Ubuntu Iptables 配置

最新推荐文章于 2025-02-16 09:26:58 发布
最新推荐文章于 2025-02-16 09:26:58 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 系统与服务器
本文详细介绍了如何在Ubuntu系统下使用Iptables防火墙进行安全配置,包括预设规则、添加规则及自动调用和保存设置的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Iptables是一个防火墙,所有的Ubuntu官方发行版(Ubuntu,Kubuntu,Xubuntu)都默认自带Iptables。当你安装完Ubuntu以后,Iptables就已经装好了,但是默认设置是允许所有的通讯。从Ubuntu 8.04版本开始,Ubuntu有了一个防火墙配置的GUI工具UFW。

Ubuntu下跟其他linux系统的操作基本相同,可能略有不同。

iptables命令的选项很多,多使用man吧。

查看本机设置

查看本机的Iptables设置使用下面的命令:

sudo iptables -L -n
刚安装完的纯净的ubuntu,查看一下防火墙设置的话,是这样没有任何规则的: 
Chain INPUT (policy ACCEPT) // 进站规则,全部接受
target       prot opt source                 destination         
Chain FORWARD (policy ACCEPT) // 转发规则,全部接受
target       prot opt source                 destination         
Chain OUTPUT (policy ACCEPT) // 出站规则,全部接受
target       prot opt source                 destination
清除规则

不管有没有配置过规则,在重新进行配置之前,需要先清除规则:

sudo iptables -F        //清除预设表filter中的所有规则链的规则
sudo iptables -X        //清除预设表filter中使用者自定链中的规则
设定预设规则
这样就清除干净了,下面开始配置,先设定预设规则。
对于防火墙的设置,有两种策略:一种是全部通讯口都允许使用,只是阻止一些我们知道的不安全的或者容易被利用的口;另外一种,则是先屏蔽所有的通讯口,而只是允许我们需要使用的通讯端口。 

sudo iptables -P INPUT DROP //一旦执行,将马上阻断所有进站数据,远程配置时,注意顺序问题(ssh先加入允许)
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD DROP
注意-P中的P需要大写,表示Protocol。

可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过。
当超出了IPTABLES里filter表里的两个链规则(INPUT、FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)。应该说这样配置是很安全的,我们要控制流入数据包。
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在这个规则里的包怎么办呢,那就是通过。
添加规则

先来添加INPUT规则,因为INPUT预设的是DROP,所以要添加ACCEPT规则。

首先是22端口,这个的用处地球人都知道。

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
给Web服务器开启80端口
 

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了。
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP

允许icmp包通过,也就是允许ping

sudo iptables -A INPUT -p icmp -j ACCEPT

允许loopback!(不然会导致DNS无法正常关闭等问题)

sudo iptables -A INPUT -i lo -p all -j ACCEPT

对于OUTPUT规则,因为预设的是ACCEPT,所以要添加DROP规则,减少不安全的端口链接。

sudo iptables -A OUTPUT -p tcp --sport 31337 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会。

我们还可以把规则限制到只允许某个IP:

sudo iptables -A INPUT -s 192.168.0.18 -p tcp --dport 22 -j ACCEPT
这表示只允许192.168.0.18的机器进行SSH连接。
如果要允许一个IP段,可以使用下面的写法: 

sudo iptables -A INPUT -s 192.168.0.1/255 -p tcp --dport 22 -j ACCEPT
这表示允许192.168.0.1/255IP段的机器进行连接。
但是,注意我们前面已经添加一条规则来允许所有IP连接22端口,需要把这条规则删除掉。 
sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做) 

sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包 

sudo iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个 

sudo iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包(在前面只允许ICMP包通过,在这里作限制) 
sudo iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
Iptables的保存和调用
现在该提一下保存的问题了。
我们用命令来添加的设置,都不会自动保存,一旦退出,设置都将不存在了,需要手动去保存一下。 
sudo iptables-save > /etc/iptables.up.rules
调用Iptables设置 
sudo iptables-restore < /etc/iptables.up.rules
由于每次开机或重启后都需要去调用一次,我们把它设置自动的,执行 
sudo vim /etc/network/interfaces

auto ath0
iface ath0 inet dhcp
后面,加上 
pre-up iptables-restore < /etc/iptables.up.rules //开机时自动调用已经存在的Iptables设置
post-down iptables-save > /etc/iptables.up.rule  //关机时自动保存当前的Iptables设置

