分类: 网络与安全
2009-12-23 14:55:40
iptables v1.3.5
配置iptables静态防火墙
初始化防火墙
iptables -F // --flush -F [chain] Delete all rules in chain or all chains
iptables -X // --delete-chain -X [chain] Delete a user-defined chain
iptables -Z // --zero -Z [chain] Zero counters in chain or all chains
利用iptables配置您自己的防火墙之前,首先要清除任何以前配置的规则。
配置规则:
配置默认策略
iptables -P INPUT DROP
这一条命令将阻止任何从网络进入电脑的数据包丢弃(drop)。此时,假如您ping 127.0.0.1,您就会发现屏幕一直停在那里,因为ping收不到任何应答数据包。
创建用户自定义的链
iptables -N MYINPUT
#iptables -N MYDROPLOG
添加规则
iptables -A INPUT -j MYINPUT
这条规则将任何进入电脑的包转发到自定义的链进行过滤。
iptables -A MYINPUT -p icmp -j ACCEPT
此时再输入命令 ping 127.0.0.1,结果还会和刚才相同吗?
假如要访问www服务
iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT
iptables -A MYINPUT -p udp --sport 53 -j ACCEPT
#iptables -A MYINPUT -j MYDROPLOG
#iptables -A MYDROPLOG -j DROP
记录日志
#iptables -I MYDROPLOG 1 -j LOG --log-prefix '〔IPTABLES DROP LOGS〕:' --log-level debug
这样任何被丢弃的网络数据包都被记录下来了,访问网络的周详信息能够查看日志。至此,一个安全的个人静态防火墙已构建,能够根据访问网络的具体需求再次配置防火墙,满足各种需求。
查看防火墙
iptables -L --line-number
