• 首页
• 产品目录
  • 加密产品
    • 标准版
    • 标准版+
    • 专业版
  • 商用安全产品
    • 数据服务器
    • 安全U盘
    • Web 防篡改系统
  • 企业防泄密系统
    • 设计经典版
    • 管理平台版
    • 至尊企业版
• 解决方案
• 服务与支持
  • 在线支持
  • 软件下载
• 保密技术
• 关于我们

　　Linux内置防火墙iptables功能强大，但配置也比较复杂。很多人开启了防火墙导致很多服务不能正常工作，就放弃了使用防火墙。其实掌握几个关键的配置后，使用iptables并不难。

　　1. 开启iptables防火墙
　　Linux默认不会启动防火墙，可以运行iptables查看当前防火墙的状态
　　　　[root@localhost ~]# /etc/rc.d/init.d/iptables status
　　　　Firewall is stopped.
　　如果没有配置过防火墙，/etc/rc.d/init.d/iptables可能不存在，可以先生成一个空文件再启动防火墙
　　　　touch /etc/rc.d/init.d/iptables
　　　　service iptables start
　　如果安装系统时没有安装iptables，可以通过下面的方式安装
　　　　通过光盘：rpm -ivh iptables-1.3.*.rpm
　　　　联网安装：yum -y install iptables

　　2. 开启防火墙后，一般允许全部传出数据包和转发数据包，但只允许列表中允许的传入数据包。对应的iptables的chain是INPUT（传入）、OUTPUT（传出）和FORWARD（转发）。
　　　　iptables –P INPUT DROP
　　　　iptables –P OUTPUT ACCEPT
　　　　iptables –P FORWARD ACCEPT

　　3. 可以开启icmp允许ping通过
　　　　iptables –A INPUT –p icmp –j ACCEPT

　　4. Linux系统常见的内置服务有ssh(22)、telnet(23)、SMB(139/445)等，可以将要开放的服务逐一开放。
　　　　iptables –A INPUT –p tcp --dport 22 –j ACCEPT

　　5. 关键的问题1，有些服务需要使用loop-back调用，也就是使用127.0.0.1的调用，因此防火墙必须允许这种调用。比如X-Windows
　　　　iptables –A INPUT –i lo –j ACCEPT
　　 这里使用-i指定网络interface，输入interface为lo的接口通讯总被允许。

　　6. 关键的问题2，有些服务是被动连接（如FTP），会在服务端口连接后使用一个随机端口作为数据端口传输数据，必要时必须允许模式
　　　　iptables –A INPUT –m state --state RELATED,ESTABLISHED –j ACCEPT

　　7. 如果只针对某个客户机开放，可指定源IP
　　　　iptables –A INPUT –s 192.168.1.88 –p tcp --dport 22 –j ACCEPT

　　8. 也可以使用客户机的MAC地址指定
　　　　iptables –A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX –p tcp --dport 22 –j ACCEPT

　　9. 可以一次指定多个端口
　　　　iptables –A INPUT –s 192.168.1.88 –p tcp -m multiports --ports 22,23,25,80,110 –j ACCEPT

　　10. 删除策略时，除使用行号外，比较有用的是使用策略内容删除，这种指定方式和添加几乎完全相同，只需要将命令A改成D
　　　　iptables –D INPUT –s 192.168.1.88 –p tcp -m multiports --ports 22,23,25,80,110 –j ACCEPT