“UbuntuHelp:IptablesHowTo/zh”的版本间的差异
来自Ubuntu中文
小 |
小 |
||
第84行: | 第84行: | ||
我们已经指定SSH和web端口为允许通过的TCP流量,但是因为我们还没阻断任何流量,所以到目前为止所有的流量仍然可以进入。 | 我们已经指定SSH和web端口为允许通过的TCP流量,但是因为我们还没阻断任何流量,所以到目前为止所有的流量仍然可以进入。 | ||
+ | |||
+ | |||
+ | === 阻断流量 === | ||
+ | 一旦一条规则对一个包进行了匹配,其他规则不再对这个包有效。因为我们的规则首先允许SSH和WEB流量,所以只要我们阻断所有流量的规则紧跟其后,我们依然能接受我们感兴趣的流量。我们要做的仅仅是把阻断所有流量的规则放在最后,所以我们需要再次用到它。 | ||
+ | |||
+ | <pre><nowiki> | ||
+ | # iptables -A INPUT -j DROP | ||
+ | # iptables -L | ||
+ | Chain INPUT (policy ACCEPT) | ||
+ | target prot opt source destination | ||
+ | ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED | ||
+ | ACCEPT tcp -- anywhere anywhere tcp dpt:ssh | ||
+ | ACCEPT tcp -- anywhere anywhere tcp dpt:www | ||
+ | DROP all -- anywhere anywhere | ||
+ | </nowiki></pre> | ||
+ | |||
+ | 因为我们刚才没有指定一个接口或一个协议,所以除了web和ssh流量外其他任何流量都会被阻断。 |
2007年7月31日 (二) 20:57的版本
- 1 Iptables基础 如何在Ubuntu Server版上实施iptables
- 1.1 基本命令
- 1.2 允许建立会话
- 1.3 在指定端口上允许入站流量
- 1.4 阻断流量
- 1.5 编辑iptables
- 1.6 日志记录
- 1.7 保存iptables
- 1.8 配置启动时自动加载规则
- 1.9 提示
- 1.9.1 如果你在一个已有规则上手动编辑iptables
- 1.9.2 使用iptables-save/restore来测试规则
- 1.9.3 更详细的日志记录
- 1.9.4 禁用防火墙
- 1.10 通过GUI界面程序简单配置
- 1.11 更多信息
- 1.12 致谢
Iptables基础 如何在Ubuntu Server版上实施iptables
iptables 是一个安装在Ubuntu Server上的默认防火墙。在正常的ubuntu安装过程中,iptables是被安装上了的,但是它默认允许所有的流量(不管防火墙是否是无效的)。
关于iptables有价值的信息很多,但是大多都描述的很复杂。如果你想做些基本的配置,下面的 How To 很适合你。
基本命令
键入:
# iptables -L
列出您当前iptables中在规则。如果您是刚刚建立您的服务器,那么可能此时还没有任何规则,而且您应该看到如下:
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
允许建立会话
我们可以允许建立会话来接受流量:
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
在指定端口上允许入站流量
阻断所有流量您也可以启动系统,但是您可能正在通过SSH工作,所有在您阻断其他流量前有必要允许SSH流量。
为了在22端口号(默认的SSH端口)上的允许流量入站,您可以告诉iptables允许您的网卡接受所有的目的端口为22的TCP流量。
# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
特别的,这将向表中追加(-A)INPUT规则,允许目的端口号为SSH的所有流量进入接口(-i) eth0,以便iptables完成跳转(-j)或动作:ACCEPT
让我们核对下这些规则:(这里仅显示了少数行,您应该看到更多)
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
现在,让我们允许所有的web流量
# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
检查我们现有的规则
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:www
我们已经指定SSH和web端口为允许通过的TCP流量,但是因为我们还没阻断任何流量,所以到目前为止所有的流量仍然可以进入。
阻断流量
一旦一条规则对一个包进行了匹配,其他规则不再对这个包有效。因为我们的规则首先允许SSH和WEB流量,所以只要我们阻断所有流量的规则紧跟其后,我们依然能接受我们感兴趣的流量。我们要做的仅仅是把阻断所有流量的规则放在最后,所以我们需要再次用到它。
# iptables -A INPUT -j DROP # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:www DROP all -- anywhere anywhere
因为我们刚才没有指定一个接口或一个协议,所以除了web和ssh流量外其他任何流量都会被阻断。