IPTABLES簡介：在Linux上配置防火牆

至 在Linux中配置防火牆或防火牆，我們可以使用iptables，這個功能強大的工具似乎被許多用戶所遺忘。 儘管還有其他方法，例如ebtables和arptables在鏈接級別過濾流量，或在應用程序級別過濾Squid，但是iptables在大多數情況下非常有用，可以在網絡的流量和傳輸級別在我們的系統中實現良好的安全性。

Linux內核實現了iptables， 負責過濾數據包 在本文中，我們將教您以一種簡單的方式進行配置。 簡而言之，iptables可以識別哪些信息可以輸入和不能輸入，從而使您的團隊免受潛在威脅的影響。 而且，儘管還有其他項目，例如Firehol，Firestarter等，但其中許多防火牆程序都使用iptables ...

那麼， 讓我們開始工作，通過示例您將更好地理解一切 （對於這些情況，必須具有特權，因此在命令前使用sudo或成為root用戶）：

使用iptables的一般方法 創建過濾器策略是：

IPTABLES-參數I / O動作

其中-ARGUMENT是 我們將使用的論點，通常-P可以建立默認策略，儘管還有-L可以查看我們已配置的策略，-F可以刪除創建的策略，-Z可以重置字節和數據包計數器，等等。 另一個選項是-A添加策略（默認情況下不是），-I在特定位置插入規則，以及-D刪除給定規則。 還有其他一些參數指向-p協議，–sport源端口，–dport用於目標端口，-i傳入接口，-o傳出接口，-s源IP地址和-d目標IP地址。

此外，I / O表示是否 政治 它應用於INPUT輸入，OUTPUT輸出，或者是FORWARD流量重定向（還有其他功能，例如PREROUTING，POSTROUTING，但我們將不使用它們）。 最後，如果我們接受，我稱為ACTION的值可以為ACCEPT，如果拒絕則為REJECT，如果消除則為DROP。 DROP和REJECT之間的區別在於，當使用REJECT拒絕數據包時，發出該數據包的機器將知道該數據包已被拒絕，但是使用DROP它將默默地執行操作，攻擊者或來源將不知道發生了什麼，並且不會知道我們有防火牆還是連接剛剛失敗。 還有其他類似LOG的日誌，它發送syslog的後續信息...

修改規則，我們可以使用首選的文本編輯器nano，gedit等來編輯iptables文件，或使用規則創建腳本（如果要覆蓋它們，可以在行的前面加＃來實現，通過控制台使用命令來忽略它作為註釋），我們將在此處進行解釋。 在Debian及其衍生產品中，您還可以使用iptables-save和iptables-restore工具...

最極端的政策是封鎖一切，絕對所有流量，但這將使我們與世隔絕，包括：

iptables -P INPUT DROP

接受一切:

iptables -P INPUT ACCEPT

如果我們想要那 我們團隊的所有傳出流量都被接受:

iptables -P OUTPUT ACEPT

La 另一個徹底的行動是刪除所有政策 從iptables使用：

iptables -F

讓我們來看看更具體的規則假設您有一個Web服務器，因此必須允許通過端口80的通信：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

如果除了以前的規則，我們還希望有一個擁有iptables的團隊 僅由我們子網上的計算機看到 並沒有被外部網絡注意到：

iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT

在上一行中，我們對iptables所說的是添加規則-A，以便接受輸入輸入和通過端口80的TCP協議。 現在想像你要我 網頁瀏覽被拒絕 對於通過運行iptables的計算機的本地計算機：

iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP

我認為使用很簡單，考慮到iptables每個參數的用途，我們可以添加簡單的規則。 您可以執行我們想像的所有組合和規則...為了不進一步擴展自己，只需再添加一件事，那就是如果重新啟動計算機，則將刪除創建的策略。 這些表將重新啟動，並且將像以前一樣保持原來的狀態，因此，一旦您正確定義了規則， 如果你想讓他們永久，則必須使它們從/etc/rc.local啟動，或者如果您有Debian或衍生版本，請使用我們提供的工具（iptables-save，iptables-restore和iptables-apply）。