linux环境下设置iptables防火墙

最新推荐文章于 2025-08-15 18:50:39 发布
转载 最新推荐文章于 2025-08-15 18:50:39 发布 · 120 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/yxzkm/blog/794239
文章标签:

#操作系统 #运维 #网络

本文详细介绍如何在Linux系统中使用iptables配置防火墙,包括开放指定端口、设置默认策略等步骤,特别针对使用nginx反向代理的情况进行详细说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

我在阿里云上有一台linux服务器,主要用于网站发布。主要架构是nginx作为反向代理服务器,后面跟着一个tomcat。

其中,tomcat使用8080端口,nginx将外来的80端口或443端口访问,转发至tomcat的8080端口上。

为了加强安全性,今天打算启用linux自带的防火墙,用来屏蔽外界访问服务器的其他端口。

首先,查看一下iptables的设置情况,使用如下命令:

iptables -L -n 

如果没有启用,则显示如下:

[root@iZ25qrs2oacZ ~]# iptables -L -n 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination  

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination  

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  
[root@iZ25qrs2oacZ ~]#

如果有启用,则首先将其策略全部清空。在清空之前,要确保INPUT、FORWARD和OUTPUT的默认策略是accept,否则,将会造成22端口不可用,ssh链接被断开,只能打电话给机房,让他们重启服务器了。因此,必须先执行如下命令:

[root@iZ25qrs2oacZ data]# iptables -P INPUT ACCEPT
[root@iZ25qrs2oacZ data]# iptables -P OUTPUT ACCEPT
[root@iZ25qrs2oacZ data]# iptables -P FORWARD ACCEPT

然后才能执行清空命令:

[root@iZ25qrs2oacZ data]# iptables -F

接下来,将防火墙访问策略,按照顺序逐一写入,例如,向全网开放22、80和443端口:

​[root@iZ25qrs2oacZ data]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@iZ25qrs2oacZ data]# iptables -A INPUT -p TCP --dport 80 -j ACCEPT
[root@iZ25qrs2oacZ data]# iptables -A INPUT -p TCP --dport 443 -j ACCEPT

由于本机使用了nginx做反向代理,因此,必须将8080端口开放给本机。因此下面的三行代码是将本机的外网ip、内网ip和127.0.0.1均允许发数据包给本机的任意端口。注意:-s是源地址:

[root@iZ25qrs2oacZ data]# iptables -A INPUT -p tcp -s 101.101.101.101 -j ACCEPT
[root@iZ25qrs2oacZ data]# iptables -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT
[root@iZ25qrs2oacZ data]# iptables -A INPUT -p tcp -s 10.10.10.10 -j ACCEPT

然后增加如下命令,否则,服务端发起对外访问请求时,会报错(java.net.unknownhostexception):

[root@iZ25qrs2oacZ data]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

最后,将防火墙INPUT默认策略改为DROP,即为不符合上述策略的访问,一律不准进入。

[root@iZ25qrs2oacZ data]# iptables -P INPUT DROP

完成。

==========================分割线==============================

最后总结一下:

1.首先检查当前iptables的配置情况:
iptables -L -n

2.将三条链路的默认规则均置为直接放行(ACCEPT):
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

3.将三条链路的所有规则全部清空(危险,可能会导致22端口不可访问,ssh连接失效。因此上一步操作非常关键):
iptables -F 

4.设置INPUT链路规则(当防火墙所在的服务器有nginx反向代理时,需要将外部请求转发至后端的8080端口,
因此,最后三行代码的目的是:允许自己将任何数据包发给自己的任意端口):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -s 101.101.101.101 -j ACCEPT  /*外网ip*/
iptables -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT      /*127.0.0.1*/
iptables -A INPUT -p tcp -s 10.10.10.10 -j ACCEPT   /*内网ip*/

5.增加服务端发起对外访问请求(如httpclient)时的设置:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

6.将INPUT链路的默认规则置为直接拒绝(DROP):
iptables -P INPUT DROP

参考资料:

http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html

http://blog.youkuaiyun.com/tobacco5648/article/details/51508012

 

