目錄

1.UOS支持的防火墻

2. 防火墻設(shè)置

3. 防火墻腳本

4. 關(guān)閉防火墻(清空所有規(guī)則，刪除腳本，關(guān)閉重啟)

5. 配置黑白名單

1.UOS支持的防火墻

iptables ufw firewalld?Netfilter區(qū)別？

????????iptables ufw firewall 都是前端管理，Netfilter是內(nèi)核。

????????統(tǒng)信的UOS服務(wù)器操作系統(tǒng)是基于Debian開發(fā)的，因此和Debian和Ubuntu很多命令都是相同的。在Debian和Ubuntu上面可以使用的防火墻在UOS也是可以正常使用的。

????????默認(rèn)情況下，Debian使用iptables，Ubuntu有iptables，也使用簡單的ufw，在CentOS7 之前使用的是iptables，CentOS 7開始使用firewall，Centos 7前可以使用iptables命令也可以直接編輯文件/etc/sysconfig/iptables，在firewall一般都是使用命令。在Debian和UOS是使用iptables命令，由于不是直接編輯配置文件，需要對iptables命令比較熟悉，再就是對重啟生效需要編輯文件設(shè)置。ufw也可以在UOS使用，由于是簡易的命令，在本文主要討論怎么使用iptables來設(shè)置防火墻功能。

2. 防火墻設(shè)置

1）檢查iptables有沒有安裝

????????如果之前有使用CentOS經(jīng)驗(yàn)使用service iptables status 是檢查不出來的，在CentOS中iptables是以服務(wù)形式，這里iptables只是配置的前端的命令，也不能使用yum list查看。而是使用apt list|grep iptables ；

????????如果沒有安裝可以使用apt install iptables 或者apt-get install iptables，如果想要使用ufw安裝apt install ufw，如果希望使用firewall，也可以安裝后使用。

2）服務(wù)器防火墻怎么設(shè)置

• 清空原有規(guī)則

iptables -L 可以查看現(xiàn)有生效的規(guī)則

iptables -P INPUT ACCEPT 清空規(guī)則前放開INPUT 否則清空以后可能導(dǎo)致無法遠(yuǎn)程連接

iptables -F【清空規(guī)則】

iptables -X 【刪除自建鏈】

iptables -Z 【重置過濾包數(shù)據(jù)】

• 新建規(guī)則配置文件

第一種方式，編輯/etc/iptables.sh然后賦予執(zhí)行權(quán)限chmod +x /etc/iptables.sh。執(zhí)行以后規(guī)則就生效了，如果需要修改規(guī)則每次都可以修改此文件。

第二種方式，配置文件/etc/iptables（需要使用/sbin/iptables-restore 導(dǎo)入規(guī)則，可以配置重啟時就執(zhí)行該文件）

#清空配置

iptables -F

iptables -X

iptables -Z

#配置，禁止進(jìn)，允許出，允許回環(huán)網(wǎng)卡

iptables -P INPUT DROP

iptables -A OUTPUT -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#允許ping

iptables -A INPUT -p icmp -j ACCEPT

#允許ssh

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

#允許VNC

iptables -A INPUT -p tcp –dport 5900 -j ACCEPT

#學(xué)習(xí)felix，把smtp設(shè)成本地

iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1

iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT

#允許DNS

iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT

iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT

#允許http和https

iptables -A INPUT -p tcp –dport 80 -j ACCEPT

iptables -A INPUT -p tcp –dport 443 -j ACCEPT

# 允許已建立的或相關(guān)連的通行

iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT

#禁止其他未允許的規(guī)則訪問

iptables -A INPUT -j REJECT #（注意：如果22端口未加入允許規(guī)則，SSH鏈接會直接斷開。）

iptables -A FORWARD -j REJECT

• 導(dǎo)入規(guī)則

iptables-save >/etc/iptables 【保存規(guī)則】

/sbin/iptables-restore </etc/iptables 【導(dǎo)入規(guī)則】

• 設(shè)置重啟生效腳本

1.）將iptables.sh腳本放到init.d中每次都重啟【需要保障iptables腳本一致都是最新的規(guī)則，如果是后續(xù)臨時修改的規(guī)則可能不在其中】

