Linux下防火墙基础知识之iptables - Linux安全 - 次元立方网 - 电脑知识与技术互动交流平台
Linux下防火墙基础知识之iptables
防火墙 【主机】
软件& Windows：ISA&&& LINUX& iptables
硬件& cisco pix ---》asa
&&&&& 天融信& ---》网络安全卫士
&&&&& H3C& ----&SECPATH
&&&&& 神州数码 --也有自己的防火墙
没有规则，说明防火墙没有启动。
setup，如果界面出现乱码，vim /etc/sysconfig/i18n& 语言禁掉
启动之后，默认是有规则的。
一般都先去除默认规则，然后，按自己要求，重设。去除默认规则如下：setup
二、iptables是什么？
通过编译内核知道，用户空间是通过构造函数来调用内核空间的已定义的东西了。
nat& POSTROUTING 【路由判断之后，比对过路由表之后，已经判断从哪个接口出了】& SNAT
&&&& PREROUTING&& 【路由判断之前,还没有比对路由表了】& DNAT
&&&& OUTPUT& 一般不用
filter& INPUT&& OUTPUT&& FORWARD
mangle（群集会调用）&& QOS
上面是针对nat表，下面是针对filter表。
三、iptables的分类
&&&& 网络层 【包过滤】& 三层 来源& 目标& icmp&&& arp
&&&&&&&&&&&&&&&&&&&&&&& 四层& tcp& udp&& 源端口& 目标端口
&&&&&&&&&&&&&&&&&&&&&&&&&&&&& tcp标志位&& 【syn& ack&& fin& rst】
&&&&& 支持应用多& 过滤有限
&&& 应用层 代理网关【squid】
&&&&&&&&&&&&& 三层 来源& 目标& icmp&&& arp
&&&&&&&&&&&&& 四层& tcp& udp&& 源端口& 目标端口
&&&&&&&&&&&&&&&&&&&& tcp标志位&& 【syn& ack&& fin& rst】
&&&&&&&&&&&&& 应用层& 协议 【http& ftp& ssh& telnet& qq& xunlei& pplive】
&&&&&&&&&&&&&&&&&&&&& 网址&&&& sina
&&&&&&&&&&&&&&&&&&&&& 域名&&&& ..cn
&&&&& 支持应用少&&& 过滤灵活
&&&&&&&&&&&&&&&&&&&&& 帐号
四、iptables举例
分清：走的时候换的是来源，回来换的是目的。
例1：snat的应用之访问外网web
ping 192.168.101.254 不通
有很大的延迟，可以ping通了！
xp下route print查看路由表
看到已经有数据包匹配了~
这里的http：//192.168.101.254 管理页面
以下：个人手写笔记！&
例2：DNAT 的使用
测试：远程打开
给管理员一个密码
原理的windows server 2003 的那台机器，访问
远程到xp上看：
在内网xp上，访问http://192.168.101.6
在internet的那台101.6机器上用netstat &an 查看来源ip是谁
这里因为做了SNAT，所以，来源ip为192.168.101 .3
例3：如果是pppoe ，每天的ip都是不同的，就不能只固定192.168.101.3一个了，该怎么办？
在内网ping 192.168.101.6是通的，看看有没有数据包匹配
延伸阅读：
CentOS7防火墙服务FirewallD指南作者：chszs，未经博...
本教程为 李华明 编著的iOS-Cocos2d游戏开发系列教程：教程涵盖关于i......
专题主要学习DirectX的初级编程入门学习，对Directx11的入门及初学者有......
&面向对象的JavaScript&这一说法多少有些冗余，因为JavaScript 语言本......
