设置iptables防火墙策略

在Linux系统中，iptables是一种非常强大的防火墙工具，可以用来设置、维护和检查Linux内核的网络包过滤规则，通过合理地配置iptables，我们可以有效地阻挡常见的网络攻击，保护我们的系统安全，本文将详细介绍如何设置iptables防火墙实现阻挡常见攻击。

iptables基础知识

1、iptables是什么？

iptables是Linux系统中一个用于配置内核防火墙的工具，它可以对进出的数据包进行过滤、转发和处理，iptables工作在内核态，因此具有很高的性能和安全性。

2、iptables的工作原理

iptables根据用户定义的规则，对数据包进行处理，这些规则可以是基于源IP地址、目标IP地址、协议类型、端口号等信息，当数据包满足某个规则时，iptables会对该数据包执行相应的操作，如接受、拒绝或转发。

设置iptables防火墙

1、安装iptables

在大多数Linux发行版中，iptables已经预装，如果没有安装，可以使用以下命令进行安装：

对于基于Debian的系统（如Ubuntu）：

sudo apt-get update

sudo apt-get install iptables

对于基于RPM的系统（如CentOS）：

sudo yum install iptables

2、查看当前iptables规则

使用以下命令查看当前的iptables规则：

sudo iptables -L -n -v

3、设置默认策略

为了防止反面数据包进入系统，我们需要设置默认策略，默认策略决定了当数据包不满足任何规则时，iptables如何处理该数据包，通常，我们建议将默认策略设置为DROP（拒绝）：

sudo iptables -P INPUT DROP

sudo iptables -P FORWARD DROP

sudo iptables -P OUTPUT ACCEPT

4、允许特定端口和服务

为了正常使用网络服务，我们需要开放一些特定的端口和服务，HTTP服务通常使用80端口，SSH服务使用22端口，可以使用以下命令开放这些端口：

sudo iptables -A INPUT -p tcp –dport 80 -j ACCEPT

sudo iptables -A INPUT -p tcp –dport 22 -j ACCEPT

5、阻止常见攻击类型

以下是一些常见的攻击类型及其对应的iptables规则：

ICMP Flood攻击：使用以下命令限制ICMP数据包的速率：

sudo iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 10/sec -j ACCEPT

sudo iptables -A INPUT -p icmp –icmp-type echo-reply -m limit –limit 10/sec -j ACCEPT

IP Spoofing攻击：使用以下命令限制源IP地址为非本地IP地址的数据包：

sudo iptables -A INPUT -i lo -p tcp -m tcp –dport 22 -j ACCEPT

sudo iptables -A INPUT -i lo -p tcp -m tcp –dport 80 -j ACCEPT

sudo iptables -A INPUT -p tcp -m tcp –dport 22 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A INPUT -p tcp -m tcp –dport 80 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT

UDP Flood攻击：使用以下命令限制UDP数据包的速率：

sudo iptables -A INPUT -p udp –dport 53 -m limit –limit 5/sec -j ACCEPT

sudo iptables -A INPUT -p udp –dport 67 -m limit –limit 5/sec -j ACCEPT

sudo iptables -A INPUT -p udp –dport 68 -m limit –limit 5/sec -j ACCEPT

保存和重启iptables规则

为了使iptables规则在系统重启后依然生效，我们需要将规则保存到配置文件中，以下是保存和重启iptables规则的命令：

sudo sh -c "iptables-save > /etc/sysconfig/iptables"

sudo service netfilter-persistent restart

相关问题与解答

1、Q: 我使用的是Windows系统，能否使用iptables防火墙？

A: Windows系统不支持iptables，但可以使用其他防火墙工具，如Windows防火墙或第三方防火墙软件。

2、Q: 我不小心删除了所有的iptables规则，现在无法访问网络，怎么办？

A: 你可以尝试恢复默认的iptables规则，在Debian和Ubuntu系统中，可以使用以下命令恢复默认规则：sudo iptables-restore < /etc/iptables/rules.v4，在CentOS和RHEL系统中，可以使用以下命令恢复默认规则：sudo service iptables save，然后重启网络服务：sudo service network restart。