1.手动执行iptables命令配置企业生产环境下的防火墙
生产环境下的防火墙的两种模式:
逛公园及看电影两种模式:
逛公园:默认的随便出入,对非法的分子进行拒绝。 企业应用:企业配置上网网关路由。
看电影:默认没有票进不去,花钱买票才能看。 企业应用:服务器主机防火墙
很显然:第二种更严格,更安全。
本质就是防火墙的默认规则是允许还是拒绝。
1).Remove any existing rules(清理当前所有规则和计数器)
#--flush -F(chain)
#清除当前所有链的规则
iptables -F
======================================================
2)#--zero -Z[chain]
#清除当前所有链的计数器
iptables -Z
======================================================
3)#删除用户自定义的链
iptables -X
=======================================================
2.配置允许SSH登录端口进入
#allow ssh port| 允许SSH端口通过
#--append -A chain
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24
-j ACCEPT
或
[root@iptables ~]# iptables -A INPUT -p tcp -s 10.0.0.0/24 -j ACCEPT
[root@iptables ~]# iptables -A INPUT -p tcp --dport 52113 -j ACCEPT
注意:此步骤是为了防止执行下面的步骤,把自己关在外面,除非你在本地处理
================================================================
3.设置允许本机lo通信规则
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
================================================================
4.设置默认的防火墙禁止和允许规则
#设置默认DROP掉FORWARD, INPUT 链,允许OUTPUT链
iptables -P OUTPUT ACCEPT
iptables --policy FORWARD DROP
iptables --policy INPUT DROP好于REJECT
此步骤完成后,所有的进入服务器的请求都将会被阻挡。
当然排除第二条SSH可以连接登录,设置了看电影的模式。
查看结果:
[root@lvs ~]# iptables -L -n
================================================================
5.开启信任的IP网段
#允许IDC LAN/WAN和办公网IP的访问,及对外合作机构访问。
iptables -A INPUT -s 192.168.13.1/24 -p all -j ACCEPT ---》办公室固定IP
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT ---》IDC机房内网IP
iptables -A INPUT -s 192.168.7.1/24 -p all -j ACCEPT ---》其他机房的内网IP
iptables -A INPUT -s 192.168.8.1/24 -p all -j ACCEPT ---》IDC机房外网IP
iptables -A INPUT -s 192.168.9.1/24 -p all -j ACCEPT ---》其他IDC机房外网网段
=============================================================
6.允许业务服务端口对外访问(允许http服务无条件通过)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
======================================================
7.允许icmp类型协议通过:
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
提示:如果不想开,就不执行此命令。
2)如果对内开,对外不开就用下面的方式
iptables -A INPUT -p icmp -s 192.168.13.1/24 -m icmp --icmp-type any -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
======================================================
8.允许关联的状态包通过(web服务不要使用FTP服务)
#允许关联的状态包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
解释:看电影出去去洗手间或 接电话,回来也允许进去
通过其他服务器扫描我们配置的防火墙:
[root@test ~]# nmap 192.168.13.1 -p 1-65535 --->时间很长
======================================================
9.生成永久防火墙配置文件:
上面的命令仅仅存放在了内存中,要想生成永久文件,必须保存成配置文件。
[root@iptables ~]# /etc/init.d.iptables save
将当前规则保存到 /etc/sysconfig/iptables: [确定]
[root@iptables ~]# cp /etc/sysconfig/iptables /etc/sysconfig/iptables.ori
[root@iptables ~]# /etc/init.d/iptables
iptables: Saving Firewall rules to /etc/sysconfig/iptables:[OK]
---------------------------------------------------------------------------------------
方法二:
[root@iptables ~]# iptables-save > /etc/sysconfig/iptables
提示:/etc/sysconfig/iptables 为iptables的默认配置文件路径
提示:第一次保存可以覆盖,以后保存只能追加。
======================================================
10.配置一个企业级防火墙
[root@ipt ~]# iptables -F
[root@ipt ~]# iptables -X
[root@ipt ~]# iptables -Z
[root@ipt ~]# iptables -A INPUT -p tcp --dport 52113 -s 192.168.13.0/24 -j ACCEPT
[root@ipt ~]# iptables -A INPUT -i lo -j ACCEPT
[root@ipt ~]# iptables -A INPUT -o lo -j ACCEPT
[root@ipt ~]# iptables -A INPUT -o lo -j ACCEPT
[root@ipt ~]# iptables -P INPUT DROP
[root@ipt ~]# iptables -P OUTPUT ACCEPT
[root@ipt ~]# iptables FORWARD DROP
[root@ipt ~]#
允许合法的进入:
iptables -A INPUT -s 192.168.13.1/24 -p all -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT
iptables -A INPUT -s 192.168.7.1/24 -p all -j ACCEPT
iptables -A INPUT -s 192.168.8.1/24 -p all -j ACCEPT
iptables -A INPUT -s 192.168.9.1/24 -p all -j ACCEPT
生成配置文件:
[root@ipt ~]# /etc/init.d/iptables save
iptables: Saving Firewall rules to /etc/sysconfig/iptables:[OK]
=======================(持续更新)================================
网友评论