Windows7系统专题 无论是升级操作系统、资料备份、加强资料的安全及管......ubuntu防火墙设置
$sudo ufw default deny
$sudo ufw enable
$sudo ufw allow 22
$sudo ufw allow ssh
$sudo ufw status
Firewall loaded
To&&&&&&&&&&&&&&&&&&&&&&
Action From
--&&&&&&&&&&&&&&&&&&&&&&&
------ ----&&
22:tcp&&&&&&&&&&&&&&&&
22:udp&&&&&&&&&&&&&&&
$sudo ufw delete allow 22
$sudo ufw allow 22/tcp
$sudo ufw allow proto tcp from 192.168.0.1 to any port 22
$sudu ufw disable
UFWiptables
apt-get install ufw
(’disable’)
enable|disable
logging on|off
“mostly open” vs “mostly
default allow|deny
(“status” )“”/etc/servicesmeta-data
/etc/ufw/maps
allow|deny [service]
/var/lib/ufw/maps
sudo“#”……──
$ sudo ufw
$ sudo ufw
delete allow 53
$ sudo ufw
allow 80/tcp
$ sudo ufw
delete allow 80/tcp
$ sudo ufw
allow smtp
$ sudo ufw
delete allow smtp
$ sudo ufw
allow from 192.168.254.254
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
UID47478空间积分0 积分30阅读权限10帖子精华可用积分30 信誉积分134 专家积分0 在线时间11 小时注册时间最后登录
白手起家, 积分 30, 距离下一级还需 170 积分
帖子主题精华可用积分30 信誉积分134 专家积分0 在线时间11 小时注册时间最后登录
论坛徽章:0
这几天用一台双网卡的服务器做NAT共享上网
我在ubuntu下执行&&iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to&&1.58.XX.XXX 语句后
为什么用iptables&&-L 查看&&没有任何规则呢？
$ sudo iptables -t nat -A POSTROUTING -s 171.16.1.0/24 -o eth0 -j SNAT --to 1.58.xx.xxx
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target& &&&prot opt source& && && && && &destination
Chain FORWARD (policy ACCEPT)
target& &&&prot opt source& && && && && &destination
Chain OUTPUT (policy ACCEPT)
target& &&&prot opt source& && && && && &destination
这是什么原因呢？
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
UID空间积分0 积分48614阅读权限90帖子精华可用积分48614 信誉积分3402 专家积分0 在线时间5134 小时注册时间最后登录
富甲一方, 积分 48614, 距离下一级还需 1386 积分
帖子主题精华可用积分48614 信誉积分3402 专家积分0 在线时间5134 小时注册时间最后登录
认证徽章论坛徽章:32
sudo iptables -t nat -L
男性it民工
UID1730385空间积分805 积分177161阅读权限100帖子精华可用积分177161 信誉积分6663 专家积分563 在线时间23717 小时注册时间最后登录
帖子主题精华可用积分177161 信誉积分6663 专家积分563 在线时间23717 小时注册时间最后登录
认证徽章论坛徽章:374
你需要加-t nat参数才行，默认iptables显示的是-t filter，可以省略而已
好读书,不求甚解;每有会意,便欣然忘食
非淡泊无以明志，非宁静无以致远。如何配置Ubuntu 14.04中的IPTables防火墙_百度知道
如何配置Ubuntu 14.04中的IPTables防火墙
我有更好的答案
本系列的上一篇文章中我们简介了IPTables的工作方式，在本次介绍中我们将通过实例来向大家演示如何在Ubuntu 14.04中配置IPTables的规则。 IPTables基本命令 在向大家介绍复杂防火墙规则之前，还是先上一些简单的料，让大家对IPTables最为基本的命令有一些简单了解。 首先要说明的是IPTables命令必需以root权限运行，这意味着你需要使用root身份登录或者能够有权限使用su或sudo -i取得root Shell。下面的内容中我们都使用sudo，这也是Ubuntu系统上的首选方法。 最好的起点就是先通过“-L”参数来查看下当前系统的所有IPTables规则： sudo iptables -L
我们可以看到Linux中都有的3个常用默认链(INPUT、OUTPUT和FORWARD)，同时也可以看到每个链的缺省策略（每个链对默认策略都是接受），在此我们可以看到Ubuntu中...
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁如何启动、关闭和设置ubuntu防火墙
如何启动、关闭和设置ubuntu防火墙
就这句话就够了，下面的可以不看
enable|disable
由于LInux原始的防火墙工具iptables过于繁琐，所以ubuntu默认提供了一个基于iptable之上的防火墙工具ufw。
9.10默认的便是UFW防火墙，它已经支持界面操作了。在命令行运行ufw命令就可以看到提示的一系列可进行的操作。
最简单的一个操作：sudo ufw status可检查防火墙的状态，我的返回的是：不活动
sudo ufw version防火墙版本：
ufw 0.29-4ubuntu1
Canonical Ltd.
ubuntu 系统默认已安装ufw.
