好看的课外书,欢乐颂小说在线阅读

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

如何解決linux防火墻規(guī)則重啟問題？(linux防火墻規(guī)則重啟問題)

Linux防火墻是保障服務(wù)器安全的重要組成部分之一，但有時會遇到防火墻規(guī)則重啟的問題，這會導(dǎo)致防火墻規(guī)則失效，服務(wù)器安全受到威脅。為了解決這個問題，我們需要了解防火墻規(guī)則重啟的原因以及如何正確的解決這個問題。

“只有客戶發(fā)展了，才有我們的生存與發(fā)展！”這是創(chuàng)新互聯(lián)建站的服務(wù)宗旨！把網(wǎng)站當作互聯(lián)網(wǎng)產(chǎn)品，產(chǎn)品思維更注重全局思維、需求分析和迭代思維，在網(wǎng)站建設(shè)中就是為了建設(shè)一個不僅審美在線，而且實用性極高的網(wǎng)站。創(chuàng)新互聯(lián)對網(wǎng)站設(shè)計制作、成都做網(wǎng)站、網(wǎng)站制作、網(wǎng)站開發(fā)、網(wǎng)頁設(shè)計、網(wǎng)站優(yōu)化、網(wǎng)絡(luò)推廣、探索永無止境。

防火墻規(guī)則重啟的原因

1. 系統(tǒng)升級或更換硬件

在系統(tǒng)升級或更換硬件時，可能會導(dǎo)致防火墻規(guī)則失效，需要重新設(shè)置防火墻規(guī)則。

2. 防火墻軟件更新

防火墻軟件更新時，可能會導(dǎo)致防火墻規(guī)則失效，需要重新設(shè)置防火墻規(guī)則。

3. 誤操作

一些管理員可能會在不知情的情況下誤操作了防火墻規(guī)則設(shè)置，導(dǎo)致防火墻規(guī)則失效。

如何正確解決防火墻規(guī)則重啟的問題

1. 創(chuàng)建腳本文件

創(chuàng)建腳本文件可以幫助我們解決防火墻規(guī)則重啟的問題。我們可以在腳本文件中設(shè)置需要恢復(fù)的防火墻規(guī)則，然后在服務(wù)器重啟時運行腳本文件即可。

以下是創(chuàng)建腳本文件的步驟：

Step1. 創(chuàng)建一個新的 shell 腳本：

$ sudo vi /opt/fw-rules

Step2. 添加防火墻規(guī)則

在腳本文件中，我們可以添加需要恢復(fù)的防火墻規(guī)則，例如：

#!/bin/sh

/in/iptables -P INPUT ACCEPT

/in/iptables -F

/in/iptables -A INPUT -i lo -j ACCEPT

/in/iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

/in/iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT

/in/iptables -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT

/in/iptables -A INPUT -j REJECT –reject-with icmp-host-prohibited

Step3. 保存并關(guān)閉文件

按 Esc 鍵，輸入 :wq 保存并關(guān)閉文件。

2. 設(shè)置自動運行腳本

為了確保每次服務(wù)器重啟后都能運行腳本文件，我們需要設(shè)置自動運行腳本。在 Linux 中可以使用 cron 服務(wù)實現(xiàn)定時任務(wù)。

以下是設(shè)置自動運行腳本的步驟：

Step1. 編輯 crontab 文件：

$ sudo crontab -e

Step2. 添加定時任務(wù)：

在文件中添加以下內(nèi)容，定時運行腳本文件：

@reboot /bin/sh /opt/fw-rules

Step3. 保存并關(guān)閉文件

按 Esc 鍵，輸入 :wq 保存并關(guān)閉文件。

3. 使用 iptables-save 和 iptables-restore 命令

iptables-save 和 iptables-restore 命令是防火墻規(guī)則管理的工具。我們可以使用 iptables-save 命令將當前的防火墻規(guī)則保存在文件中，然后在需要恢復(fù)規(guī)則時，使用 iptables-restore 命令即可恢復(fù)。

