這篇文章給大家分享的是有關(guān)linux下防火墻的設(shè)計(jì)示例的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考。一起跟隨小編過來看看吧。

目前成都創(chuàng)新互聯(lián)公司已為1000+的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁(yè)空間、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計(jì)、羅湖網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

應(yīng)用規(guī)則如下：

• 清除已有規(guī)則，將原有的規(guī)則全部清除。

• 設(shè)定默認(rèn)策略，將filter的input鏈默認(rèn)策略設(shè)置為drop，其他的都設(shè)置為accept。

• 信任本機(jī)，對(duì)于回環(huán)網(wǎng)卡lo必須設(shè)置為可信任的。

• 響應(yīng)數(shù)據(jù)包，對(duì)于主機(jī)主動(dòng)向外請(qǐng)求的而響應(yīng)的數(shù)據(jù)包可以進(jìn)入本機(jī)(establish/related)

• 拒絕無效數(shù)據(jù)包，對(duì)于無效的數(shù)據(jù)包都拒絕（INVALID）

• 白名單，信任某些ip或網(wǎng)絡(luò)地址等

• 黑名單，不信任的ip或網(wǎng)絡(luò)地址等

• 允許icmp包，對(duì)于icmp包放行

• 開放部分端口， 有些服務(wù)的端口是必須要向外開放的，比如80、443、22等端口

我們準(zhǔn)備制作3個(gè)shell腳本文件：iptables.rule、iptables.allow（白名單）、iptables.deny（黑名單）文件。這三個(gè)文件，我一般會(huì)先建立一個(gè)目錄/etc/iptables，這三個(gè)文件存在這個(gè)目錄。

下面，我們看這個(gè)iptables.rule的腳本內(nèi)容：

#!/bin/bash
# iptables rule

# 清楚默認(rèn)規(guī)則
iptables -F
iptables -X
iptables -Z

# 修改默認(rèn)策略
iptables -P INPUT  DROP
iptables -P FORWARD  ACCEPT
iptables -P OUTPUT  ACCEPT

# 信任本機(jī)
iptables -A INPUT -i lo -j ACCEPT 

# 響應(yīng)數(shù)據(jù)包
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

# 拒絕無效數(shù)據(jù)包
iptables -A INPUT  -m state --state INVALID -j DROP

# 白名單
if [ -f "/etc/iptables/iptables.allow" ];then
    sh /etc/iptables/iptables.allow
fi

# 黑名單
if [ -f "/etc/iptables/iptables.deny" ];then
    sh /etc/iptables/iptables.deny
fi

# 允許icmp包
iptables -A INPUT -p icmp -j ACCEPT

# 開放部分端口
iptables -A INPUT -p tcp --dport 22  -j ACCEPT # ssh服務(wù)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # www服務(wù)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # ssl

# 保存規(guī)則
/usr/libexec/iptables/iptables.init save

對(duì)于iptables.allow，我們一般會(huì)將信任的ip或網(wǎng)絡(luò)地址寫入到這個(gè)文件，比如該主機(jī)所在局域網(wǎng)絡(luò)為192.168.1.0/24，想要信任該局域網(wǎng)內(nèi)的主機(jī)的話，可以在該文件寫入

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

而iptables.deny則是用來阻擋某些惡意ip的流量進(jìn)入到本機(jī)，比如像阻擋8.210.247.5這個(gè)ip，可以在該文件寫入

iptables -A INPUT -s 8.210.247.5/32 -j DROP

在iptables.rule的最后，我們使用的命令來保存了防火墻規(guī)則，注意，如果不加入本命令，該規(guī)則只會(huì)零時(shí)生效，當(dāng)重啟了iptables或重啟了系統(tǒng)，我們之前設(shè)定的規(guī)則就會(huì)失效了。

感謝各位的閱讀！關(guān)于linux下防火墻的設(shè)計(jì)示例就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！

網(wǎng)站名稱：linux下防火墻的設(shè)計(jì)示例-創(chuàng)新互聯(lián)
當(dāng)前鏈接：http://jinyejixie.com/article12/csdegc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、用戶體驗(yàn)、品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站導(dǎo)航、微信公眾號(hào)、App設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)