利用iptables设置了一套简单的防火墙。
学习资料
建立规则
和上篇一样,我把这个过程写成了Bash脚本文件,代码如下:
(我的代码重度参考了文章Linux上iptables防火墙的基本应用教程)
!/bin/bash
清除已有iptables规则
iptables -F
iptables -X
iptables -Z
开放本机向外的所有访问
iptables -A OUTPUT -j ACCEPT
允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -i lo -j ACCEPT
允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
开放ssh端口
echo Input Server SSH port
read ServerSSHport
iptables -A INPUT -p tcp –dport $ServerSSHport -j ACCEPT
开放ShadowSocks Server端口
echo Input ShadowSocks Server port
read ShadowSocksServerPort
iptables -A INPUT -p tcp –dport $ShadowSocksServerPort -j ACCEPT
参照上几条规则,开放自己需要的服务端口,比如HTTP、FTP、VPN等
不允许其它机器ping通本机
iptables -A INPUT -p icmp -j REJECT
最后两条,禁止所有未允许的访问,禁止所有未允许的转发
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
查看状态
运行脚本后,防火墙规则就建立好了。执行代码iptables -L -n可以查看当前规则。
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:SSH_PORT
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:SS_PORT
REJECT icmp — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
自动保存
在Ubuntu环境下,iptables代理规则是没法自动保存。网上资料推荐的方法是:修改脚本执行权限让网卡关闭是保存iptables规则,启动时加载iptables规则。DigitalOcean则很用心的写了一篇iptables设置教程推荐了iptables-persistentdeb包。在安装deb包时会自动检测当前的iptables规则,并生成文件在下次重启时自动加载。
sudo apt-get install iptables-persistent