以下是使用 iptables-save 和 iptables-restore 命令的步驟：

Step1. 保存當前的防火墻規(guī)則：

$ sudo iptables-save > /opt/fw-rules

Step2. 恢復(fù)防火墻規(guī)則：

$ sudo iptables-restore

防火墻規(guī)則重啟是服務(wù)器安全問題的一個重要方面，我們需要注意防火墻規(guī)則的設(shè)置和管理，確保防火墻規(guī)則在重啟后能夠正確的恢復(fù)。我們可以通過創(chuàng)建腳本文件、設(shè)置自動運行腳本和使用 iptables-save 和 iptables-restore 命令等方式來解決防火墻規(guī)則重啟的問題。希望這篇文章可以幫助大家更好的保障服務(wù)器的安全。

相關(guān)問題拓展閱讀：

linux 服務(wù)器防火墻設(shè)置問題
如何在Linux中啟動/停止和啟用/禁用FirewallD和Iptables防火墻
如何配置linux下的防火墻？

linux 服務(wù)器防火墻設(shè)置問題

iptables 是建立在 netfilter 架構(gòu)基礎(chǔ)上的一個包過濾管理工具，最主要的作用是用來做防火墻或透明代理。Iptables 從 ipchains 發(fā)展而來，它的功能更為強大。Iptables 提供以下三種功能：包過濾、NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和悄滾扮通用的 pre-route packet mangling。包過濾：用來過濾包，但是不修改包的內(nèi)容。Iptables 在包過濾方面相對于 ipchians 的主要優(yōu)點是速度更快，使用更方便。NAT：NAT 可以分為源地址 NAT 和目的地址 NAT。

Iptables 可以追加、插入或刪除包過濾規(guī)則。實際上真正執(zhí)行這些過慮規(guī)則的是 netfilter 及其相關(guān)模塊（如 iptables 模塊和 nat 模塊）。Netfilter 是 Linux 核心中一個通用架構(gòu)，它提供了一系列的 “表”（tables），每個表由若干 “鏈”（chains）組成，而每條鏈中可以有一條或數(shù)條 “規(guī)則”（rule）組成。

系統(tǒng)缺省的表為 “filter”，該表中包含了 INPUT、FORWARD 和 OUTPUT 3 個鏈。

每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的：如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個數(shù)據(jù)包。當一個數(shù)據(jù)包到達一個鏈時，系統(tǒng)就會從之一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會根據(jù)該鏈預(yù)先定義的策略來處理該數(shù)據(jù)包。

? table，chain，rule

iptables 可以操縱3 個表：filter 表，nat 表，mangle 表。

NAT 和一般的 mangle 用 -t 參數(shù)指定要操作哪個表。filter 是默認的表，如果沒有 -t 參數(shù)，就默認對 filter 表操作。

Rule 規(guī)則：過濾規(guī)則，端口轉(zhuǎn)發(fā)規(guī)則等，例如：禁止任何機器 ping 我們的服務(wù)器，可以在服務(wù)器上設(shè)置一條規(guī)則：

iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP

從 –s 開始即是一條規(guī)則，-j 前面是規(guī)則的條件，-j 開始是規(guī)則的行為（目的）。整條命令解釋為，在filter 表中的 INPUT 規(guī)則鏈中插入一條規(guī)則，所有源啟灶地址不為 127.0.0.1 的 icmp 包都被拋棄。

Chain 規(guī)則鏈：由一系列規(guī)則組成，每個包順序經(jīng)備歷過 chain 中的每一條規(guī)則。chain 又分為系統(tǒng) chain和用戶創(chuàng)建的 chain。下面先敘述系統(tǒng) chain。

filter 表的系統(tǒng) chain： INPUT，F(xiàn)ORWAD，OUTPUT

nat 表的系統(tǒng) chain： PREROUTING，POSTROUTING，OUTPUT

mangle 表的系統(tǒng) chain： PREROUTING，OUTPUT

每條系統(tǒng) chain 在確定的位置被檢查。比如在包過濾中，所有的目的地址為本地的包，則會進入INPUT 規(guī)則鏈，而從本地出去的包會進入 OUTPUT 規(guī)則鏈。

所有的 table 和 chain 開機時都為空，設(shè)置 iptables 的方法就是在合適的 table 和系統(tǒng) chain 中添相應(yīng)的規(guī)則。

——

IPTABLES 語法：

表: iptables從其使用的三個表（filter、nat、mangle）而得名, 對包過濾只使用 filter 表, filter還是默認表,無需顯示說明.

