文章目录
- 步骤
- 开启自启防火墙
- iptables规则链Chains的区别
在 Ubuntu 上使用 iptables 配置防火墙并保证服务可用
步骤
#防火墙状态
systemctl status iptables
systemctl start iptables
#开启防火墙并且开启22端口
systemctl start iptables && iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#查看序号
sudo iptables -L --line-numbers
sudo iptables -L -v -n
sudo iptables -L -v -n | grep 8066
#在12号之前
#in表示所有ip都可以访问本机
sudo iptables -I INPUT 12 -p tcp --dport 26379 -j ACCEPT
sudo iptables -I INPUT 12 -p udp --dport 26379 -j ACCEPT
#out我可以访问其他服务器3306
sudo iptables -I OUTPUT 12 -p tcp --dport 3306 -j ACCEPT
#加到最后
sudo iptables -A OUTPUT -p tcp --dport 3306 -j ACCEPT
#keepalived
sudo iptables -I INPUT 12 -p VRRP -j ACCEPT
删除
iptables -D INPUT 13
iptables -D OUTPUT 13
保存
sudo netfilter-persistent save
sudo apt-get install iptables-persistent
sudo netfilter-persistent save
测试防火墙设置
在配置完防火墙规则后,使用 telnet 或 nc 来测试各端口是否可以正常连接。例如,测试 8088 端口是否可用:
telnet <ip_address_of_202_or_211> 8088
如果连接成功,表示防火墙设置正确。
通过这种方式,你可以确保在多台机器之间的服务通信不受防火墙的影响,同时保证服务器的安全性。
开启自启防火墙
sudo systemctl status netfilter-persistent
sudo systemctl enable netfilter-persistent
sudo systemctl is-enabled netfilter-persistent
在 Ubuntu 中,要确保 iptables 服务在系统启动时自动启动,你可以使用以下步骤来设置它:
- 安装 iptables-persistent(如果尚未安装)
iptables-persistent 是一个工具,用于在系统重启后自动恢复 iptables 规则。安装 iptables-persistent 后,系统会保存当前的 iptables 配置,并在系统启动时加载这些规则。
安装 iptables-persistent:
sudo apt-get install iptables-persistent
安装过程中,它会提示你是否保存当前的 iptables 规则。选择 “是” 以保存当前规则。 - 保存当前的 iptables 规则
如果你修改了 iptables 规则并希望将它们保存在文件中,以便在系统重启后加载,请使用以下命令保存规则:
sudo netfilter-persistent save - 启用 iptables 开机自启
iptables-persistent 在安装时会自动设置为在启动时加载规则。如果它没有自动启用,你可以通过以下命令手动启用:
sudo systemctl enable netfilter-persistent
这将确保在每次系统启动时自动加载 iptables 规则。 - 检查 iptables 服务状态
你可以检查 iptables 相关服务的状态,以确保它在启动时自动加载:
sudo systemctl status netfilter-persistent
如果服务已启用并正在运行,你会看到如下输出:
● netfilter-persistent.service - Load netfilter rules
Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
Active: active (exited) since Thu 2021-11-04 09:17:51 UTC; 1h 23min ago - 手动保存规则并应用
如果你更改了 iptables 规则并希望立即保存,可以使用:
sudo netfilter-persistent save
然后应用保存的规则:
sudo netfilter-persistent reload
iptables规则链Chains的区别
作用阶段: 数据包进入网络接口后,但在路由决策之前。
用途: 通常用于 DNAT(目标地址转换)或修改数据包的目标地址。
适用表: nat 表、mangle 表。
2. INPUT 链
作用阶段: 数据包经过路由决策后,目标是本地系统(即数据包是发给本机的)。
用途: 用于过滤或处理进入本地系统的数据包。
适用表: filter 表、mangle 表。
3. FORWARD 链
作用阶段: 数据包经过路由决策后,目标不是本地系统(即数据包需要转发到其他主机)。
用途: 用于过滤或处理需要转发的数据包。
适用表: filter 表、mangle 表。
4. OUTPUT 链
作用阶段: 数据包从本地系统发出之前。
用途: 用于过滤或处理从本地系统发出的数据包。
适用表: filter 表、nat 表、mangle 表。
5. POSTROUTING 链
作用阶段: 数据包离开网络接口之前,但在路由决策之后。
用途: 通常用于 SNAT(源地址转换)或修改数据包的源地址。
适用表: nat 表、mangle 表。
总结
PREROUTING 和 POSTROUTING 链主要用于地址转换(NAT)和修改数据包。
INPUT 和 OUTPUT 链主要用于过滤进入和离开本地系统的数据包。
FORWARD 链主要用于过滤需要转发的数据包。
示例
#允许所有进入本地系统的 SSH 连接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
允许从本地系统发出的所有 HTTP 请求
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
#允许转发所有来自 192.168.1.0/24 网段的数据包
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
将所有进入 eth0 接口的 HTTP 请求重定向到 192.168.1.100
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100
将所有从 eth0 接口发出的数据包的源地址修改为 192.168.1.1
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.1
通过理解这些链的作用和区别,可以更有效地配置和管理 iptables 规则。
