目录:
- 1、iptables简单配置DMZ
- 2、CentOS-7.5 使用 iptables
- 3、LInux iptables 屏蔽设置
- 4、iptables规则持久化,启动配置
iptables简单配置DMZ
内网网段为:192.168.1.0/24
DMZ区网段为:172.16.1.0/24
新建iptables.sh,内容如下:
CentOS-7.5 使用 iptables
1、关闭 firewalld
由于 firewalld 是 CentOS-7系列的默认防火墙,因此如果想使用iptables的话,需要将CentOS-7系列的默认防火墙 firewalld 关闭,并安装 iptables-services
[root@shell ~]#
[root@shell ~]# systemctl stop firewalld.service #关闭
[root@shell ~]# systemctl disable firewalld.service #禁止开机自启动
[root@shell ~]# firewall-cmd --state #查看firewalld是否在运行
not running
[root@shell ~]#
2、安装iptables防火墙
[root@shell ~]#
[root@shell ~]# yum install iptables-services #安装iptables服务
[root@shell ~]# systemctl start iptables
[root@shell ~]# systemctl enable iptables #设置iptables为开机自启动
[root@shell ~]#
[root@shell ~]# cat /etc/sysconfig/iptables #查看iptables默认配置
[root@shell ~]#
[root@shell ~]#
[root@shell ~]# systemctl start iptables #启动 iptables
[root@shell ~]# systemctl status iptables #查看状态
[root@shell ~]#
[root@shell ~]# iptables -L #查看当前防火墙规则
3、配置防火墙规则
LInux iptables 屏蔽设置
1.修改SSH配置文件:/etc/ssh/sshd_config #找到Port 22,这里是标识默认使用22端口,修改为:
Port 22
Port 1234
/etc/init.d/sshd restart
#这样SSH端口将同时工作在22、1234上
查看防火墙规则
1、iptables -nvL
2、more /etc/sysconfig/iptables
2.添加防火墙规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 1234 -j ACCEPT
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart
然后使用SSH工具 测试 你所设置的端口是否能正常使用
如果能正常使用返回到第一步,删除原来的22端口,以及修改防火墙配置文件
之所以先设置成两个端口,测试成功后再关闭一个端口,是为了方式在修改的过程中,万一出现掉线、断网、误操作等未知情况时候,还能通过另外一个端口连接上去调试以免发生连接不上的状况。
开启自动启动:chkconfig iptables on
开启不自动启动:chkconfig iptables off
附录:
设定预设规则,INPUT链默认拒绝,OUTPUT链默认接受,FORWARD链默认拒绝
iptables -F #清除预设表filter中的所有规则链的规则
iptables -X #清除预设表filter中使用者自定链中的规则
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -L -n --line #按行数显示防火墙规则
iptables -D INPUT 1 #删除INPUT表第一条
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #来源、目的为127.0.0.1都接受,这条放最后就可以了
1、安装iptables防火墙
如果没有安装iptables需要先安装,CentOS执行:
yum install iptables
Debian/Ubuntu执行:
apt-get install iptables
2、清除已有iptables规则
iptables -F
iptables -X
iptables -Z
3、开放指定的端口
#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT (注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT
4、屏蔽IP
#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
5、查看已添加的iptables规则
iptables -L -n
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M) vps侦探
n:只显示IP地址和端口号,不将ip解析为域名
6、删除已添加的iptables规则
将所有iptables以序号标记显示,执行:
iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则,执行:
iptables -D INPUT 8
7、iptables的开机启动及规则保存
CentOS上可能会存在安装好iptables后,iptables并不开机自启动,可以执行一下:
chkconfig --level 345 iptables on
开启自动启动:chkconfig iptables on
开启不自动启动:chkconfig iptables off
将其加入开机启动。
CentOS上可以执行:
service iptables save
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart
保存规则。
另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的。
需要按如下步骤进行,让网卡关闭是保存iptables规则,启动时加载iptables规则:
创建/etc/network/if-post-down.d/iptables 文件,添加如下内容:
#!/bin/bash
iptables-save /etc/iptables.rules
执行:chmod +x /etc/network/if-post-down.d/iptables 添加执行权限。
创建/etc/network/if-pre-up.d/iptables 文件,添加如下内容:
#!/bin/bash
iptables-restore /etc/iptables.rules
执行:chmod +x /etc/network/if-pre-up.d/iptables 添加执行权限。
关于更多的iptables的使用方法可以执行:iptables --help或网上搜索一下iptables参数的说明。
注:每次服务在停止之前会自动将现有的规则保存
在 /etc/sysconfig/iptables 这个文件中去.
iptables规则持久化,启动配置
sudo sh -c "iptables-save /etc/iptables.rules"
使用该命令可以保存当前系统的iptables规则到特定文件。可以直接使用 iptables-save /etc/iptables.rules 命令字串,但为了避免可能触发的重定向的权限问题,这里使用了 -c 选项,将这条字串变成一个整体的命令来执行。
(注意:如果对该文件直接进行了错误的配置,可能会关闭或禁用所有的网络接口,导致你无法远程连接)
对该文件修改前,我们需要知道是对哪个网络接口进行配置。确定后,将相应的规则在相应的接口配置记录下面:
pre-up iptables-restore /etc/iptables.rules
pre-up表示网卡启动前的动作
post-down iptables-restore /etc/iptables.downrules
此外也可以配置相应的网卡关闭后的动作post-down,这里我们用不同的规则文件区分开来
完整的接口配置如下所示:
(第一行‘auto’表示自动启动,‘inet dhcp’表示dhcp方式管理ip等参数设置)
sudo sh -c "iptables-save -c /etc/iptables.rules"
此外,上述命令iptables-save 使用 -c 表示counter,即同时记录规则和网络收发的数据包的数量。
在这两个文件夹中新建相应的脚本文件(文件名不能包含“·”)
新建/etc/network/if-pre-up.d/iptablesload
新建/etc/network/if-post-down.d/iptablessave
之后我们还要确保脚本可执行
sudo chmod +x /etc/network/if-post-down.d/iptablessave
sudo chmod +x /etc/network/if-pre-up.d/iptablesload
sudo apt install iptables-persistent
安装完成后,使用 netfilter-persistent 命令管理
将所想要保存的规则写入相应的rules.ipv4/rules.ipv6文件
iptables-save /etc/iptables/rules.v4
ip6tables-save /etc/iptables/rules.v6
参考