操作命令: 即添加、刪除、更新等。

鏈：對于包過濾可以針對filter表中的INPUT、OUTPUT、FORWARD鏈，也可以操作用戶自定義的鏈。

規(guī)則匹配器：可以指定各種規(guī)則匹配，如IP地址、端口、包類型等。

目標動作：當規(guī)則匹配一個包時，真正要執(zhí)行的任務(wù)，常用的有：

ACCEPT 允許包通過

DROP 丟棄包

一些擴展的目標還有：

REJECT 拒絕包，丟棄包同時給發(fā)送者發(fā)送沒有接受的通知

LOG 包有關(guān)信息記錄到日志

TOS 改寫包的TOS值

為使FORWARD規(guī)則能夠生效,可使用下面2種方法的某種:

# vi /proc/sys/net/ipv4/ip_forward

# echo “1” > /proc/sys/net/ipv4/ip_forward

# vi /etc/sysconfig/network

# echo “FORWARD_IPV4=true” > /etc/sysconfig/network

iptables語法可以簡化為下面的形式:

iptables CMD

常用操作命令:

-A 或 -append 在所選鏈尾加入一條或多條規(guī)則

-D 或 -delete 在所選鏈尾部刪除一條或者多條規(guī)則

-R 或 -replace 在所選鏈中替換一條匹配規(guī)則

-I 或 -insert 以給出的規(guī)則號在所選鏈中插入一條或者多條規(guī)則. 如果規(guī)則號為1,即在鏈頭部.

-L 或 -list 列出指定鏈中的所有規(guī)則,如果沒有指定鏈,將列出鏈中的所有規(guī)則.

-F 或 -flush 清除指定鏈和表中的所由規(guī)則, 假如不指定鏈,那么所有鏈都將被清空.

-N 或 -new-chain 以指定名創(chuàng)建一條新的用戶自定義鏈,不能與已有鏈名相同.

-X 或 -delete-chain 刪除指定的用戶定義簾,必需保證鏈中的規(guī)則都不在使用時才能刪除,若沒有指定鏈,則刪除所有用戶鏈.

-P 或 -policy 為永久簾指定默認規(guī)則(內(nèi)置鏈策略),用戶定義簾沒有缺省規(guī)則,缺省規(guī)則也使規(guī)則鏈中的最后一條規(guī)則,用-L顯示時它在之一行顯示.

-C 或 -check 檢查給定的包是否與指定鏈的規(guī)則相匹配.

-Z 或 -zero 將指定簾中所由的規(guī)則包字節(jié)(BYTE)計數(shù)器清零.

-h 顯示幫助信息.

—–

常用匹配規(guī)則器:

-p , protocol 指出要匹配的協(xié)議,可以是tcp, udp, icmp, all, 前綴!為邏輯非,表示除該協(xié)議外的所有協(xié)議.

-s address 指定源地址或者地址范圍.

-sport port 指定源端口號或范圍,可以用端口號也可以用/ETC/SERVICES文件中的名子.

-d address 指定目的地址或者地址范圍.

-dport port 指定目的端口號或范圍,可以用端口號也可以用/ETC/SERVICES文件中的名子.

-icmp-type typename 指定匹配規(guī)則的ICMP信息類型(可以使用 iptables -p icmp -h 查看有效的ICMP類型名)

-i interface name 匹配單獨或某種類型的接口,此參數(shù)忽略時,默認符合所有接口,接口可以使用”!”來匹配捕食指定接口來的包.參數(shù)interface是接口名,如 eth0, eht1, ppp0等,指定一個目前不存在的接口是完全合法的,規(guī)則直到接口工作時才起作用,折中指定對于PPP等類似連接是非常有用的.”+”表示匹配所有此類型接口.該選項只針對于INPUT,FORWARD和PREROUTING鏈是合法的.

