linux簡單的防火墻設置
常用命令
iptables -L -n 查看防火墻規則;
iptables -F 清除預設表filter中的所有規則鏈的規則
iptables -X 清除預設表filter中使用者自定鏈中的規則
/etc/rc.d/init.d/iptables save 把修改寫入/etc/sysconfig/iptables文件裏
設定規則
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP
(意思是,當超出了IPTABLES裏filter表裏的兩個鏈規則(INPUT,FORWARD)時,不在這兩個規則裏的數據包怎麽處理呢,那就是DROP(放棄).應該說這樣配置是很安全的.我們要控制流入數據包
而對於OUTPUT鏈,也就是流出的包我們不用做太多限制,而是采取ACCEPT,也就是說,不在著個規則裏的包怎麽辦呢,那就是通過.
可以看出INPUT,FORWARD兩個鏈采用的是允許什麽包通過,而OUTPUT鏈采用的是不允許什麽包通過.
這樣設置還是挺合理的,當然你也可以三個鏈都DROP,但這樣做我認為是沒有必要的,而且要寫的規則就會增加.但如果你只想要有限的幾個規則是,如只做WEB服務器.還是推薦三個鏈都是DROP.)
開放常用端口:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT (ssh)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT (
iptables -A INPUT -p tcp --dport 110 -j ACCEPT (郵件)
iptables -A INPUT -p tcp --dport 25 -j ACCEPT (郵件)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT (ftp)
iptables -A INPUT -p tcp --dport 20 -j ACCEPT (ftp)
iptables -A INPUT -p tcp --dport 53 -j ACCEPT (dns)
iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話)
iptables -A INPUT -p icmp -j ACCEPT (INPUT設置成DROP的話)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
linux簡單的防火墻設置