2.）編輯/etc/network/if-pre-up.d/iptables，重啟會自動生效。要保障/etc/iptables中規(guī)則一致是最新的，每次修改規(guī)則可以編輯/etc/iptables 如果是使用iptables命令新增，需要增加iptables-save >/etc/iptables 保存。

#!/bin/sh

/sbin/iptables-restore < /etc/iptables

3. 防火墻腳本

編輯如下腳本【第一次執(zhí)行】，后續(xù)編輯/etc/iptables，使用/sbin/iptables-restore < /etc/iptables重新導(dǎo)入，或者直接iptables命令新增，iptables-save>/etc/iptables 保存，防止機(jī)器重啟無效

#!/bin/sh

#防火墻腳本

echo “#!/bin/sh

/sbin/iptables-restore < /etc/iptables” >/etc/network/if-pre-up.d/iptables

echo “#清空配置

iptables -F

iptables -X

iptables -Z

#配置，禁止進(jìn)，允許出，允許回環(huán)網(wǎng)卡

iptables -P INPUT DROP

iptables -A OUTPUT -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#允許ping

iptables -A INPUT -p icmp -j ACCEPT

#允許ssh

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

#允許VNC

iptables -A INPUT -p tcp –dport 5900 -j ACCEPT

#學(xué)習(xí)felix，把smtp設(shè)成本地

iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1

iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT

#允許DNS

iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT

iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT

#允許http和https

iptables -A INPUT -p tcp –dport 80 -j ACCEPT

iptables -A INPUT -p tcp –dport 443 -j ACCEPT

# 允許已建立的或相關(guān)連的通行

iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT

#禁止其他未允許的規(guī)則訪問

iptables -A INPUT -j REJECT #（注意：如果22端口未加入允許規(guī)則，SSH鏈接會直接斷開。）

iptables -A FORWARD -j REJECT” > /etc/iptables.sh

chmod +x /etc/iptables.sh

chmod +x /etc/network/if-pre-up.d/iptables

/etc/iptables.sh

iptables-save > /etc/iptables

/sbin/iptables-restore < /etc/iptables

4. 關(guān)閉防火墻(清空所有規(guī)則，刪除腳本，關(guān)閉重啟)

iptables?-P?INPUT ACCEPT

iptables?-F

iptables?-X

iptables?-Z

rm?/etc/iptables*

rm?/etc/network/if-pre-up.d/iptables

5. 配置黑白名單

#黑白名單

####當(dāng)只有部分人可以訪問使用白名單，當(dāng)只有部分人不能訪問使用黑名單

##設(shè)置鏈名

iptables?-N?whitelist

iptables?-N?blacklist

##設(shè)置自定義鏈規(guī)則

iptables?-A?whitelist?-s?xxxx ACCEPT

iptables?-A?blacklist?-s?xxxx DROP

##設(shè)置INPUT規(guī)則

iptables?-A?INPUT?-p?tcp?–dport?22?-j?whitelist

iptables?-A?INPUT?-p?tcp?–dport?22?-j?blacklist

#刪除規(guī)則

iptables?-D?INPUT 數(shù)字（iptables?-L?INPUT?–line-numbers?查看對應(yīng)鏈的規(guī)則序號）

iptables?-D?INPUT?-p?tcp?–dport?22?-j?whitelist （也可以使用設(shè)置規(guī)則時相同的命令把A改成D）

#刪除自定義鏈

iptables?-X?鏈名（注意內(nèi)置鏈不可刪除）

iptables?-Z?置零

iptables?-F?清空規(guī)則

參考原文地址：服務(wù)器防火墻怎么設(shè)置(常用UOS服務(wù)器防火墻設(shè)置教程) (yqfml.com)文章來源地址http://www.zghlxwxcb.cn/news/detail-448998.html

到了這里，關(guān)于常用UOS服務(wù)器防火墻設(shè)置常用命令的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！