-o interface name 匹配規(guī)則的對外網(wǎng)絡(luò)接口,該選項只針對于OUTPUT,FORWARD,POSTROUTING鏈是合法的.

–syn 僅僅匹配設(shè)置了SYN位, 清除了ACK, FIN位的TCP包. 這些包表示請求初始化的TCP連接.阻止從接口來的這樣的包將會阻止外來的TCP連接請求.但輸出的TCP連接請求將不受影響.這個參數(shù)僅僅當協(xié)議類型設(shè)置為了TCP才能使用. 此參數(shù)可以使用”!”標志匹配已存在的返回包,一般用于限制網(wǎng)絡(luò)流量,即只允許已有的,向外發(fā)送的連接所返回的包.

—

如何制定永久規(guī)則集:

/etc/sysconfig/iptables 文件是 iptables 守護進程調(diào)用的默認規(guī)則集文件.

可以使用以下命令保存執(zhí)行過的IPTABLES命令:

/in/iptables-save > /etc/sysconfig/iptables

要恢復(fù)原來的規(guī)則庫,可以使用:

/in/iptables-restore

iptables命令和route等命令一樣,重啟之后就會恢復(fù),所以:

# service iptables save

將當前規(guī)則儲存到 /etc/sysconfig/iptables：

令一種方法是 /etc/rc.d/init.d/iptables 是IPTABLES的啟動腳本,所以:

# /etc/rc.d/init.d/iptables save

將當前規(guī)則儲存到 /etc/sysconfig/iptables：

以上幾種方法只使用某種即可.

若要自定義腳本,可直接使用iptables命令編寫一個規(guī)則腳本,并在啟動時執(zhí)行:

例如若規(guī)則使用腳本文件名/etc/fw/rule, 則可以在/etc/rc.d/rc.local中加入以下代碼:

if ; then /etc/fw/sule; fi;

這樣每次啟動都執(zhí)行該規(guī)則腳本,如果用這種方法,建議NTSYSV中停止IPTABLES.

—

實例：

鏈基本操作：

# iptables -L -n

（列出表/鏈中的所有規(guī)則，包過濾防火墻默認使用的是filter表，因此使用此命令將列出filter表中所有內(nèi)容，-n參數(shù)可加快顯示速度，也可不加-n參數(shù)。）

