Linux防火墙自定义配置教程，灵活修改保障网络安全 (如何修改防火墙 linux)

Linux系统是开源的操作系统，其安全性和稳定性被广泛认可。但是，无论在哪个系统中，网络安全始终是一个重要的问题。为了保证Linux系统的安全性，防火墙是必不可少的。本文将介绍Linux防火墙自定义配置教程，帮助您更好地保护您的计算机和网络。

一、Linux防火墙简介

防火墙是一个软件应用程序，可以监控网络流量和数据包，并根据一组规则来控制它们是否允许通过系统。Linux操作系统中有很多种类型的防火墙，其中Firewalld和iptables是最常用的两种。

Firewalld是一种动态防火墙，可以自动检测网络变化，并自动更新规则。它通过管理服务来控制访问控制，支持基于端口、IP地址、MAC地址和协议的规则。

iptables是一种更早的Linux防火墙解决方案。它可以控制网络流量，并根据规则来过滤它们。iptables通过配置包过滤的规则表来工作。

二、常用的防火墙规则

无论是Firewalld还是iptables，都需要设置一系列规则来控制访问。最常见的规则如下：

1. 允许/禁止特定主机或网络的访问。

2. 允许/禁止特定端口或协议的访问。

3. 允许/禁止流量的传入或传出。

4. 允许/禁止指定主机或网络的转发。

5. 允许/禁止源地址伪装。

三、Firewalld自定义配置

设置Firewalld的自定义规则，需要运行如下命令：

sudo firewall-cmd –permanent –zone=public –add-rich-rule=’rule family=”ipv4″ source address=”192.168.1.0/24″ service name=”http” accept’

解析：

–permanent参数表示在启动时保留规则。

–zone参数表示使用哪个防火墙区域。

–add-rich-rule参数表示要添加特定的规则。

family、source和服务名等参数用于特定的规则。

这个命令将允许192.168.1.0/24网络中的计算机访问http服务。

四、iptables自定义配置

Iptables配置是通过设置规则表来实现的，这可以通过以下命令进行：

/in/iptables -A INPUT -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT

解析：

-A参数表示要添加规则。

INPUT参数表示要在输入流量上执行的规则。

-s参数指定源主机或网络。

–dport参数指定用于筛选数据包的端口。

-j参数指定要在匹配规则时执行的操作。

此命令将允许来自192.168.1.0/24网络的计算机访问TCP的80号端口。

五、对于已有规则的修改

Firewalld的修改命令如下：

sudo firewall-cmd –zone=public –remove-rich-rule=’rule family=”ipv4″ source address=”192.168.1.0/24″ service name=”http” accept’

解析：

–remove-rich-rule参数表示要删除的特定规则。

该命令将删除允许192.168.1.0/24网络的计算机访问http服务的规则。

iptables修改命令如下：

/in/iptables -D INPUT -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT

解析：

-D参数表示要从规则表中删除规则。

该命令将删除允许来自192.168.1.0/24网络访问TCP的80号端口的规则。

六、结论

Linux系统中的防火墙是保证网络安全的重要组成部分，通过自定义规则，可以帮助保护您的计算机和网络免遭潜在的攻击。本文提供了Linux防火墙自定义配置教程，希望能有所帮助。

相关问题拓展阅读：

• 怎么更改linux的防火墙设置?
• linux中iptables防火墙怎么设置

怎么更改linux的防火墙设置?

