linux防火墙设置(linux主机防火墙设置)

1、打开Linux系统进入桌面，点击上方菜单栏处(系统)选项在弹出的菜单栏中，依次点击(管理)，(防火墙)选项进入防火墙界面，输入用户密码，进行安全验证(Linux所谓的安全性，你懂的)密码验证成功，点击上方(禁用)选项，防火墙已经关闭当然也可以使用命令进行关闭，右键点击桌面空白区域，选择(在终端中打开)进入终端界面，输入su命令点击回车，输入登录密码点击回车，取得超级管理员权限输入serviceiptablesstop命令，点击回车即可关闭防火墙。

1、查看防火墙状态的命令：systemctlstatusfirewalld或者firewall-cmd--state。。

2、暂时关闭防火墙的命令：systemctlstopfirewalld；暂时开启防火墙：systemctlstartfirewalld。。

3、永久关闭防火墙(禁用开机自启)下次启动，才生效：systemctldisablefirewalld；永久开启防火墙(启用开机自启)下次启动，才生效：systemctlenablefirewalld。。

1、虚拟机linux防火墙设置步骤如下、选择应用程序--系统工具--终端，输入setup。

2、输入setup后，弹出如图所示情况，选择防火墙配置，回车。

3、星代表防火墙开启，要关闭的话，选中启用框(按TAB键选中)，选中后按键盘空格键去掉星，再按TAB键，选中确定按钮，选择是。

4、选择网络配置，如图选择设备配置，回车。

5、选择设备，再回车，进入网络IP设置界面。

6、去掉DHCP中的星号，指定IP地址，确定，选择保存，回车再选择选择保存并退出，回车。

7、重新启动网络，输入命令、servicenetworkrestart，选择右上角的网络图标，选择连接网络，从本地ping该虚拟机的IP能成功。

8、也可以通过linux命令修改IP、vi/etc/sysconfig/network-scripts/ifcfg-eth0,重启servicenetworkrestart。

1、为了安全，服务器最好开启防火墙，开启部分端口。下面是Linux系统防火墙设置教程永久有效　　开启：chkconfigiptableson　　关闭：chkconfigiptablesoff即刻生效　　开启：serviceiptablesstart　　关闭：serviceiptablesstop开启部分端口vim/etc/sysconfig/iptables　　添加想要开启的相关端口-AINPUT-mstate--stateNEW-mtcp-ptcp--dport6379-jACCEPT-AINPUT-mstate--stateNEW-mtcp-ptcp--dport8080-jACCEPT-AINPUT-mstate--stateNEW-mtcp-ptcp--dport8081-jACCEPT-AINPUT-mstate--stateNEW-mtcp-ptcp--dport8082-jACCEPT-AINPUT-mstate--stateNEW-mtcp-ptcp--dport3306-jACCEPTserviceiptablesrestart。

1、在一台Linux主机上安装2块网卡ech0和ech给ech0网卡分配一个内部网的私有地址1用来与Intranet相连给ech1网卡分配一个公共网络地址2010用来与Internet相连。

2、Linux主机上设置进入、转发、外出和用户自定义链。

3、本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包，如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。

4、具体设置如下、(1)刷新所有规则　　(2)设置初始规则　　(3)设置本地环路规则　　本地进程之间的包允许通过。

5、(4)禁止IP欺骗　　(5)禁止广播包　　(6)设置ech0转发规则　　(7)设置ech1转发规则　　将规则保存到/etc/rc.firewallrules文件中，用chmod赋予该文件执行权限，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，这样当系统启动时，这些规则就生效了,防火墙也就建好了！。

1、安装并启动防火墙　　［root@linux~］#/etc/init.d/iptablesstart　　当我们用iptables添加规则，保存后，这些规则以文件的形势存在磁盘上的，以CentOS为例，文件地址是/etc/sysconfig/iptables，我们可以通过命令的方式去添加，修改，删除规则，也可以直接修改/etc/sysconfig/iptables这个文件就行了。

2、加载模块　　/sbin/modprobeip_tables　　查看规则　　iptables-L-n-v　　设置规则　　#清除已经存在的规则　　iptables-F　　iptables-X　　iptables-Z　　#默认拒绝策略(尽量不要这样设置，虽然这样配置安全性高，但同时会拒绝包括lo环路在内的所#有网络接口，导致出现其他问题。

