Linux iptables応用実戦(一)
「Linux iptables:ルール原理と基礎」と「Linux iptables:ルール構成」はiptablesの基礎とiptablesルールの構成を紹介し、本編では実際の操作によってiptables応用シーンの実際のプレゼンテーションを行う。
ファイアウォール設定ポリシーファイアウォールの設定ポリシーは、一般的に2つに分けられます。1つは「通」ポリシー、1つは「塞ぐ」ポリシーです。
パスポリシーでは、デフォルトのすべてのパケットは許可されていません。許可されたパケットについてルールを定義します。
ブロッキングポリシーは、デフォルトのすべてのパケットがすべて許可され、拒否するパケットに対してルールが定義されます。
一般的にサーバのファイアウォールの設定は第1のポリシーを採用しており、セキュリティが高く、本編で紹介するシーンの実戦も「通」ポリシーを採用しています。
シーン実戦定義本編では、以下のシーン定義のルールを実装するとします。
1、すべてのアドレスに対して本機の80、22、10-21ポートを開放する。
2、すべてのアドレスに対してICMPプロトコルのパケットアクセスを開放する;
3、他の許可されていないポートはアクセス禁止です。
iptablesルール実装以上定義したコマンド操作を実行します。
コードのコピーiptables -F
コードのコピー
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
コードのコピー
iptables -I INPUT -p icmp -j ACCEPT
コードのコピー
iptables -A INPUT -j REJECT
コードのコピー
iptables -L -n
iptablesルール定義のポイント
以上の操作中にいくつかの注意点があります。
1、必ず22ポートのアクセスを許可しなければならない。そうしないと、iptables-A INPUT-j REJECTを入力すると、SSHはすぐに切断され、遠隔操作ができない。
2、iptables-A INPUT-j REJECTは必ずAコマンドを使用してルールの末尾に追加し、Iコマンドを使用して挿入することができず、拒否操作を最後に有効にする。