sudo apt-get install ufw
sudo ufw enable
sudo ufw default deny
运行以上两条命令后，开启了防火墙，并在系统启动时自动开启。关闭所有外部对本机的访问，但本机访问外部正常。
3.开启/禁用
sudo ufw allow|deny [service]
打开或关闭某个端口，例如：
sudo ufw allow smtp　允许所有的外部IP访问本机的25/tcp (smtp)端口
sudo ufw allow 22/tcp 允许所有的外部IP访问本机的22/tcp (ssh)端口
sudo ufw allow 53 允许外部访问53端口(tcp/udp)
sudo ufw allow from 192.168.1.100 允许此IP访问所有的本机端口
sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port
sudo ufw deny smtp 禁止外部访问smtp服务
sudo ufw delete allow smtp 删除上面建立的某条规则
4.查看防火墙状态
sudo ufw status
一般用户，只需如下设置：
sudo apt-get install ufw
sudo ufw enable
sudo ufw default deny
以上三条命令已经足够安全了，如果你需要开放某些服务，再使用sudo ufw allow开启。
开启/关闭防火墙 (默认设置是’disable’)
sudo &ufw enable|disable
转换日志状态
sudo &ufw logging on|off
设置默认策略 (比如 “mostly open” vs “mostly closed”)
sudo &ufw default allow|deny
许 可或者屏蔽端口 (可以在“status”
中查看到服务列表)。可以用“协议：端口”的方式指定一个存在于/etc/services中的服务名称，也可以通过包的meta-data。
‘allow’ 参数将把条目加入 /etc/ufw/maps ，而 ‘deny’ 则相反。基本语法如下：
sudo &ufw allow|deny [service]
显示防火墙和端口的侦听状态，参见 /var/lib/ufw/maps。括号中的数字将不会被显示出来。
sudo &ufw status
UFW 使用范例：
允许 53 端口
$ sudo ufw allow 53
禁用 53 端口
$ sudo ufw delete allow 53
允许 80 端口
$ sudo ufw allow 80/tcp
禁用 80 端口
$ sudo ufw delete allow 80/tcp
允许 smtp 端口
$ sudo ufw allow smtp
删除 smtp 端口的许可
$ sudo ufw delete allow smtp
允许某特定 IP
$ sudo ufw allow from 192.168.254.254
删除上面的规则
$ sudo ufw delete allow from 192.168.254.254
2.4内核以后提供了一个非常优秀的防火墙工具：netfilter/iptables,他免费且功能强大，可以对流入、流出的信息进行细化控制，它可以
实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构。
但是iptables的规则稍微有些“复杂”，因此ubuntu提供了ufw这个设定工具，以简化iptables的某些设定，其后台仍然是
iptables。ufw 即uncomplicated firewall的简称，一些复杂的设定还是要去iptables。
ufw相关的文件和文件夹有：
/etc /ufw/：里面是一些ufw的环境设定文件，如
before.rules、after.rules、sysctl.conf、ufw.conf，及 for ip6 的
before6.rule 及 after6.rules。这些文件一般按照默认的设置进行就ok。
若开启ufw之
后，/etc/ufw/sysctl.conf会覆盖默认的/etc/sysctl.conf文件，若你原来的/etc/sysctl.conf做了修
改，启动ufw后，若/etc/ufw/sysctl.conf中有新赋值，则会覆盖/etc/sysctl.conf的，否则还以/etc
/sysctl.conf为准。当然你可以通过修改/etc/default/ufw中的“IPT_SYSCTL=”条目来设置使用哪个
sysctrl.conf.
/var/lib/ufw/user.rules
这个文件中是我们设置的一些防火墙规则，打开大概就能看明白，有时我们可以直接修改这个文件，不用使用命令来设定。修改后记得ufw
reload重启ufw使得新规则生效。
下面是ufw命令行的一些示例：
ufw enable/disable:打开/关闭ufw
ufw status：查看已经定义的ufw规则
ufw default allow/deny:外来访问默认允许/拒绝
ufw allow/deny 20：允许/拒绝 访问20端口,20后可跟/tcp或/udp，表示tcp或udp封包。
ufw allow/deny
servicename:ufw从/etc/services中找到对应service的端口，进行过滤。
ufw allow proto tcp from 10.0.1.0/10 to 本机ip port
25:允许自10.0.1.0/10的tcp封包访问本机的25端口。
ufw delete allow/deny 20:删除以前定义的"允许/拒绝访问20端口"的规则
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}