3、建议只在外网接口上做相应的配置)　　iptables-PINPUTDROP　　iptables-POUTPUTDROP　　iptables-PFORWARDDROP　　#ssh规则　　iptables-tfilter-AINPUT-ieth0-ptcp–dport22-jACCEPT　　iptables-tfilter-AOUTPUT-oeth0-ptcp–sport22-jACCEPT　　#本地还回及tcp握手处理　　iptables-AINPUT-s0.1-d0.1-jACCEPT　　iptables-AINPUT-mstate–stateRELATED，ESTABLISHED-jACCEPT　　#www-dns规则　　iptables-IINPUT-ptcp–sport53-jACCEPT　　iptables-IINPUT-pudp–sport53-jACCEPT　　iptables-tfilter-AINPUT-ieth0-ptcp–dport80-jACCEPT　　iptables-tfilter-AOUTPUT-oeth0-ptcp–sport80-jACCEPT　　#ICMP规则　　iptables-AINPUT-picmp–icmp-typeecho-request-jACCEPT　　iptables-AINPUT-picmp–icmp-typeecho-reply-jACCEPT　　iptables-AOUTPUT-picmp–icmp-typeecho-request-jACCEPT　　iptables-AOUTPUT-picmp–icmp-typeecho-reply-jACCEPT　　添加防火墙规则　　添加filter表　　［root@linux~］#iptables-AINPUT-ptcp-mtcp--dport21-jACCEPT//开放21端口　　出口我都是开放的iptables-POUTPUTACCEPT，所以出口就没必要在去开放端口了。

4、添加nat表　　［root@linux~］#iptables-tnat-APOSTROUTING-s110/24-jMASQUERADE　　将源地址是110/24的数据包进行地址伪装　　-A默认是插入到尾部的，可以-I来插入到指定位置　　［root@linux~］#iptables-IINPUT3-ptcp-mtcp--dport20-jACCEPT　　［root@linux~］#iptables-L-n--line-number　　ChainINPUT(policyDROP)　　numtargetprotoptsourcedestination　　1ACCEPTall--0.0.0.0/00.0.0.0/0　　2DROPicmp--0.0.0.0/00.0.0.0/0icmptype8　　3ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt、20//-I指定位置插的　　4ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt、22　　5ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt、80　　6ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED，ESTABLISHED　　7DROPall--0.0.0.0/00.0.0.0/0stateINVALID，NEW　　8ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt、21//-A默认插到最后　　ChainFORWARD(policyACCEPT)　　numtargetprotoptsourcedestination　　ChainOUTPUT(policyACCEPT)　　numtargetprotoptsourcedestination　　查下iptable规则　　查看filter表　　［root@linux~］#iptables-L-n--line-number|grep21//--line-number可以显示规则序号，在删除的时候比较方便　　5ACCEPTtcp--10/0.0/0tcpdpt、21　　如果不加-t的话，默认就是filter表，查看，添加，删除都是的　　查看nat表　　［root@linux~］#iptables-tnat-vnLPOSTROUTING--line-number　　ChainPOSTROUTING(policyACCEPT38packets，2297bytes)　　numpktsbytestargetprotoptinoutsourcedestination　　100MASQUERADEall--**110/0.0/0　　修改规则　　［root@linux~］#iptables-RINPUT3-jDROP//将规则3改成DROP　　删除iptables规则　　［root@linux~］#iptables-DINPUT3//删除input的第3条规则　　［root@linux~］#iptables-tnat-DPOSTROUTING1//删除nat表中postrouting的第一条规则　　［root@linux~］#iptables-FINPUT//清空filter表INPUT所有规则　　［root@linux~］#iptables-F//清空所有规则　　［root@linux~］#iptables-tnat-FPOSTROUTING//清空nat表POSTROUTING所有规则　　设置默认规则　　［root@linux~］#iptables-PINPUTDROP//设置filter表INPUT默认规则是DROP　　所有添加，删除，修改后都要保存起来，/etc/init.d/iptablessave.上面只是一些最基本的操作，要想灵活运用，还要一定时间的实际操作。

5、iptables配置常规映射及软路由　　作用、虚拟化云平台服务器网段10/24通过一台linux服务器(eth0、eth0.0.5)做软路由达到访问0.0.5能访问的网络范围，并且通过iptables的NAT映射提供服务。

6、NAT映射网络端口、效果、0.0.2222—-》122　　命令、iptable-tnat-APREROUTING-D0.0.5-ptcp–dport2222-jDNAT–to-destination122　　serviceiptablessave　　serviceiptablesrestart　　注意、在12的网络配置上需要将NAT主机的内网ip即11作为默认网关，如果0.0.5具有公网访问权限，dns则设置成公网对应dns　　echo1》/proc/sys/net/ip_forward在NAT主机上需要开启转发才能生效　　软路由10/24通过0.0.5访问外网、命令、iptables-tnat-APOSTROUTING-s10/24-jSNAT–to-source0.0.5　　serviceiptablessave　　serviceiptablesrestart。

