搬瓦工官网中国镜像站:https://bwh81.net(搬瓦工官方网站,放心访问)
搬瓦工官方中文网:https://bwh86.net
搬瓦工官网所有方案以及库存监控页面:https://bwh86.net/monitor
最新搬瓦工最大优惠力度优惠码(循环优惠6.58%):BWHNCXNVXV
搬瓦工新用户注册和图文购买教程:点击查看
什么是防火墙?
防火墙是一种网络安全系统,它根据预定的一组规则过滤和控制通信量。这是一个介于设备和互联网之间的中介系统。
注:如果您已经了解Linux中防火墙的工作,并且只想知道命令,那么请进入教程的末尾。
Linux的防火墙是如何工作的:
Linux发行版的大多数附带默认防火墙工具,可以用来配置它们。我们将使用Linux中提供的默认工具“iptablees”来建立防火墙。Iptable用于在Linux内核中设置、维护和检查IPv 4和IPv 6数据包过滤规则的表。
注-以下所有命令都需要sudo特权。
链是为特定任务定义的一组规则。我们有三条用于处理流量的链:输入链,输出链,前向链
1.输入链
从互联网(网络)到本地机器的任何流量都必须通过输入链。这意味着它们必须遍历输入链中设置的所有规则。
2.输出链
从本地机器到互联网的任何流量都需要通过输出链。
3.前向链
从外部网络到另一个网络的任何流量都需要通过前向链。当两台或两台以上的计算机连接在一起,并且我们希望在它们之间发送数据时,就使用它。
Iptable可以对流量执行三个操作:接受,下降,拒绝
1.接受
当流量传递其指定链中的规则时,iptable将接受该通信量。
这意味着它打开了大门,允许这个人进入王国。
2.下降
当流量无法传递其指定链中的规则时,iptable将阻塞该通信量。
这意味着防火墙关闭了。
3.拒绝
此类型的操作类似于DROP操作,但它向通信量的发送方发送一条消息,说明数据传输失败。
通常情况下,当您希望另一端知道端口是不可访问的时,请使用拒绝。‘使用DROP连接到您不希望别人看到的主机。
注:你需要记住一个简单的规则:您在iptable中设置的规则将从最上面的规则到底部进行检查。无论何时数据包通过任何顶级规则,它都可以通过防火墙。不检查较低的规则。所以在制定规则时要小心。
基本iptables命令:.列出iptable的现行规则:列出当前iptable的规则:
sudo iptables -L
这个输出量将是:
正如您所看到的,我们有三条链(输入、向前、输出)。我们也可以看到列标题,但它们不是实际的规则。这是因为大多数Linux都没有预定义的规则。
让我们看看每一列的含义。
Target:这定义了需要对数据包执行哪些操作(接受、丢弃等)
Prot:这定义了数据包的协议(TCP,IP)。
source:这将告诉包的源地址。
destination:这定义了数据包的目标地址。
2.明确规则:
如果您想清除/清除所有现有规则。运行以下命令:
sudo iptables -F
这将重置iptables。
3.改变链条的默认政策:
sudo iptables -P Chain_name Action_to_be_taken
正如您在上面的图片中所看到的,每个链的默认策略是接受。
例如:–
如果您看到前向链,您将看到“链式转发(策略接受)”,这意味着您的计算机允许将任何通信量转发到另一台计算机。
为了改变转发的政策以减少:
sudo iptables -P FORWARD DROP
上述命令将停止通过系统转发的任何通信量。这意味着没有其他系统可以作为中介传递数据。
制定你的第一条规则:
1.执行一项中止规则:
现在我们将开始构建防火墙策略,我们将首先在输入链上工作,因为输入的流量将通过输入链。
语法:-
sudo iptables -A/-I chain_name -s source_ip -j action_to_take
我们要来理解这个话题。
假设我们想阻止来自IP地址192.168.1.3的通信量。可以使用以下命令:
sudo iptables -A INPUT -s 192.168.1.3 -j DROP
这可能看上去很复杂,但当我们仔细研究组件时,大部分内容都是有意义的:-
A INPUT:
标志-A用于将规则附加到链的末尾。命令的这一部分告诉iptable,我们希望在输入链的末尾添加一个规则。
I INPUT:
在此标志中,规则被添加到链的顶部。
-S192.168.1.3:-
标志-s用于指定数据包的源。这告诉iptable查找来自源192.168.1.3的数据包。
-j Drop
这指定了iptable应该如何处理数据包。
简而言之,上面的命令在输入链中添加了一条规则,即如果任何数据包到达其源地址为192.168.1.3,则丢弃该数据包,这意味着不允许数据包到达计算机。
执行上述命令后,可以使用以下命令查看更改:-
sudo iptables -L
这个输出量将是:-
2.执行接受规则:
如果要向网络的特定端口添加规则,则可以使用以下命令。
语法:
sudo iptables -A/-I chain_name -s source_ip -p protocol_name --dport port_number -j Action_to_take
-p协议名称:-
此选项用于匹配遵循协议名称的数据包。
-p protocol_name:
只有当您给出-p protocol_name选项时,才能使用此选项。它指定查找到端口“port_number”的数据包。
例子:
假设我们希望保持SSH端口打开(在本指南中假设默认SSH端口是22),在上述情况下,我们阻止了192.168.1.3网络。也就是说,我们只想允许那些来自192.168.1.3的数据包,而这些包想进入端口22。
我们该怎么办:
让我们试试下面的命令:
sudo iptables -A INPUT -s 192.168.1.3 -p tcp --dport 22 -j ACCEPT
上面的命令表示查找来自IP地址192.168.1.3的数据包,该数据包具有TCP协议,并且谁想在我的计算机的端口22上传递一些东西。如果你找到了这些包,然后接受它们。
这个输出量命令是:-
但是,上面的命令有一个问题。它实际上不允许数据包。你能猜到是什么吗?
