iptables
最近捣鼓ipsec vpn,需要用到iptables相关知识,搜到了debian网站上的这篇文章,顺手翻译一下,以备查阅
文章来源 www.kowen.cn
原文连接(English)
Iptables 提供包过滤,网络地址转换(NAT)等包处理功能。
防火墙 和NAT是iptables提供的普通功能中最重要的两个。
手动配置iptables对新手来说是个不小的挑战。幸运的是,有很多可用的辅助配置工具:比如fwbuilder,bastille,ferm(wiki),ufw(来自Ubuntu的简单防火墙)
查看当前配置
查看当前配置,输入以下命令:
可以得到类似下面的输出结果:
以上规则允许所有访问。
在文件中存储iptables
Note:包 iptables-persistent包可以帮助你来完成。
我们来创建一个测试iptables文件来加深记忆:
|
|
在文件中输入一些基本的规则:
看起来很复杂,其实一条一条的看,你会发现我们只留下了80、443和ssh端口允许访问,其他的全都关闭了,其中80和443是浏览器用到的端口。
启用测试规则:
查看变化
结果会提示我们只开启了被允许的端口,其余的都关闭了。
如果你愿意的话, 可以把新规则添加到主iptables文件中。
为了确保iptables在重启后被启用,我们需要新建一个文件:
再在文件中添加几行:
然后给文件添加执行权限:
Note:这篇指引是由Geejay贡献给wiki.openvz.org 作为容器安装指引的一部分
参考
- netfilter/iptables的相关文档
http://www.netfilter.org/documentation/ - 简单介绍
- Firewalls
- 保护Debian: 添加防火墙功能:
http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s-firewall-setup