1、进入suse系统图形界面，点击“计算机”菜单。

2、点击YaST。

3、选择’安全与用户’一栏中’防火墙’功能。。

4、选择’允许的服务’。

5、选择SecureShell服务器。

6、选择添加。

7、下一步。

1、首先你要知道你的linux系统的版本是属于哪个分发版的。

2、当然如果你对自己的linux系统版本不知道的话也没关系。

3、linux系统它的防火墙名为“iptables”如果你打开linux的话是黑色的话，那么你是处在终端阶段，这样如果需要打开你的防火墙的话，输入“ch...。

1、Linux系统内核内建了netfilter防火墙机制。

2、Netfilter(数据包过滤机制)，所谓的数据包过滤，就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决该连接为放行或阻挡的机制。

3、Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。

4、Netfilter是内建的，效率非常高。

5、我们可以通过iptables命令来设置netfilter的过滤机制。

6、iptables里有3张表、>Filter(过滤器)，进入Linux本机的数据包有关，是默认的表。

7、>NAT(地址转换)，与Linux本机无关，主要与Linux主机后的局域网内计算机相关。

8、>Mangle(破坏者)，这个表格主要是与特殊的数据包的路由标志有关(通常不用涉及到这个表的修改，对这个表的修改破坏性很大，慎改之)。

9、每张表里都还有多条链、Filter、INPUT,OUTPUT,FORWARDNAT、PREROUTING,POSTROUTING,OUTPUTMangle、PREROUTING,OUTPUT,INPUT,FORWARDiptables命令的使用基本格式、iptables(-ttable)-CMDchainCRETIRIA-jACTION-ttable、3张表中的其中一种filter,nat,mangle，如果没有指定，默认是filter。

10、CMD、操作命令。

11、查看、添加、替换、删除等。

12、chain、链。

13、指定是对表中的哪条链进行操作，如filter表中的INPUT链。

14、CRETIRIA、匹配模式。

15、对要过滤的数据包进行描述ACTION、操作。

16、接受、拒绝、丢弃等。

17、查看格式、iptables(-ttable)-L(-nv)修改添加格式、iptables(-ttable)-AchainCRETIRIA-jACTION将新规则加入到表table(默认filter)的chain链的最后位置插入格式、iptables(-ttable)-IchainposCRETIRIA-jACTION将新规则插入到table表(默认filter)chain链的pos位置。

18、原来之后的规则都往后推一位。

19、pos的有效范围为、1~num+1替换格式、iptables(-ttable)-RchainposCRETIRIA-jACTION用新规则替换table表(默认filter)chain链的pos位置的规则。

20、pos的有效范围为、1~num删除格式、iptables(-ttable)-Dchainpos删除table表(默认filter)chain链的pos位置的规则。

21、pos的有效范围为、1~num包匹配(CRETIRIA)上面没有介绍CRETIRIA的规则，在这小节里详细介绍。

22、包匹配就是用于描述需要过滤的数据包包头特殊的字段。

23、指定网口、-i、数据包所进入的那个网络接口，例如eth0、lo等，需与INPUT链配合-o、数据包所传出的那么网络接口，需与OUTPUT链配合指定协议、-p、tcp,udp,icmp或all指定IP网络、-s、来源网络。

24、可以是IP或网络IP、1100网络、10/24或10/2220均可可以在前加。

25、表示取反-d、目标网格。

26、同-s指定端口、--sport、指定来源端口。

27、可以是单个端口，还可以是连续的端口，例如、1065535。

28、--dport、指定目标端口。

29、同--sport注意、要指定了tcp或udp协议才会有效。

30、指定MAC地址、-mmac--mac-sourceaa、bb、cc、dd、ee、ff指定状态、-mstate--stateSTATUSSTATUS可以是、>INVALID，无效包>ESTABLISHED，已经连接成功的连接状态>NEW，想要新立连接的数据包>RELATED，这个数据包与主机发送出去的数据包有关，(最常用)例如、只要已建立连接或与已发出请求相关的数据包就予以通过，不合法数据包就丢弃-mstate--stateRELATED,ESTABLISHEDICMP数据比对ping操作发送的是ICMP包，如果不想被ping到，就可以拒绝。

31、--icmp-typeTYPETYPE如下、8echo-request(请求)0echo-reply(响应)注意、需要与-picmp配合使用。

32、操作(ACTION)DROP，丢弃ACCEPT，接受REJECT，拒绝LOG，跟踪记录，将访问记录写入/var/log/messages保存配置将新设置的规则保存到文件格式、iptables-save(-ttable)将当前的配置保存到/etc/sysconfig/iptables其它格式、iptables(-ttable)(-FXZ)-F、请除所有的已制订的规则-X、除掉所有用户“自定义”的chain-Z、将所有的统计值清0。

版权声明：本文由用户上传，如有侵权请联系删除！