本文主要是介绍ubuntu 防火牆基本設定,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
iptables 的基本用法介紹
在ubuntu 系統裡使用懶人包安裝的 Firestarter 防火牆並不好用
會造成你的區網和ADSL連線(pppoe)無法同時使用。
Firestarter 啟動後,不是區網不能用,就是ADSL連線不能用
想要把Firestarter關掉,重開機後,或撥號後它又會自動啟動
最後整個把Firestarter移掉後,網路才回復正常。
改去研究 iptables 的使用方式,才發現其實不難。
1.建立一檔案名為 iptables.sh,內容如下:
#!/bin/bash
#我的防火牆設定
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
# 127.0.0.1 本地端回應全接受
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 eth0 這張網卡,設定我主動發出去的回應都予放行
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 ppp0 (撥號連線)這張網卡,設定我主動發出去的回應都予放行
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT
#↑192.168.0.1~255 這個網段全放行
#↓前面加 # 號是指停用這條規則
#iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
#iptables -A INPUT -i ppp0 -p udp --dport 4672 -j ACCEPT
#↑針對撥號連線 port 位 TCP 4662 & UDP 4672 (emule) 放行
#iptables -A INPUT -i ppp0 -p tcp --dport 51413 -j ACCEPT
#針對撥號連線 port 位 TCP 51413 (BT) 放行
iptables -A INPUT -i ppp0 -p tcp --dport 5500 -j ACCEPT
#針對撥號連線 port 位 TCP 5500 (vnc) 放行
# ↓隱形掃瞄攻擊防範
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP
# ↓因為有些 Hacker/Cracker 會利用 IPv6 的漏洞攻擊主機,所以封閉幾個重要的 PORT
/sbin/ip6tables -F
/sbin/ip6tables -A INPUT -p tcp --dport 21:23 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 139 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 445 -j DROP
/sbin/ip6tables -A INPUT -p udp --dport 137:138 -j DROP
#請將此檔放在你的家目錄內的backup (請建個backup 資料夾)
2.建立捷徑,請下指令
sudo ln -s /home/user/backup/iptables.sh /etc/init.d/iptables.sh
設定成可執行的權限
chmod 755 /home/user/backup/iptables.sh
註:/home/user 這個地方的"user"請更改成你的登入帳號名稱
3.加入啟動項目,請下指令
sudo update-rc.d -f iptables.sh defaults
4.重開機後,請用指令檢查
sudo iptables -L -n
若有出現如下字樣,表示你設定成功了
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.0.0/24 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:4672
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:51413
5.往後你若想要修改防火牆的設定時,只要去修改此檔即可 /home/user/backup/iptables.sh 修改完再重開機就行了。
=====================================================
iptables.sh 內容詳細說明
它的設定是針對你指定哪張網卡而生效的,請先用ifconfig 看你有幾張網卡
eth0 ->若你只有一張網卡,這是一定會有的
eth1 ->若你有第二張網卡,它才會出現
wlan0 ->若你有無線網卡,它才會出現
ppp0 ->這通常是ADSL撥號連線上網後所產生的網卡
-------------------
#!/bin/bash
#我的防火牆設定
iptables -P INPUT DROP
#↑這行是指把所有要連進來的連線,都預設為全擋掉,反正這行照做就是了
iptables -A INPUT -i lo -j ACCEPT
# 127.0.0.1 本地端回應全接受,同樣的這行照做就是了。
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 eth0 這張網卡,設定我主動發出去的回應都予放行,同樣的這行照做就是了。
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 ppp0 (撥號連線)這張網卡,設定我主動發出去的回應都予放行,同樣的這行照做就是了。
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
# 192.168.0.1~255 這個網段全放行,如果你有區網才需要加這行
#↓底下就是針對撥號連線在防火牆上打洞了
iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4672 -j ACCEPT
#針對撥號連線 port 位 TCP 4662 & UDP 4672 (emule) 連進來的連線放行
iptables -A INPUT -i ppp0 -p tcp --dport 51413 -j ACCEPT
#針對撥號連線 port 位 TCP 51413 (BT) 放行
----------------------------
所以防火牆打洞的格式如下:
iptables -A INPUT -i "指定的網卡" -p "填tcp或udp" --dport "你指定的port位" -j ACCEPT
转载地址:http://dominic16y.world.edoors.com/CKccO3G8LGwQ
这篇关于ubuntu 防火牆基本設定的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