先重新启动Linux防火墙（services

iptables

restart）

再进行防火孙源弯墙策略的设置，用命令“iptables”引用四表五链，设置允许拒绝和丢弃就行了，具体怎么则闷设置，自己查资料吧，都告诉你了，你就裂前什么都不看了。

linux中iptables防火墙怎么设置

一，安装并启动防火墙

［root@linux ~］# /etc/init.d/iptables start

当我们用iptables添加规则，保存后，这些规则以文件的形势存在磁盘上的，以CentOS为例，文件地址是/etc/sysconfig/iptables，我们可以通过命令的方式去添加，修改，删除规则，也可以直接修改/etc/sysconfig/iptables这个文件就行了。

1.加载模块

/in/modprobe ip_tables

2.查看规则

iptables -L -n -v

3.设置规则

#清除已经存在的规则

iptables -F

iptables -X

iptables -Z

#默认拒绝策略（尽量不要这样设置，虽然这样配置安全性高，但同时会拒绝包括lo环路在内的所#有网络接口，导致出现其他问告困题。建议只在外网接口上做相应的配置）

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

#ssh 规则

iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT

#本地还回及tcp握手处理

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT

#www-dns 规则

iptables -I INPUT -p tcp –sport 53 -j ACCEPT

iptables -I INPUT -p udp –sport 53 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT

#ICMP 规则

iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT

iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT

二，添贺毕加防火墙规则

1，添加filter表

1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT //开放21端口

出口我都是开放的iptables -P OUTPUT ACCEPT，所以出口就没必要禅友芹在去开放端口了。

2，添加nat表

1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

将源地址是 192.168.10.0/24 的数据包进行地址伪装

3，-A默认是插入到尾部的，可以-I来插入到指定位置

1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp –dport 20 -j ACCEPT

2.［root@linux ~］# iptables -L -n –line-number

3.Chain INPUT （policy DROP）

4.num target prot opt source destination

5.1 ACCEPT all — 0.0.0.0/0 0.0.0.0/0

6.2 DROP icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 8

7.3 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的

8.4 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

9.5 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

10.6 ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED

11.7 DROP all — 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW

12.8 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默认插到最后

13.Chain FORWARD （policy ACCEPT）

14.num target prot opt source destination

15.Chain OUTPUT （policy ACCEPT）

16.num target prot opt source destination

三，查下iptable规则

1，查看filter表

1.［root@linux ~］# iptables -L -n –line-number |grep 21 //–line-number可以显示规则序号，在删除的时候比较方便

2.5 ACCEPT tcp.168.1.0/24 0.0.0.0/0 tcp dpt:21

如果不加-t的话，默认就是filter表，查看，添加，删除都是的

2，查看nat表

1.［root@linux ~］# iptables -t nat -vnL POSTROUTING –line-number

2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）

3.num pkts bytes target prot opt in out source destination

4.1 0 0 MASQUERADE all — * * 192.168.10.0/24 0.0.0.0/0

四，修改规则

1.［root@linux ~］# iptables -R INPUT 3 -j DROP //将规则3改成DROP

五，删除iptables规则

1.［root@linux ~］# iptables -D INPUT 3 //删除input的第3条规则

2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的之一条规则

3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有规则

4.［root@linux ~］# iptables -F //清空所有规则

5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则

六，设置默认规则

1.［root@linux ~］# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP

所有添加，删除，修改后都要保存起来，/etc/init.d/iptables save.上面只是一些最基本的操作，要想灵活运用，还要一定时间的实际操作。

iptables配置常规映射及软路由

作用：虚拟化云平台服务器网段192.168.1.0/24 通过一台linux服务器（eth0:192.168.1.1、eth1:10.0.0.5）做软路由达到访问10.0.0.5能访问的网络范围，并且通过iptables的NAT映射提供服务。

NAT 映射网络端口：

效果： 10.0.0.5:2222 —-》 192.168.1.2:22

命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dportj DNAT –to-destination 192.168.1.2:22

service iptables save

service iptables restart

注意：1.在192.168.1.2的网络配置上需要将NAT主机的内网ip即192.168.1.1作为默认网关，如果10.0.0.5具有公网访问权限，dns则设置成公网对应dns

2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效

软路由192.168.1.0/24通过10.0.0.5访问外网：

命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5

service iptables save

service iptables restart

关于如何修改防火墙 linux的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。