Linux下iptables实战指南:Ubuntu 22.04安全配置全解析_ubuntu iptables
heike_Ch的博客
08-29 1462
表(Tables):iptables有四种类型的表,每种表负责不同的处理任务。filter:负责过滤功能,是最常用的表。nat:负责网络地址转换。mangle:负责特殊的包处理,如修TTL值。raw:负责配置免于连接跟踪的包。链(Chains):每张表包含若干链,每条链对应网络数据包的不同处理阶段。INPUT:处理进入本机的数据包。OUTPUT:处理本机产生的数据包。FORWARD:处理经本机转发的数据包。规则(Rules):规则是决定如何处理数据包的具体指令。
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
2401_84240431的博客
04-15 1019
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Linux 防火墙工具 iptables 与 nftables:Linux 内核的防火墙配置
最新发布
02-16 965
Linux 操作系统提供了多种方式来实现防火墙功能,确保系统免受网络攻击和未经授权的访问。在这些方式中,`iptables` 和 `nftables` 是最常见的两种防火墙工具。它们是 Linux 内核的关键组件,广泛应用于服务器、网络设备等多种场景。本文将介绍这两种工具的特点、区别、使用方法和使用场景,帮助用户更好地理解如何配置 Linux 防火墙。
Ubuntu配置iptables规则
lumia98的博客
12-16 7535
Ubuntu配置防火墙,并且开机iptables自启动规则;适用于CentOS 1、登录root账号 # 切换到root账号 super@super:~$ sudo passwd root # 设置root密码 super@super:~$ su - root # 切换到root账号 以下操作可以在root下也可以在普通账号,但是ubuntu保存配置必须在root下. 每次添加或者删除规则,务必保存配置,以免丢失. 1、清空iptables所有配置(新系统操作) sudo iptab
Ubuntu iptables配置
piaocoder
01-24 2180
配置iptables Ubuntu默认安装是没有开启任何防火墙的,因此为了服务器的安全,建议大家安装启用防火墙设置。 查看系统是否安装了防火墙: whereis iptables iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz如果默认没有安装,可执行如下语句: sudo apt
Linux下iptables实战指南:Ubuntu 22.04安全配置全解析
walkskyer的博客
03-29 3670
表(Tables):iptables有四种类型的表,每种表负责不同的处理任务。filter:负责过滤功能,是最常用的表。nat:负责网络地址转换。mangle:负责特殊的包处理,如修TTL值。raw:负责配置免于连接跟踪的包。链(Chains):每张表包含若干链,每条链对应网络数据包的不同处理阶段。INPUT:处理进入本机的数据包。OUTPUT:处理本机产生的数据包。FORWARD:处理经本机转发的数据包。规则(Rules):规则是决定如何处理数据包的具体指令。
Ubuntu 使用iptables防火墙和基本配置
roland_law的博客
12-26 3450
Ubuntu 使用的防火墙是iptables,之前用centos有iptables-services,但是ubuntu略有区别。本文介绍Ubuntu上如何使用iptables配置自动启动。
Linux Ubuntu系统iptables防火墙配置
11-11
Ubuntu 16.04中,不能直接使用iptables相关的systemctl命令进行管理,但可以通过其他方式配置和启用iptables规则。 3. 远程工具 远程访问服务器可以使用MobaXterm、Xshell、Putty等工具,这里以MobaXterm为例。...
linux docker位置查找,linux – 如何在Docker中获取依赖子图像列表?(1)
2301_77118221的博客
04-26 535
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。您应该能够查找父ID以f50f9524513f开头的图像,然后查找这些图像的子图像等.但是.Parent isn’t what you think.,所以在大多数情况下,您需要指定docker图像 – 以上所有才能使其工作,那么你也将获得所有中间层的图像ID.需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
ubuntu配置iptables
记录,总结,成长