提示:-它与访问规则的方式有关。
请记住,正如我们前面所讨论的,您在iptables中设置的规则是从上到下检查的。无论何时将数据包处理到顶级规则之一,都不会使用较低的规则进行检查。
好吧!答案是:
在我们的例子中,数据包是用最上面的规则检查的,该规则规定,iptable必须丢弃192.168.1.3中的任何数据包。因此,一旦通过这个规则访问了数据包,它就不会进入允许分组到端口22的下一个规则。因此失败了。
又能做些什么呢?
最简单的答案是,将规则添加到链的顶部。你要做的就是把-A选项改为-I选项。
这样做的命令是:-
sudo iptables -I INPUT -s 192.168.1.3 -p tcp --dport 22 -j ACCEPT
现在使用-L命令检查iptable配置。产出如下:
因此,来自192.168.1.3的任何数据包都会首先检查是否到达端口22,如果不是,则检查
在链中的下一个规则中运行。否则它可以通过防火墙。
现在您已经了解了如何阻止和接受传入的通信量,下面让我们看看如何删除规则:
3.从iptable中删除一条规则:
语法:
sudo iptables -D chain_name rule_number
例子:
如果我们要删除接受到端口22的通信并在前一节中添加的规则,那么:-
sudo iptables -D INPUT 1
记住规则号从1开始
这个输出量 :
4.保存配置:
如果要在不是服务器的个人计算机上实现此部分,则此部分是不必要的,但如果您正在服务器上实现防火墙,那么您的服务器很可能会损坏,并且你可能会丢失你所有的数据。所以,保存配置总是更好的。
有很多方法可以做到这一点,但我发现的最简单的方法是Iptable-持久性包裹。您可以从Ubuntu的默认存储库下载该包:
sudo apt-get update sudo apt-get install iptables-persistent
安装完成后,可以使用以下命令保存配置:-
sudo invoke-rc.d iptables-persistent save
本教程到此结束。
让我们简要介绍到目前为止学到的所有命令:-
1.列出国际表的现行规则:
sudo iptables -L
2.若要更改默认策略,请执行以下操作:
sudo iptables -P Chain_name Action_to_be_taken
例子:
sudo iptables -P FORWARD DROP
3.清除/冲洗所有规则
sudo iptables -F
4.在链尾附加一条规则:
sudo iptables -A
5.在链的开头附加一条规则:
sudo iptables -I
6.执行一项接受规则:
sudo iptables -A/-I chain_name -s source_ip -j action_to_take
例子:
iptables -A INPUT -s 192.168.1.3 -j ACCEPT
7.执行一项中止规则:
sudo iptables -A/-I chain_name -s source_ip -j action_to_take
例子:-
iptables -A INPUT -s 192.168.1.3 -j DROP
8.关于具体港口/议定书的执行规则:
sudo iptables -A/-I chain_name -s source_ip -p protocol_name --dport port_number -j Action_to_take
例子:
sudo iptables -I INPUT -s 192.168.1.3 -p tcp --dport 22 -j ACCEPT
9.删除一项规则:
sudo iptables -D chain_name rule_number
例子:
sudo iptables -D INPUT 1
10.保存配置:
sudo invoke-rc.d iptables-persistent save
本教程到此结束。我们已经看到了在本地计算机上实现防火墙所需的所有必要命令。我们还可以让防火墙执行其他各种操作,但不可能在一篇文章中涵盖所有这些操作。
+QQ群560434603领取学习资料及教程
搬瓦工机房方案整理
搬瓦工目前提供了4个方案,包括搬瓦工KVM方案,搬瓦工CN2 GT方案,搬瓦工CN2 GIA-E方案和搬瓦工香港方案,每种方案有多种套餐配置,详细的配置和价格整理如下:| 套餐名称 | CPU | 内存大小 | 硬盘容量 | 每月流量 | 带宽 | 价格/年 | 购买链接 |
|---|---|---|---|---|---|---|---|
| 搬瓦工CN2-E限量版(搬瓦工补货通知群(禁言,仅推送):903230558) | |||||||
| CN2 GIA LIMITED EDITION | 1核 | 1 GB | 10 GB | 500 GB | 1 Gbps | $89.99 | 立即购买 |
| 搬瓦工CN2 GT方案 | |||||||
