《操作系统》实验指导书/实验六:系统防火墙管理 2、 iptables的基本配置 (1)规则的查看 使用一下命令进行防火墙规则查看,并将防火墙规则信息填写到表6-1中。 表6-1防火墙规则 (2)规则的添加 ①端口配置 ●开启需要的端口,如配置TCP协议的22端口允许进出系统,其配置命令如下。 f iptables-A INPUT -p tcp --dport 22 -j ACCEPT #f iptables-A OUTPUT-p tcp --sport 22 j ACCEPT ●关闭不安全的端口,如配置不允许通过TCP协议的445端口进出系统,其配置命令 如下所示 #f iptables-A INPUT-p tcp --dport 445-j DROP #f iptables-A OUTPUT-p tcp --sport 445 -j DROP ●配置服务端口,如配置允许通过HTIP访问系统的80端口,其配置命令如下 #iptables-aInPut-Ptcp--dporthttp-jDrop ②IP地址配置 ●拒绝某单一IP地址,如拒绝某一单独IP地址访问系统,且系统拒绝访问该IP地址 其配置命令如下 f iptables-A INPUT -S XXX.Xxx. XXX. XXX -j DROP f iptables-A OUTPUT -d xXx.XXX. XXX. XXXj DROP ●拒绝某IP地址段,如拒绝某P地址段中任一地址访问系统,且系统拒绝访问该IP 地址段中任一IP地址,其配置命令如下, f iptables-A INPUT -S XXX.xxx. xxX. xXX/Xx j DROP iptables-A OUTPUT -d xxx.xxx. xxx. xXx/xXi DROP ③IP地址与端口结合 ●拒绝某IP地址访问某端口,如拒绝某一单独P地址访问系统的22端口(TCP协 议),其配置命令如下 #f iptables-A INPUT -S xXX.xxx. xXX. XXx-p tcp--dport 22 -j DROP ●允许某段PP地址访问系统的服务端口,如允许某段P地址访问系统的HITP服务端 口,其配置命令如下。 #fiptables-aInPut-sXxx.xxX.xxx.xXx/Xx-ptcp--dporthttpjAcc EPT ④网络协议配置 配置拒绝lMP协议通过,如配置拒绝网络中通过PNG方式发现系统IP地址,其配 信息管理与信息系统教研室/阮晓龙/13938213680/共6页,第3页《操作系统》实验指导书 / 实验六：系统防火墙管理 信息管理与信息系统教研室 / 阮晓龙 / 13938213680 / 共 6 页，第 3 页 2、iptables 的基本配置 （1）规则的查看 使用一下命令进行防火墙规则查看，并将防火墙规则信息填写到表 6-1 中。 # iptables -n -L 表 6-1 防火墙规则 （2）规则的添加 ①端口配置 ●开启需要的端口，如配置 TCP 协议的 22 端口允许进出系统，其配置命令如下。 # iptables -A INPUT -p tcp --dport 22 -j ACCEPT # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT ●关闭不安全的端口，如配置不允许通过 TCP 协议的 445 端口进出系统，其配置命令 如下所示。 # iptables -A INPUT -p tcp --dport 445 -j DROP # iptables -A OUTPUT -p tcp --sport 445 -j DROP ●配置服务端口，如配置允许通过 HTTP 访问系统的 80 端口，其配置命令如下。 # iptables -A INPUT -p tcp --dport http -j DROP ②IP 地址配置 ●拒绝某单一IP地址，如拒绝某一单独IP地址访问系统，且系统拒绝访问该IP地址， 其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP # iptables -A OUTPUT -d xxx.xxx.xxx.xxx -j DROP ●拒绝某 IP 地址段，如拒绝某 IP 地址段中任一地址访问系统，且系统拒绝访问该 IP 地址段中任一 IP 地址，其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP # iptables -A OUTPUT -d xxx.xxx.xxx.xxx/xx -j DROP ③IP 地址与端口结合 ●拒绝某 IP 地址访问某端口，如拒绝某一单独 IP 地址访问系统的 22 端口（TCP 协 议），其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j DROP ●允许某段 IP 地址访问系统的服务端口，如允许某段 IP 地址访问系统的 HTTP 服务端 口，其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -p tcp --dport http -j ACC EPT ④网络协议配置 配置拒绝 ICMP 协议通过，如配置拒绝网络中通过 PING 方式发现系统 IP 地址，其配