linux防火墙的配置和管理(二)
原创
防火墙状态
可以使用以下命令查看当前防火墙的状态:
iptables -L此命令将列出当前防火墙的规则列表。例如:
sqlCopy codeChain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
2 ACCEPT tcp -- anywhere anywhere tcp dpt:http
3 ACCEPT tcp -- anywhere anywhere tcp dpt:https
4 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
5 DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination 此示例显示了三个链:INPUT、FORWARD和OUTPUT。其中INPUT链允许SSH、HTTP和HTTPS流量,以及已建立的和相关的连接。最后,DROP规则拒绝所有其他流量。其他链没有规则。
防火墙配置文件
为了方便管理和备份防火墙规则,可以将它们保存在配置文件中。在大多数Linux系统中,防火墙规则保存在/etc/sysconfig/iptables文件中。
以下是一个示例iptables配置文件:
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT此示例将允许已建立的和相关的连接,允许ICMP流量,允许本地连接,允许SSH连接,并拒绝所有其他流量。
可以使用以下命令将当前防火墙规则保存到iptables配置文件中:
iptables-save > /etc/sysconfig/iptables要在系统启动时加载防火墙规则,请使用以下命令:
service iptables save
chkconfig iptables onnftables
在最新版本的Linux内核中,nftables已经取代了iptables成为默认的防火墙软件。nftables具有更简洁的语法和更好的性能。nftables的基本语法与iptables类似,但有一些重要的区别。
以下是一些nftables规则:
允许特定端口的流量
nft add rule inet filter input tcp dport <port> accept例如,以下命令将允许HTTP流量:
nft add rule inet filter input tcp dport 80 accept拒绝所有流量
nft add rule inet filter input drop原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录