《 Linux操作系统》实验指导书/实验六:系统防火墙管理 #f systemctl restart iptables ##取消开机自动启动 ctl disable iptables 2、 iptables的基本配置 (1)规则的查看 使用一下命令进行防火墙规则査看,并将防火墙规则信息填写到表6-1中 ables -n -L 表6-1防火墙规则 (2)规则的添加 ①端口配置 ●开启需要的端口,如配置TCP协议的22端口允许进出系统,其配置命令如下。 iptables-A INPUT -p tcp --dport 22-j ACCEPT f iptables-A OUTPUT-p tcp --sport 22 - j ACCEPT ●关闭不安全的端口,如配置不允许通过TCP协议的445端口进出系统,其配置命令 如下所 iptables-A INPUT -p tcp --dport 445-j DROP t iptables-A OUTPUT -p tcp--sport 445 -j DROP ●配置服务端口,如配置允许通过HTTP访问系统的80端口,其配置命令如下。 #fiptables-aInPut-ptcp--dporthttp-jDrop ②IP地址配置 ●拒绝某单一IP地址,如拒绝某一单独IP地址访问系统,且系统拒绝访问该I地址, 其配置命令如下。 #f iptables-A INPUT-S XXXxXX. XXX.XXXj DROP #f iptables-A OUTPUT -d XXx. XXX. XXX. XXX-j DROP ●拒绝某IP地址段,如拒绝某P地址段中任一地址访问系统,且系统拒绝访问该IP 地址段中任一IP地址,其配置命令如下。 t iptables-A INPUT -S XXX. XXX. XXX. xXX/Xx-j DROP #f iptables-A OUTPUT -d xxx.xxX.XXX.xxx/xx j DROP ③IP地址与端口结合 ●拒绝某IP地址访问某端口,如拒绝某一单独IP地址访问系统的22端口(TCP协 议),其配置命令如下 #iptables-A INPUT-S XXXXXXX.XxXX-p tcp--dport 22j DROP ●允许某段IP地址访问系统的服务端口,如允许某段IP地址访问系统的HITP服务端 口,其配置命令如下。 管理科学与工程学科/阮晓龙/13938213680/共6页,第3页《Linux 操作系统》实验指导书 / 实验六：系统防火墙管理 管理科学与工程学科 / 阮晓龙 / 13938213680 / 共 6 页，第3页 # systemctl restart iptables ##取消开机自动启动 # systemctl disable iptables 2、iptables 的基本配置 （1）规则的查看 使用一下命令进行防火墙规则查看，并将防火墙规则信息填写到表 6-1 中。 # iptables -n -L 表 6-1 防火墙规则 （2）规则的添加 ①端口配置 ●开启需要的端口，如配置 TCP 协议的 22 端口允许进出系统，其配置命令如下。 # iptables -A INPUT -p tcp --dport 22 -j ACCEPT # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT ●关闭不安全的端口，如配置不允许通过 TCP 协议的 445 端口进出系统，其配置命令 如下所示。 # iptables -A INPUT -p tcp --dport 445 -j DROP # iptables -A OUTPUT -p tcp --sport 445 -j DROP ●配置服务端口，如配置允许通过 HTTP 访问系统的 80 端口，其配置命令如下。 # iptables -A INPUT -p tcp --dport http -j DROP ②IP 地址配置 ●拒绝某单一IP地址，如拒绝某一单独IP地址访问系统，且系统拒绝访问该IP地址， 其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP # iptables -A OUTPUT -d xxx.xxx.xxx.xxx -j DROP ●拒绝某 IP 地址段，如拒绝某 IP 地址段中任一地址访问系统，且系统拒绝访问该 IP 地址段中任一 IP 地址，其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP # iptables -A OUTPUT -d xxx.xxx.xxx.xxx/xx -j DROP ③IP 地址与端口结合 ●拒绝某 IP 地址访问某端口，如拒绝某一单独 IP 地址访问系统的 22 端口（TCP 协 议），其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j DROP ●允许某段 IP 地址访问系统的服务端口，如允许某段 IP 地址访问系统的 HTTP 服务端 口，其配置命令如下