linux下防火墻的設計示例

這篇文章給大家分享的是有關linux下防火墻的設計示例的內容。小編覺得挺實用的，因此分享給大家做個參考。一起跟隨小編過來看看吧。

應用規則如下：

• 清除已有規則，將原有的規則全部清除。

• 設定默認策略，將filter的input鏈默認策略設置為drop，其他的都設置為accept。

• 信任本機，對于回環網卡lo必須設置為可信任的。

• 響應數據包，對于主機主動向外請求的而響應的數據包可以進入本機(establish/related)

• 拒絕無效數據包，對于無效的數據包都拒絕（INVALID）

• 白名單，信任某些ip或網絡地址等

• 黑名單，不信任的ip或網絡地址等

• 允許icmp包，對于icmp包放行

• 開放部分端口， 有些服務的端口是必須要向外開放的，比如80、443、22等端口

我們準備制作3個shell腳本文件：iptables.rule、iptables.allow（白名單）、iptables.deny（黑名單）文件。這三個文件，我一般會先建立一個目錄/etc/iptables，這三個文件存在這個目錄。

下面，我們看這個iptables.rule的腳本內容：

#!/bin/bash
# iptables rule

# 清楚默認規則
iptables -F
iptables -X
iptables -Z

# 修改默認策略
iptables -P INPUT  DROP
iptables -P FORWARD  ACCEPT
iptables -P OUTPUT  ACCEPT

# 信任本機
iptables -A INPUT -i lo -j ACCEPT 

# 響應數據包
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

# 拒絕無效數據包
iptables -A INPUT  -m state --state INVALID -j DROP

# 白名單
if [ -f "/etc/iptables/iptables.allow" ];then
    sh /etc/iptables/iptables.allow
fi

# 黑名單
if [ -f "/etc/iptables/iptables.deny" ];then
    sh /etc/iptables/iptables.deny
fi

# 允許icmp包
iptables -A INPUT -p icmp -j ACCEPT

# 開放部分端口
iptables -A INPUT -p tcp --dport 22  -j ACCEPT # ssh服務
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # www服務
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # ssl

# 保存規則
/usr/libexec/iptables/iptables.init save

對于iptables.allow，我們一般會將信任的ip或網絡地址寫入到這個文件，比如該主機所在局域網絡為192.168.1.0/24，想要信任該局域網內的主機的話，可以在該文件寫入

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

而iptables.deny則是用來阻擋某些惡意ip的流量進入到本機，比如像阻擋8.210.247.5這個ip，可以在該文件寫入

iptables -A INPUT -s 8.210.247.5/32 -j DROP

在iptables.rule的最后，我們使用的命令來保存了防火墻規則，注意，如果不加入本命令，該規則只會零時生效，當重啟了iptables或重啟了系統，我們之前設定的規則就會失效了。

感謝各位的閱讀！關于linux下防火墻的設計示例就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！