# iptables -F

（清除預(yù)設(shè)表filter中所有規(guī)則鏈中的規(guī)則）

# iptables -X

（清除預(yù)設(shè)表filter中使用者自定義鏈中的規(guī)則）

# iptables -Z

（將指定鏈規(guī)則中的所有包字節(jié)計數(shù)器清零）

—-

設(shè)置鏈的默認策略，默認允許所有，或者丟棄所有：

# iptables -P INPUT ACCEPT

# iptables -P OUTPUT ACCEPT

# iptables -P FORWARD ACCEPT

（以上我們在不同方向設(shè)置默認允許策略，若丟棄則應(yīng)是DROP，嚴格意義上防火墻應(yīng)該是DROP然后再允許特定）

向鏈中添加規(guī)則，下面的例子是開放指定網(wǎng)絡(luò)接口（信任接口時比較實用）：

# iptables -A INPUT -i eth1 -j ACCEPT

# iptables -A OUTPUT -o eth1 -j ACCEPT

# iptables -A FORWARD -i eth1 -j ACCEPT

# iptables -A FORWARD -o eth1 -j ACCEPT

——

使用用戶自定義鏈：

# iptables -N brus

（創(chuàng)建一個用戶自定義名叫brus的鏈）

# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP

（在此鏈中設(shè)置了一條規(guī)則）

# iptables -A INPUT -s 0/0 -d 0/0 -j brus

（向默認的INPUT鏈添加一條規(guī)則，使所有包都由brus自定義鏈處理）

基本匹配規(guī)則實例：

匹配協(xié)議：

iptables -A INPUT -p tcp

（指定匹配協(xié)議為TCP）

iptables -A INPUT -p ! tcp

（指定匹配TCP以外的協(xié)議）

匹配地址：

iptables -A INPUT -s 192.168.1.1

（匹配主機）

iptables -A INPUT -s 192.168.1.0/24

（匹配網(wǎng)絡(luò)）

iptables -A FORWARD -s ! 192.168.1.1

（匹配以外的主機）

iptables -A FORWARD -s ! 192.168.1.0/24

（匹配以外的網(wǎng)絡(luò)）

匹配接口：

iptables -A INPUT -i eth0

iptables -A FORWARD -o eth0

（匹配某個指定的接口）

iptables -A FORWARD -o ppp+

（匹配所有類型為ppp的接口）

匹配端口：

iptables -A INPUT -p tcp –sport www

iptables -A INPUT -p tcp –sport 80

（匹配單一指定源端口）

iptables -A INPUT -p ucp –dport 53

（匹配單一指定目的端口）

iptables -A INPUT -p ucp –dport ! 53

（指定端口以外）

iptables -A INPUT -p tcp –dport 22:80

（指定端口范圍，這里我們實現(xiàn)的是22到80端口）

指定IP碎片的處理：

# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.1.234 –dport 80 -j ACCEPT

# iptables -A FORWARD -f -p tcp -s 192.168.1.0/24 -d 192.168.1.234 –dport 80 -j ACCEPT

# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCEPT tcp.168.1.0/.168.1.tcp dpt:http

ACCEPT tcp -f 192.168.1.0/.168.1.tcp dpt:http

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

設(shè)置擴展的規(guī)測匹配：

（希望獲得匹配的簡要說明，可使用： iptables -m name_of_match –help）

多端口匹配擴展：

iptables -A INPUT -p tcp -m multiport –source-port 22,53,80

（匹配多個源端口）

iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80

（匹配多個目的端口）

iptables -A INPUT -p tcp -m multiport –port 22,53,80

（匹配多個端口，無論是源還是目的端口）

TCP匹配擴展：

iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN

（表示SYN、ACK、FIN的標志都要被檢查，但是只有設(shè)置了SYN的才匹配）

iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK

（表示ALL：SYN、ACK、FIN、RST、URG、PSH的標志都被檢查，但是只有設(shè)置了SYN和ACK的才匹配）

iptables -p tcp –syn

（選項–syn是以上的一種特殊情況，相當于“–tcp-flags SYN,RST,ACK SYN”的簡寫）

limit速率匹配擴展：

# iptables -A FORWARD -m limit –limit 300/hour

（表示限制每小時允許通過300個數(shù)據(jù)包）

# iptables -A INPUT -m limit –limit-burst 10

（–limit-burst指定觸發(fā)時間的值(默認為5)，用來比對瞬間大量數(shù)據(jù)包的數(shù)量。）

（上面的例子用來比對一次同時涌入的數(shù)據(jù)包是否超過十個，超過此上限的包將直接被丟棄）

# iptables -A FORWARD -p icmp -m limit –limit 3/m –limit-burst 3

（假設(shè)均勻通過，平均每分鐘3個，那么觸發(fā)值burst保持為3。如果每分鐘通過的包的數(shù)目小于3，那么觸發(fā)值busrt將在每個周期(若每分鐘允許通過3個，則周期數(shù)為20秒)后加1，但更大值為3。每分鐘要通過的包數(shù)量如果超過3，那么觸發(fā)值busrt將減掉超出的數(shù)值，例如第二分鐘有4個包，那么觸發(fā)值變?yōu)?，同時4個包都可以通過，第三分鐘有6個包，則只能通過5個，觸發(fā)值busrt變?yōu)?。之后，每分鐘如果包數(shù)量小于等于3個，則觸發(fā)值busrt將加1，如果每分鐘包數(shù)大于3，觸發(fā)值busrt將逐漸減少，最終維持為0）

