iptables是Linux防火墙工具,用于配置netfilter实现包过滤和NAT;通过iptables -L -n -v查看规则,-A添加规则允许回环、已建立连接及开放SSH/HTTP/HTTPS端口,设置默认DROP策略,可拒绝特定IP或端口访问,需用service iptables save或iptables-save保存规则以防重启丢失。
Linux系统中,iptables 是一个强大的防火墙工具,用于配置内核中的netfilter模块,实现数据包过滤、网络地址转换(NAT)等功能。通过合理设置iptables规则,可以有效保护服务器安全。以下是配置iptables防火墙规则的基本方法和常用操作。
查看当前防火墙规则
在修改规则前,先查看当前生效的规则:
iptables -L -n -v
参数说明:
-L:列出规则 -n:以数字形式显示IP和端口 -v:显示详细信息
若需查看特定链(如INPUT、OUTPUT、FORWARD)的规则,可加上链名:
iptables -L INPUT -n -v
添加基本访问规则
常用操作是允许或拒绝特定端口的访问。以下是一些典型示例:
允许本地回环接口通信(必要):
iptables -A INPUT -i lo -j ACCEPT
允许已建立的连接通过(保证已有会话不被阻断):
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
开放常用服务端口:
SSH(默认端口22):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
HTTP(80端口):
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
HTTPS(443端口):
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
拒绝或丢弃非法请求
默认策略通常设置为DROP或REJECT,增强安全性。
设置默认策略:
琅琅配音
全能AI配音神器
208 查看详情
iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT
拒绝特定IP访问:
iptables -A INPUT -s 192.168.1.100 -j DROP
阻止某个IP连接特定端口:
iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j REJECT
保存和恢复规则
iptables规则默认在重启后丢失,需手动保存。
在CentOS/RHEL系统中:
service iptables save
或使用:
iptables-save > /etc/iptables/rules.v4
恢复规则:
iptables-restore < /etc/iptables/rules.v4
Debian/Ubuntu系统建议安装 iptables-persistent 包自动保存规则。
基本上就这些。掌握iptables的核心在于理解链(chain)、表(table)、匹配条件和动作(ACCEPT、DROP等)。规则顺序很重要,靠前的规则优先匹配。配置时注意不要将自己锁在SSH之外,建议在本地或有备用访问方式下操作。
以上就是Linux如何使用iptables配置防火墙规则的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/431068.html
微信扫一扫 
支付宝扫一扫 