04-09 1008
关于iptables有价值的信息很多,但是大多都描述的很复杂。如果你想做些基本的配置,下面的 How To 很适合你。 ◆ 基本命令 键入: # iptables -L 列出您当前iptables中在规则。如果您是刚刚建立您的服务器,那么可能此时还没有任何规则,而且您应该看到如下: Chain INPUT (policy ACCEPT) target prot
ubuntu iptables设置
choukai4333的博客
04-13 298
http://blog.youkuaiyun.com/qustdjx/article/details/7875748 root@qustdjx-K42JZ:/home/qustdjx# iptables -L -n Chain INPUT (policy ACCEPT) target pr...
【linux】Ubuntu上的防火墙iptables的基本配置与使用_ubuntu iptables
2401_84264741的博客
04-15 2729
A代表append添加规则,后面带OUTPUT代表这种数据包,-p代表使用的协议为tcp,–dport代表端口为80,-j代表使用DROP还是ACCEPT,DROP为拒绝。-A代表append添加规则,后面带INPUT代表这种数据包,-p代表使用的协议为tcp,–dport代表端口为23,-j代表使用DROP还是ACCEPT,DROP为拒绝。这句话的意思为拒绝tcp协议端口为80的数据包进入,而通常http使用的端口为80,所以此时本机访问http服务80时被拒绝。(1)添加INPUT链的规则,格式为。
Iptables基础
baikechen的专栏
12-06 913
    * 1 Iptables基础 如何在Ubuntu Server版上实施iptables          o 1.1 基本命令          o 1.2 允许建立会话          o 1.3 在指定端口上允许入站流量          o 1.4 阻断流量          o 1.5 编辑iptables          o 1.6 日志记录          o 1.7 保
Iptables 防火墙在 Ubuntu / Debian / Rocky Linux 上的安装、部署和配置教程
weixin_53510183的博客
12-27 1524
Iptables 是一个用户空间的实用程序,用于管理 Linux 内核上的防火墙规则。它是一个强大的安全工具,通过阻止不需要的网络流量、允许预期的流量、将数据包重定向到其他 TCP/UDP 端口以及防御 DDoS 攻击等方式来保护你的系统安全。本教程的目标是手把手教你如何在 Linux 服务器上安装和配置 Iptables 防火墙。创建 Iptables 规则只是意味着将新规则附加到链中。为此,你需要像这样在 iptables 命令之后传递-A标志(AppendA (append)
ubuntu防火墙设置(四)——iptables语法与防火墙基础配置
shuia64649495的博客
12-07 1794
前面介绍的ufw和firewall-config均为iptables的前端,分别适合个人用户和服务器网络管理下面介绍底层——ipablesiptables是一个强大的工具,用于配置Linux系统的防火墙。
Ubuntu server中iptables基本配置
firejq 的博客
08-07 8484
#删除原来 iptables 里面已经有的规则 iptables -F iptables -X#抛弃所有不符合三种链规则的数据包 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP#设置:本地进程 lo 的 INPUT 和 OUTPUT 链接 ; eth1的 INPUT链 iptables -A
【linux】Ubuntu上的防火墙iptables的基本配置与使用
热门推荐
编程纯手工,拒绝复制粘贴
06-01 1万+
关于防火墙firewall,从字面上理解,就是防止非法的数据包进入的一道墙,合法的数据从门里进来,不合法的数据被墙挡在外面。而到底哪些是合法哪些是不合法的数据呢,这个是由墙里面的设备或者人给的配置决定的。如果是人为设置的,配置得好,自然好,配置得不好,等于防火墙是个摆设。对于我们在进行学习时,当然防火墙可以关掉,如在linux下使用telnet部署web这篇文章中的做法,以便于我们的数据包可以自由
ubuntu配置iptables
04-21
Ubuntu配置iptables是一种管理网络流量和安全的方法。iptables是Linux系统上的一个工具,用于配置和管理防火墙规则。下面是配置iptables的步骤: 1. 检查iptables是否已安装:在终端中输入以下命令来检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值