Loading... <p>ubuntu下配置iptable防火墙,手工一条条写比较繁琐,有个方便的工具可以胜任这个工作,那就是shorewall,iptable防火墙配置工具。</p><p>安装</p><blockquote><p><br />sudo apt-get install shorewall-common shorewall-doc shorewall-perl</p></blockquote><p>copy配置文件<br />sudo cp /usr/share/doc/shorewall-common/examples/one-interface/* ./<br />examples目录下有one-interface/three-interfaces/two-interfaces三个目录,分别代表你有单网卡(外网)、双网卡(内外网)、三网卡(内外网+DMZ)三种模式,我的是外网服务器,所以选择one-interface</p><p>定义网络区域<br />nano /etc/shorewall/zones</p><blockquote><p>fw firewall <br />net ipv4</p></blockquote><p>定义fw、net两个区域,fw防火墙本身,net外网</p><p>定义网络接口<br />nano /etc/shorewall/interfaces</p><blockquote></blockquote><blockquote><p>net eth0 detect dhcp,tcpflags,logmartians,nosmurfs</p></blockquote><p>定义防火墙策略<br />nano /etc/shorewall/policy</p><blockquote></blockquote><blockquote><p>$FW net ACCEPT <br />net $FW DROP info <br />net all DROP info <br />all all REJECT info</p></blockquote><p>定义最普通的防火墙策略,ACCEPT就是允许;DROP就是不允许,不能通过;REJECT是抵制(被这个选项控制的网络会发生地址冲突的问题)。<br />第一行定义的是:允许本地网络访问外部网络。<br />第一行定义的是:禁止外部网络访问本地网络。<br />第二行定义的是:不允许外部网络访问所有的网络。info是只在DROP连接的同时log文件中会有信息提示。<br />第三行定义的是:所有网络的默认连接规则是抵制。(建议将REJECT修改为DROP,防止网络被REJECT)</p><p>定义防火墙规则<br />nano /etc/shorewall/rules</p><blockquote><p>Ping/ACCEPT net $FW <br />ACCEPT $FW net icmp <br />ACCEPT net $FW tcp 22 <br />ACCEPT net $FW tcp 80</p></blockquote><p>定义防火墙规则<br />第一行,允许外部网络ping防火墙接口,如果想禁ping的话,将Ping/ACCEPT改为Ping/DROP<br />第二行,允许内部网络ping防火墙接口<br />第三行,允许外部网络访问服务器22端口<br />第四行,允许外部网络访问服务器80端口</p><p>启动防火墙</p><p>sudo shorewall start</p><p>启动防火墙后,shorewall会使用perl编译器,complie iptable规则</p><p>停止防火墙</p><p>sudo shorewall stop</p><p>这里需要注意一点,停止防火墙并不会完全清除规则,它会置input链的状态为Drop,造成外网不能访问服务器,所以在停止之前,要执行sudo shorewall clear。</p><p>清除规则</p><p>sudo shorewall clear</p><p>显示规则状态</p><p>sudo shorewall show</p><p>show 还可以现次细分状态,如下<br />actions|capabilities|classifiers|config|connections|filters|ip|log|macros|mangle|nat|raw|routing|tc|vardir|zones<br /> </p><p> </p> <hr class="content-copyright" style="margin-top:50px" /><blockquote class="content-copyright" style="font-style:normal"><p class="content-copyright">版权属于:大漠孤狼</p><p class="content-copyright">本文链接:<a class="content-copyright" href="https://www.dmgls.com/484.html">https://www.dmgls.com/484.html</a></p><p class="content-copyright">转载时须注明出处及本声明</p></blockquote> Last modification:July 14th, 2020 at 11:53 am © 允许规范转载 Support 如果觉得我的文章对你有用,请随意赞赏 Appreciate the author