前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >linux防火墙的配置和管理(二)

linux防火墙的配置和管理(二)

原创
作者头像
玖叁叁
发布2023-04-10 21:10:27
1.8K0
发布2023-04-10 21:10:27
举报
文章被收录于专栏:玖叁叁

防火墙状态

可以使用以下命令查看当前防火墙的状态:

代码语言:javascript
复制
iptables -L

此命令将列出当前防火墙的规则列表。例如:

代码语言:javascript
复制
sqlCopy codeChain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
2    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
3    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
4    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
5    DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

此示例显示了三个链:INPUT、FORWARD和OUTPUT。其中INPUT链允许SSH、HTTP和HTTPS流量,以及已建立的和相关的连接。最后,DROP规则拒绝所有其他流量。其他链没有规则。

防火墙配置文件

为了方便管理和备份防火墙规则,可以将它们保存在配置文件中。在大多数Linux系统中,防火墙规则保存在/etc/sysconfig/iptables文件中。

以下是一个示例iptables配置文件:

代码语言:javascript
复制
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

此示例将允许已建立的和相关的连接,允许ICMP流量,允许本地连接,允许SSH连接,并拒绝所有其他流量。

可以使用以下命令将当前防火墙规则保存到iptables配置文件中:

代码语言:javascript
复制
iptables-save > /etc/sysconfig/iptables

要在系统启动时加载防火墙规则,请使用以下命令:

代码语言:javascript
复制
service iptables save
chkconfig iptables on

nftables

在最新版本的Linux内核中,nftables已经取代了iptables成为默认的防火墙软件。nftables具有更简洁的语法和更好的性能。nftables的基本语法与iptables类似,但有一些重要的区别。

以下是一些nftables规则:

允许特定端口的流量

代码语言:javascript
复制
nft add rule inet filter input tcp dport <port> accept

例如,以下命令将允许HTTP流量:

代码语言:javascript
复制
nft add rule inet filter input tcp dport 80 accept

拒绝所有流量

代码语言:javascript
复制
nft add rule inet filter input drop

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 防火墙状态
  • 防火墙配置文件
  • nftables
    • 允许特定端口的流量
      • 拒绝所有流量
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档