（即每分鐘允許的更大包數(shù)量等于限制速率(本例中為3)加上當前的觸發(fā)值busrt數(shù)。任何情況下，都可以保證3個包通過，觸發(fā)值busrt相當于是允許額外的包數(shù)量）

基于狀態(tài)的匹配擴展（連接跟蹤）：

每個網(wǎng)絡(luò)連接包括以下信息：源和目的地址、源和目的端口號，稱為套接字對(cocket pairs)；協(xié)議類型、連接狀態(tài)(TCP協(xié)議)和超時時間等。防火墻把這些叫做狀態(tài)(stateful)。能夠監(jiān)測每個連接狀態(tài)的防火墻叫做狀態(tài)寶過濾防火墻，除了能完成普通包過濾防火墻的功能外，還在自己的內(nèi)存中維護一個跟蹤連接狀態(tài)的表，所以擁有更大的安全性。

其命令格式如下：

iptables -m state –state state

state表示一個用逗號隔開的的列表，用來指定的連接狀態(tài)可以有以下4種：

NEW：該包想要開始一個連接（重新連接或?qū)⑦B接重定向）。

RELATED：該包屬于某個已經(jīng)建立的連接所建立的新連接。例如FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。

ESTABLISHED：該包屬于某個已經(jīng)建立的連接。

INVALID：該包不匹配于任何連接，通常這些包會被DROP。

例如：

# iptables -A INPUT -m state –state RELATED,ESTABLISHED

（匹配已經(jīng)建立的連接或由已經(jīng)建立的連接所建立的新連接。即匹配所有的TCP回應(yīng)包）

# iptables -A INPUT -m state –state NEW -i ! eth0

（匹配所有從非eth0接口來的連接請求包）

下面是一個被動(Passive)FTP連接模式的典型連接跟蹤

# iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT

下面是一個主動(Active)FTP連接模式的典型連接跟蹤

# iptables -A INPUT -p tcp –sport 20 -m state –state ESTABLISHED,RELATED -j ACCEPT

# iptables -A INPUT -p tcp –dport 20 -m state –state ESTABLISHED -j ACCEPT

—

日志記錄：

格式為： -j LOG –log-level 7 –log-prefix “……”

# iptables -A FORWARD -m tcp -p tcp -j LOG

# iptables -A FORWARD -m icmp -p icmp -f -j LOG

# iptables -A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -p tcp –sport 80 -j LOG

# iptables -A INPUT -m limit –limit 3/minute –limit-burst 3 -j LOG –log-prefix “INPUT packet died:”

# iptables -A INPUT -p tcp ! –syn -m state –state NEW -j LOG –log-prefix “New net syn:”

——

回答你的問題:

1:設(shè)置為DROP默認不允許,然后你再開啟,這樣比門戶大開再阻止某些服務(wù)來的安全(避免遺漏)

2:前面阻止了后面就無效了,有先后順序的.

3:你了解了服務(wù)和端口號等即可用規(guī)則限制.

如培敏果159.226是一個公網(wǎng)IP，那本來就能訪問外部了。

如果你說的是對配世枝端服務(wù)器上的防火墻設(shè)置，把下面內(nèi)返早容寫入一個文本，再用sh調(diào)用就可了

iptables -F

iptables -X

iptables -P INPUT DROP

iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -m multiport –dport 22,389 -m state –state NEW -j ACCEPT

iptables -I INPUT -s 159.226.49.0/24 -d XXXX(Server IP) –dport 22 -j ACCEPT

其他把22換成相斗亂應(yīng)的端空鬧檔口號,照著寫即彎配可.