转载于:https://my.oschina.net/yxzkm/blog/794239

Linux环境iptables防火墙基本用法演示
weixin_33901641的博客
10-31 646
一、简单添加两台设备,防火墙关闭,防火墙规则很干净,网络通畅。当启用防火墙后,iptables -vnL显示出所有规则,但我们不使用默认规则,清空规则,自己定义1、iptable -t filter -A INPUT -s 192.168.239.70 -j DROP(末尾添加),设置源地址是192.168.239.70发出的请求,全丢弃,即不回应之前是通的,但设置防火墙规...
Linuxiptables防火墙
A6985HG的博客
07-30 2276
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
linux环境防火墙命令行,Linuxiptables防火墙用法规则详解
weixin_35968185的博客
05-05 2395
原标题:Linuxiptables防火墙用法规则详解管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受×××。很多用户把 Linux 中的iptables当成一个防火墙,从严格意见上来说 iptables只是能够帮助管理员定义各种规则并与 Linux Kernel 进行沟通的一个命令行工具。它只是帮助管理员配置网络流量的...
Linux系统:iptables 防火墙
十七拾的博客
02-18 3353
本文详细介绍了Linux防火墙iptables工具,详细阐释了iptables的五表五链、及其相关操作,希望对你有帮助!
linux iptables防火墙最详细讲解
u012608836的博客
03-10 703
架构图 防火墙 1. 什么是防火墙: 防止其他用户恶意访问 2. 防火墙种类 硬件防火墙 :F5 软件防火墙iptables firewalld 安全组 iptables 用户 ---> 调用iptables ---> ip_tables内核模式 ---> Netfilter(系统安全构架) ---> 过滤请求 什么是包过滤防火墙 什么是包: 在数据传输过程,并不是一次性传输完成的,而是将数据分成若干个数据包,一点一点的传输。
Linux运维--iptables防火墙命令以及端口号等详解(全)
lza20001103的博客
09-02 2052
Linux运维--iptables防火墙命令以及端口号等详解(全)
linux如何设置iptables防火墙
m0_66166501的博客
06-03 1803
当然并不是说每个表都能是5链,只是有的是5链有的是三链,具体看上面这幅图,其实在我们日常工作中用的最多的是filter表和里面的三种链,具体还是看你项目的端口,后面会给大家部署一个项目详细讲解一下。注意重点,如果我们在使用过程中不指定表那么默认使用的是filter表,那么如果我们不使用链那么他默认指定这个表所有的链,如果没有规则那么默认使用防火墙的规则(ACCEPT),这个面试会问!iptables -t 指定使用的表 -I 指定所使用的链 -指定协议 -j 指定操作策略。1.从左到右依次匹配匹配即停止。
论文研究-构建Linux环境Iptables防火墙策略 .pdf
08-16
构建Linux环境Iptables防火墙策略,赵富,,Linux操作系统Iptables管理工具是一种基于包过滤型防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境防火墙的功能。本�
Linux设置iptables防火墙白名单(RHEL 6和CentOS 7).docx
10-29
Linux设置iptables防火墙白名单(RHEL 6和CentOS 7).docx
linux环境防火墙 iptables的安装包rpm
10-14
linux环境防火墙 iptables的安装包rpm,linux环境防火墙 iptables的安装包rpm
linux设置iptables防火墙
rmoleo的博客
09-19 825
linux 设置iptables 防火墙
linux下iptales关闭(转自http://os.51cto.com/art/201103/249045.htm)
qibobo的专栏
09-19 1363
Linux防火墙(Iptables)的开启与关闭 2011-03-15 09:10 佚名 PHPZIXUE 字号:T | T Linux防火墙(Iptables)的开启与关闭:iptablesLinux内核集成的IP信息包过滤系统,如果 Linux 系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux上更好地控制IP信息包过滤和防火墙
Linuxiptables防火墙
SmileLife_的博客
05-12 2950
一、iptables防火墙概述 netfilter/iptables:ip 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对IP数据包,体现对包内的IP地址、端口信息等处理。 1.1 netfilter/iptables的关系 netfilter:属于“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptable
Linux操作系统IPTables配置方法详解
weixin_34128501的博客
07-25 747
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
linux防火墙iptables
qq_52825616的博客
04-24 2323
目录 一、防火墙iptables的概述 1、防火墙的作用 2、netfilter和iptables的关系 3、四表五链 4、常用的控制类型 二、配置基础iptables 1、配置格式 2、查看配置列表 3、添加规则 4、设置默认策略 三、规则匹配 1、通用匹配 2、隐含匹配 3、显示匹配 4、状态匹配 一、防火墙iptables的概述 1、防火墙的作用 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux
鸿蒙应用开发之自定义组件@Component全面解析:自定义组件生命周期
YunWQ的博客
08-14 650
本文介绍了ArkUI中的自定义组件开发,包括其特点、基本结构、成员函数/变量定义及参数传递方式。自定义组件具有可组合、可重用和数据驱动UI更新的特性,通过@Component装饰器定义。文章详细说明了如何在组件中定义成员变量和函数,以及如何接收外部参数。最后简要提及了组件和页面的生命周期函数,包括aboutToAppear、onPageShow等关键回调,为开发者提供了构建可复用UI组件的基础知识。
如何在 Linux 上安装 SQL Server 2022 和 Azure Data Studio
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
08-15 458
本文介绍了如何在Linux系统(以Ubuntu 20.04为例)上安装SQL Server 2022及Azure Data Studio。SQL Server自2017版开始支持Linux平台,通过平台抽象层实现跨平台兼容性。文章详细说明了安装步骤:导入GPG密钥、注册存储库、安装软件包并配置管理员密码。同时介绍了SQL Server在Linux上的不同版本(企业版、标准版等)和主要功能差异。安装完成后,用户可通过Azure Data Studio等工具进行连接管理,文中提供了连接参数设置指南。整个过程简便
Linux操作系统从入门到实战(二十二)命令行参数与环境变量
最新发布
2402_83322742的博客
08-15 689
本文介绍了Linux中的命令行参数与环境变量。命令行参数通过main函数的argc和argv接收,argc表示参数个数,argv存储具体参数内容,如ls -l中的-l。环境变量是系统全局配置信息,如PATH变量存储可执行文件路径,USER存储用户名。可通过echo $PATH查看或C语言的getenv函数获取环境变量。环境变量与本地变量的区别在于作用范围:环境变量可被子进程继承,而本地变量仅限当前会话。理解这些概念有助于更好地控制程序行为和系统配置。
5G专网项目外场常见业务测试指南(六)-PingInfoView
weixin_45371131的博客
08-12 565
PingInfoView是一款由NirSoft开发的免费网络测试工具,专为5G专网等大规模网络环境设计。该工具可同时对数百个终端设备执行持续Ping测试,实时监测网络延迟和丢包率等关键指标。其特点包括:多目标并行监测、自定义测试参数(间隔、超时、包大小)、结果可视化(颜色区分状态)以及日志导出功能(CSV/HTML格式)。适用于网络管理员进行7*24小时稳定性测试,支持IPv4/IPv6地址,但缺乏数据可视化图表功能。最新3.20版本兼容Windows系统,无需安装即可使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值