Linux防火墙白名单设置

1、在linux系统中安装yum install iptables-services然后vi /etc/sysconfig/iptables# Generated by iptables-save v1. 4.7 on Sun Aug 28 12:14:02 2016filter:INPUT ACCEPT 0:0:FORWARD ACCEPT 0:0:OUTPUT ACCEPT 0:0#ip(ip)-N whitelist-A whitelist -s -j ACCEPT-A whitelist -s x.x.x.x -j ACCEPT#这些 ACCEPT端号，公内都可访问-A INPUT -m

2、state -state ESTABLISHED,RELATED -j ACCEPT #允许接受本机请求之后的返回数据RELATED,FTP设置的-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 22 -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 13020 -j ACCEPT-A INPUT -m state -state NEW-m tcp -p tcp -dport 100

3、0:8000 -j ACCEPT #10008000之间的所有端#下是 whitelist 端号，仅限 服务器之间 通过内 访问-A INPUT -m state -state NEW-m tcp -p tcp -dport 22 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -dport 80 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -dport 443 -j whitelist-A INPUT -m state -state NEW-m tcp -p tcp -

4、dport 25 -j whitelist#ip开放的端，结束-A INPUT -j REJECT -reject-with icmp-host-prohibited-A FORWARD -j REJECT -reject-with icmp-host-prohibited COMMIT解释：添加防墙过滤规则步骤如下;1、查看现有防墙过滤规则：iptables -nvL -line-number2、添加防墙过滤规则（设置名单）：）添加名单iptables -I INPUT 3 -s 63 -p tcp -dport 1521 -j ACCEPT命令详解：-I：添加规则的参数INPUT：表外部主

5、机访问内部资源规则链： 1）INPUT进来的数据包应此规则链中的策略 2）OUTPUT外出的数据包应此规则链中的策略 3）FORWARD转发数据包时应此规则链中的策略 4）PREROUTING对数据包作路由选择前应此链中的规则（记住！所有的数据包进来的时侯都先由这个链处理）POSTROUTING对数据包作路由选择后应此链中的规则（所有的数据包出来的时侯都先由这个链处理）3：表添加到第三（可以任意修改）-s：指定作为源地址匹配，这不能指定主机名称，必须是IP；: 于匹配协议的（这的协议通常有种，TCP/UDP/ICMP）-dport: 于匹配端号: 于匹配处理式：常的ACTION： DROP：悄

6、悄丢弃，般我们多DROP来隐藏我们的份，以及隐藏我们的链表REJECT：明拒绝ACCEPT：接受）查看添加结果iptables -nvL -line-number然后重启防墙即可效重启防墙的命令：service iptables restart此时，防墙规则只是保存在内存中，重启后就会失效。使以下命令将防墙配置保存起来；保存到配置中：service iptables save （该命令会将防墙规则保存在/etc/sysconfig/iptables件中。）-附：开放端段30003008iptables -A INPUT -p tcp -dport 3000:3008 -j ACCEPT开放ip

7、段iprange模块提供了两个匹配参数：:匹配来源地址的范围，例如，iptables -A INPUT -p tcp:匹配的地址的范围，例如，iptables -A OUTPUT -p tcp-j DROP-src-range-dst-range-m iprange -src-range -1-j DROP-m iprange -dst-range -1禁户访问iptables -I FORWARD -d -j DROPiptables命令(-A、-I、-L等、1、常命令列表： (-A-D-R-I-L)()(INPUT)中，该规则将会成为规则链中的最后条规则。说明 从某个规则链中删除条规则，可以输完整规则，或直接指定规则编号加以删除。-I,-insert范例 iptables -I INPUT1-dport 80 -j ACCEPT(1)上的规则将会往后移动个顺位。说明 将封包计数器归零。封包计数器是来计算同封包出现次数，是过滤阻断式攻击不可或缺的具。-E,-rename-chain范例 iptables -E allowed disallowed说明 修改某订规则链的名称。View Code释义，可参考：规则的删除等：下是可能于防慢连接攻击的式#,100个iptables -A FORWARD -f -m limit