如何在Linux中啟動/停止和啟用/禁用FirewallD和Iptables防火墻

在Linux系統(tǒng)中不同的版本系統(tǒng)對服務(wù)的操作是不一樣的。

在RHEL&Centos6版本及之前的版本中對服務(wù)的管理是這樣的：

#service 服務(wù)名 start/stop/status/restart/reload

例如：

#service iptables status \\iptables 的狀態(tài)

#service iptables stop \搏培\iptables 停止

#service iptables restart \\iptables重啟

#chkconfig iptables on \\開機自啟

#chkconfig iptables off \\開機關(guān)閉

在RHEL&Centos6版本及之前的版本中對服務(wù)的管理是這樣的：

#systemct start/stop/status/restart/reload 服灶銀森務(wù).service

例如：

#systemctl start firewalld \\啟用firewalld

#systemctl stop firewalld \\關(guān)閉firewalld

#systemctl enabledfirewalld \\開機啟用firewalld

#systemctl disabled firewalld \\開機禁用firewalld

如何配置linux下的防火墻？

Linux下開啟/關(guān)閉防火墻命令

1、永久性生效，重啟后不會復(fù)原。

開啟： chkconfig iptables on

關(guān)閉： chkconfig iptables off

2、即時扒皮生效，重啟后復(fù)原

開啟： service iptables start

關(guān)閉： service iptables stop

需要說明的是對于Linux下的其它服務(wù)都可以用以上命令執(zhí)行開啟和關(guān)閉操作。

擴展圓罩資料

linux配置防火墻規(guī)則：

1、在Linux系統(tǒng)中查找并打開文件以編輯和配置防火墻，執(zhí)行命令。： vi /etc/sysconfig/iptables。

2、將以下語句添加到上面打開的文件中：-A INPUT -m state -state NEW -m tcp -p tcp -dport 80 -j ACCEPT（允許端口80通過防火墻，這里以端口80為橘此鬧例）。

請注意，上述語句不會加載文件的最后一面，這將導(dǎo)致防火墻無法啟動。應(yīng)將正確的一個添加到默認的22端口規(guī)則中。

3、配置防火墻規(guī)則

# Manual customization of this file is not recommended.

4、重啟防火墻，使配置生效。

/etc/init.d/iptables restart或者service iptables restart

重啟如下：

配置linux下的防火墻的方法，可以通過握運以下步驟操作來實現(xiàn)：

一、在Linux系統(tǒng)中安裝Iptables防火墻

1、Linux發(fā)行版都預(yù)裝了Iptables。您可以使用以下命令更新或檢索軟件包：

二、關(guān)閉哪些防火墻端口

防火墻安裝的之一步是確定哪些端口在服務(wù)器中保持打開狀態(tài)中孫。這將根據(jù)您使用的服務(wù)器類型而有所不同。例如，如果運行的是Web服務(wù)器，則可能需要打開以下端口：

網(wǎng)絡(luò)：80和443

SSH：通常在端口22上運行

電子郵件：110(POP3)，143(IMAP)，993(IMAP SSL)，995(POP3 SSL)。

1、還原默認防火墻規(guī)則

為確保設(shè)置無誤，需從段培梁一套新的規(guī)則開始，運行以下命令來清除防火墻中的規(guī)則：

2、屏蔽服務(wù)器攻擊路由

可以運行下列標準命令來隔絕常見的攻擊。

屏蔽syn-flood數(shù)據(jù)包：

屏蔽XMAS數(shù)據(jù)包：

阻止無效數(shù)據(jù)包：

3、打開所需端口

根據(jù)以上命令可屏蔽常見的攻擊方式，需要打開所需端口。下列例子，供參考：

允許SSH訪問：

打開LOCALHOST訪問權(quán)限：

允許網(wǎng)絡(luò)流量：

允許TP流量：

三、測試防火墻配置

運行下列命令保存配置并重新啟動防火墻：

1、首先需要在Linux系統(tǒng)中查找并打開文件以編輯和配置防火墻，執(zhí)行命令： vi /etc/sysconfig/iptables。

2、然后將以下語句添加到上面打開的文件中：-A INPUT -m state -state NEW -m tcp -p tcp -dport 80 -j ACCEPT（允許端口80通過防火墻，這里以端口80為例）。

