Хотя это правда, что Linux более надежен, чем Windows, с точки зрения безопасности, мы обычно используем его как сервер, и мы не должны быть беспечными, и нам также необходимо строго ограничивать правила доступа при передаче по сети. В прошлой статье мы говорили о статистической информации о сети, в этой статье мы узнаем о более известных брандмауэрах.
iptables, имеет более чем десятилетнюю историю, это не компромиссLinuxГерой системы.
1. Введение в команды
iptablesКоманда может сформулировать некоторые правила, чтобы указать, какие порты другие компьютеры могут использовать для подключения к вашему компьютеру (соответствующие входящим) и к каким портам может подключаться ваш компьютер (соответствующие исходящим), и если степень детализации выше, это может быть даже фильтруется по IP-адресу. .
Наиболее распространенными операциями являются перехватMysqlдоступ к сети, то вы можете использоватьiptablesЗаблокировать порт 3306 и т. д. Как правило, система будет установлена по умолчаниюiptables, если он не установлен, выполните следующие инструкции для завершения установки.
# in Centos
$sudo yum install iptables
#in Ubuntu/Debian
$sudo apt install iptables
В следующей фактической операции следует отметить, что для использования этой команды требуются привилегии root.
2. Пример работы
iptables -LПоказать все правила брандмауэра.
$iptables -L
Из рисунка хорошо видно, что для моего сервера правила брандмауэра явно разделены на несколько областей, в том числе:
-
Chain INPUT: Соответствует правилам, которые контролируют «входящие» сетевые передачи. -
Chain FORWARD: Соответствует правилам, которые контролируют «пересылку» сетевых передач. -
Chain OUTPUT: Соответствует правилам, которые контролируют «исходящие» сетевые передачи. -
Chain DOCKER: правила, соответствующие управлению сетевой передачей Docker, включая другие области блоков, начиная с Docker, являются особыми правилами подразделения Docker, такими как пользователи, изоляция и т. д.
Эта команда позволяет нам распознавать текущие правила фильтрации брандмауэра, а как насчет наших правил CRUD?
очистить все правила
$iptables -F
$iptables -X
$iptables -Z
Блокировать IP-адрес
# 屏蔽单个 IP
$iptables -I INPUT -s 121.45.6.7 -j DROP
# 封整个段
$iptables -I INPUT -s 121.0.0.0/8 -j DROP
удалить указанное правило
# 将所有 iptables 以序号标记显示
$iptables -L -n --line-numbers
#执行删除 INPUT 里序号为 10 的规则
$iptables -D INPUT 10
Его функция очень мощная, вы можете прочитать официальную грамматику для углубленных операций.
3. Расширение
Во время использованияiptablesНастройка и правила использования довольно сложны, а стоимость обучения для обычных пользователей довольно высока. Другая команда, которая может нам помочь, этоUFW(Uncomplicated Firewall), Как следует из названия, это простой брандмауэр. многоLinuxВерсия дистрибутива не поддерживает, можно перейти на официальнуюUFWнаучиться пользоваться. Далее, если ваша система поддерживает графический интерфейс, рекомендуется использоватьGUFW.
iptablesПрошло так много лет с тех порLinux 3.13В начале чиновник фактически запустил новый заказnftablesВместо предыдущей, эта новая команда представляет собой новую подсистему брандмауэра/механизм фильтрации пакетов, которая обеспечивает более простойKernel ABI(Двоичный интерфейс приложения), уменьшить дублирование кода, улучшить отчеты об ошибках и более эффективно поддерживать правила фильтрации.