr/libexec/iptables/iptables.init?save
對于iptables.allow,我們一般會將信任的ip或網絡地址寫入到這個文件,比如該主機所在局域網絡為192.168.1.0/24,想要信任該局域網內的主機的話,可以在該文件寫入
iptables?-A?INPUT?-s?192.168.1.0/24?-j?ACCEPT
而iptables.deny則是用來阻擋某些惡意ip的流量進入到本機,比如像阻擋8.210.247.5這個ip,可以在該文件寫入
iptables?-A?INPUT?-s?8.210.247.5/32?-j?DROP
在iptables.rule的最后,我們使用的命令來保存了防火墻規則,注意,如果不加入本命令,該規則只會零時生效,當重啟了iptables或重啟了系統,我們之前設定的規則就會失效了。
相關推薦:《linux課程》