請注意，上述語句不會加載文件的最后一面，這將導(dǎo)致防火銀培墻無法啟動。應(yīng)將正確的一個添加到默認的22端口規(guī)則中。

3、配置防火墻規(guī)則

# Manual customization of this file is not recommended.

4、重啟襲明防火墻，使配置生效。

/etc/init.d/iptables restart或者service iptables restart

重啟如下：

擴展資料：

查看防火墻規(guī)則是否生效：

# iptables -L -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

ACCEPT icmp — 0.0.0.0/.0.0.0/0 拍搏告

ACCEPT all.0.0.0/.0.0.0/

ACCEPT tcp.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

ACCEPT tcp.0.0.0/.0.0.0/0 state NEW tcp dpt:80

準備裝有Linux系統(tǒng)的電腦。

1.在linux系統(tǒng)里面找到并打開編輯配置防火墻的文件，執(zhí)行命令：

vi /etc/sysconfig/iptables。

2.在上面打開的文件里面加入一散數(shù)下語句：

-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT（允許80端口通過防火墻）。

3.重啟防火墻使配置生效語句service iptables restart。

4.查看防火墻規(guī)則是否生效。

擴展資料腔慎：

查伍掘敬看防火墻狀態(tài)：

# service iptables status

iptables：未運行防火墻。

開啟防火墻：

# service iptables start

關(guān)閉防火墻：

# service iptables stop

1、在Linux系統(tǒng)中查找并打開文件以編輯和配置防火墻，執(zhí)行命令。： vi /etc/sysconfig/iptables。

2、將以下語句添加悄兄到上面打開的文件中：-A INPUT -m state -state NEW -m tcp -p tcp -dport 80 -j ACCEPT（允許端口80通過防火墻，這里以端口80為例）。

請注意，上述語句不會加載文件的最后一面，這將導(dǎo)致防火墻無法啟動。應(yīng)將正確的一個添加到默認的22端口規(guī)則中。

3、配置防火墻規(guī)則

# Manual customization of this file is not recommended.

4、重啟防火墻，使配置生效枯運陪。

/etc/init.d/iptables restart或者service iptables restart

重啟如下：

擴展資料：

查看防火墻規(guī)則是否生效：

# iptables -L -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

ACCEPT icmp — 0.0.0.0/.0.0.0/

ACCEPT all.0.0.0/.0.0.0/0 沒蠢

ACCEPT tcp.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

ACCEPT tcp.0.0.0/.0.0.0/0 state NEW tcp dpt:80

REJECT all.0.0.0/.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)

target prot opt source destination

REJECT all.0.0.0/.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)

target prot opt sourcedestination

參考資料：

linux 防火墻規(guī)則重啟問題的介紹就聊到這里吧，感謝你花時間閱讀本站內(nèi)容，更多關(guān)于linux 防火墻規(guī)則重啟問題,如何解決linux防火墻規(guī)則重啟問題？,linux 服務(wù)器防火墻設(shè)置問題,如何在Linux中啟動/停止和啟用/禁用FirewallD和Iptables防火墻,如何配置linux下的防火墻？的信息別忘了在本站進行查找喔。

香港服務(wù)器選創(chuàng)新互聯(lián)，2H2G首月10元開通。
創(chuàng)新互聯(lián)（www.cdcxhl.com）互聯(lián)網(wǎng)服務(wù)提供商,擁有超過10年的服務(wù)器租用、服務(wù)器托管、云服務(wù)器、虛擬主機、網(wǎng)站系統(tǒng)開發(fā)經(jīng)驗。專業(yè)提供云主機、虛擬主機、域名注冊、VPS主機、云服務(wù)器、香港云服務(wù)器、免備案服務(wù)器等。

文章題目：如何解決linux防火墻規(guī)則重啟問題？(linux防火墻規(guī)則重啟問題)
標題網(wǎng)址：http://m.fisionsoft.com.cn/article/dpijods.html

新聞中心

linux 服務(wù)器 防火墻 設(shè)置問題

如何在Linux中啟動/停止和啟用/禁用FirewallD和Iptables防火墻

如何配置linux下的防火墻？

其他資訊

linux 服務(wù)器防火墻設(shè)置問題