Cómo configurar el firewall de iptables (urgente)

Todo el proceso de configuración del video del firewall proxy de iptables en el sistema Linux

/turbo/wiki/doku.php?id=%E9%98%B2%E7%81%AB% E5% A2%99%E9%85%8D%E7%BD%AE%E5%9F%BA%E7%A1%80:iptables

Configurar firewall estático de iptables

1 . Cortafuegos de inicialización

Escriba en el símbolo del shell #:

iptables -F

iptables -X

iptables -Z

Antes de configurar su propio firewall con iptables, primero borre cualquier regla previamente configurada.

2. Configurar reglas:

2.1. Configurar la política predeterminada

iptables -P INPUT DROP

Este comando evitará cualquier dato esclavo. Los paquetes que ingresan a la computadora desde la red se descartan. En este punto, si hace ping a 127.0.0.1, encontrará que la pantalla permanece allí porque el ping no recibe ningún paquete de respuesta.

2.2. Crear una cadena definida por el usuario

iptables -N MYINPUT

iptables -N MYDROPLOG

2.3. p>

p>

iptables -A INPUT -j MYINPUT

Esta regla reenvía cualquier paquete que ingrese a la computadora a una cadena personalizada para su filtrado.

iptables -A MYINPUT -p icmp -j ACCEPT

Si ingresa el comando ping 127.0.0.1 nuevamente en este momento, ¿el resultado será el mismo que antes?

Si deseas acceder al servicio www

iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT

Esta regla permite desde la red y el puerto de origen es el 80% de los datos que ingresan a la computadora. El puerto 80 es el puerto utilizado por el servicio www. Ahora puedo ver la página web. Sin embargo, si ingresa www.baidu.com en la dirección del navegador, ¿puede ver la página web? El resultado que obtenga debe ser: Es difícil encontrar el host www.baidu.com. Si ingresa nuevamente 211.94.144.100, aún podrá acceder a la página web de Baidu. ¿Por qué? Porque si visita www.baidu.com, su computadora debe realizar una resolución de nombre de dominio para obtener la dirección IP 211.94.144.100 correspondiente a www.baidu.com antes de poder acceder a él normalmente. También necesitamos activar DNS.

iptables -A MYINPUT -p udp --sport 53 -j ACCEPT

Esta regla acepta datos de cualquier puerto 53 del protocolo UDP. 53 es exactamente el puerto utilizado por el servicio DNS. Ahora pruébalo, ¿puedes acceder a www a través del nombre de dominio? ¿Puedes acceder a www a través de ip? ¡Por supuesto que todo es posible!

Descartar cualquier otro paquete de red

iptables -A MYINPUT -j MYDROPLOG

iptables -A MYDROPLOG -j DROP

2.4, registro logs

iptables -I MYDROPLOG 1 -j LOG --log-prefix '[IPTABLES DROP LOGS]:' --log-level debug

De esta manera, cualquier paquete de datos de red descartado se Se registran y en los registros se puede ver información detallada sobre el acceso a la red. En este punto, se ha construido un firewall estático personal seguro, que se puede reconfigurar de acuerdo con las necesidades específicas de acceso a la red para satisfacer diversas necesidades.

3. Ver el firewall

Ahora puedes ver el firewall

iptables -L --line-number

Puedes cambiar lo anterior Resuma el contenido experimental y escríbalo en un guión.

#!/bin/bash

# Este es un script de

# un firewall estático personal

iptables -F

iptables -X

iptables -Z

iptables -P ENTRADA DROP

iptables -N MIENTRADA

iptables - N MYDROPLOG

iptables -A ENTRADA -j MIENTRADA

iptables -A MIENTRADA -p icmp -j ACEPTAR

iptables -A MIENTRADA -p tcp --sport 80 -j ACEPTAR

iptables -A MIENTRADA -p udp --sport 53 -j ACEPTAR

iptables -A MIENTRADA -j MYDROPLOG

iptables -A MYDROPLOG -j DROP

iptables -I MYDROPLOG 1 -j LOG --log-prefix '[IPTABLES DROP LOGS]:' --depuración a nivel de registro

iptables -L --line -número

Ejecute el script para implementar rápidamente su propio firewall.