| CN2 | 1核 | 1024 MB | 20 GB | 1000 GB | 1 Gbps | $49.99 | 立即购买 |
| CN2 | 1核 | 2048 MB | 40 GB | 2000 GB | 1 Gbps | $99.99 | 立即购买 |
| CN2 | 2核 | 4096 MB | 80 GB | 3000 GB | 1 Gbps | $199.99 | 立即购买 |
| CN2 | 2核 | 8 GB | 160 GB | 5000 GB | 1 Gbps | $399.99 | 立即购买 |
| CN2 | 3核 | 16 GB | 320 GB | 8000 GB | 1 Gbps | $799.99 | 立即购买 |
| CN2大流量 | 3核 | 16 GB | 320 GB | 12000 GB | 1 Gbps | $899.99 | 立即购买 |
| CN2大流量 | 3核 | 16 GB | 320 GB | 16000 GB | 1 Gbps | $1299.99 | 立即购买 |
| 搬瓦工CN2 GIA-E方案(可选搬瓦工DC9 CN2 GIA,搬瓦工DC6 CN2 GIA,搬瓦工日本大阪软银线路) | |||||||
| CN2 GIA ECOMMERCE | 2核 | 1 GB | 20 GB | 1000 GB | 2.5 Gbps | $169.99 | 立即购买 |
| CN2 GIA ECOMMERCE | 3核 | 2 GB | 40 GB | 2000 GB | 2.5 Gbps | $299.99 | 立即购买 |
| CN2 GIA ECOMMERCE | 4核 | 4 GB | 80 GB | 3000 GB | 2.5 Gbps | $549.99 | 立即购买 |
| CN2 GIA ECOMMERCE | 6核 | 8 GB | 160 GB | 5000 GB | 5 Gbps | $879.99 | 立即购买 |
| CN2 GIA ECOMMERCE | 8核 | 16 GB | 320 GB | 8000 GB | 5 Gbps | $1599.99 | 立即购买 |
| CN2 GIA ECOMMERCE | 10核 | 32 GB | 640 GB | 10000 GB | 10 Gbps | $2759.99 | 立即购买 |
| CN2 GIA ECOMMERCE | 12核 | 64 GB | 1280 GB | 12000 GB | 10 Gbps | $5399.99 | 立即购买 |
| 搬瓦工香港方案 | |||||||
| 香港CN2 GIA | 2核 | 2048 MB | 40 GB | 500 GB | 1 Gbps | $899.99 | 立即购买 |
| 香港CN2 GIA | 4核 | 4096 MB | 80 GB | 1000 GB | 1 Gbps | $1559.99 | 立即购买 |
| 香港CN2 GIA | 6核 | 8192 MB | 160 GB | 2000 GB | 1 Gbps | $2999.99 | 立即购买 |
| 香港CN2 GIA | 6核 | 16384 MB | 320 GB | 4000 GB | 1 Gbps | $5899.99 | 立即购买 |
| 搬瓦工日本方案 | |||||||
| 日本CN2 GIA | 2核 | 2048 MB | 40 GB | 500 GB | 1.2 Gbps | $899.99 | 立即购买 |
| 日本CN2 GIA | 4核 | 4096 MB | 80 GB | 1000 GB | 1.2 Gbps | $1559.99 | 立即购买 |
| 日本CN2 GIA | 6核 | 8192 MB | 160 GB | 2000 GB | 1.2 Gbps | $2999.99 | 立即购买 |
| 日本CN2 GIA | 6核 | 16384 MB | 320 GB | 4000 GB | 1.2 Gbps | $5899.99 | 立即购买 |
| 搬瓦工KVM方案 | |||||||
| KVM | 2核 | 1024 MB | 20 GB | 1 TB | 1 Gbps | $49.99 | 立即购买 |
| KVM | 3核 | 2 GB | 40 GB | 2 TB | 1 Gbps | $99.99 | 立即购买 |
| KVM | 4核 | 4 GB | 80 GB | 3 TB | 1 Gbps | $199.99 | 立即购买 |
| KVM | 5核 | 8 GB | 160 GB | 4 TB | 1 Gbps | $399.99 | 立即购买 |
| KVM | 6核 | 16 GB | 320 GB | 5 TB | 1 Gbps | $799.99 | 立即购买 |
| KVM | 7核 | 24 GB | 480GB | 6 TB | 1 Gbps | $1,199.99 | 立即购买 |
还木有评论哦,快来抢沙发吧~