《操作系统》实验指导书/实验六:系统防火墙管理 2、 iptables的基本配置 (1)规则的查看 使用以下命令进行防火墙规则查看 考核点6-2:将系统防火墙默认规则信息填写到实验报告册 (2)规则的添加 ①端口配置 ●开启需要的端口,如配置TCP协议的22端口允许进出系统,其配置命令如下 #t iptables-A INPUT -p tcp --dport 22j ACCEPT #f iptables-A OUTPUT -p tcp--sport 22 -j ACCEPT ●关闭不安全的端口,如配置不允许通过TCP协议的445端口进出系统,其配置命令 如下所示 iptables-A INPUT -p tcp --dport 445 - j DROP iptables -A OUTPUT -p top--sport 445j DROP ●配置服务端口,如配置允许通过HTIP访问系统的80端口,其配置命令如下 #iptables-aInPut-Ptcp--dporthttp-jDrop ②IP地址配置 ●拒绝某单一IP地址,如拒绝某一单独IP地址访问系统,且系统拒绝访问该IP地址 其配置命令如下 #f iptables-A INPUT -S XXX. XXX.XXX. XXX j DROP #f iptables-A OUTPUT -d xxx.xXX.xXX. xXX-j DROP ●拒绝某IP地址段,如拒绝某P地址段中任一地址访问系统,且系统拒绝访问该IP 地址段中任一IP地址,其配置命令如下 #f iptables-A INPUT -S XXX. xXX.xXX. xXX/xx j DROP iptables -A OUTPUT -d xXx. xXX.XXX.xxx/xx -j DROP ③IP地址与端口结合 ●拒绝某IP地址访问某端口,如拒绝某一单独IP地址访问系统的22端口(TCP协 议),其配置命令如下 #f iptables-A INPUT -S xXX. xxx. xXX. XXx-p tcp--dport 22 -j DROP ●允许某段PP地址访问系统的服务端口,如允许某段P地址访问系统的HITP服务端 口,其配置命令如下。 #fiptables-aInPut-sXxx.xxX.xxx.xXx/Xx-ptcp--dporthttpjAcc EPT ④网络协议配置 配置拒绝lMP协议通过,如配置拒绝网络中通过PNG方式发现系统IP地址,其配 置命令如下 #f iptables-A INPUT -p icmp -j DROP ⑤网卡接口配置 信息管理与信息系统教研室/阮晓龙/13938213680/第3页《操作系统》实验指导书 / 实验六：系统防火墙管理 信息管理与信息系统教研室 / 阮晓龙 / 13938213680 / 第3页 2、iptables 的基本配置 （1）规则的查看 使用以下命令进行防火墙规则查看。 # iptables -n -L ⚫ 考核点 6-2：将系统防火墙默认规则信息填写到实验报告册。 （2）规则的添加 ①端口配置 ●开启需要的端口，如配置 TCP 协议的 22 端口允许进出系统，其配置命令如下。 # iptables -A INPUT -p tcp --dport 22 -j ACCEPT # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT ●关闭不安全的端口，如配置不允许通过 TCP 协议的 445 端口进出系统，其配置命令 如下所示。 # iptables -A INPUT -p tcp --dport 445 -j DROP # iptables -A OUTPUT -p tcp --sport 445 -j DROP ●配置服务端口，如配置允许通过 HTTP 访问系统的 80 端口，其配置命令如下。 # iptables -A INPUT -p tcp --dport http -j DROP ②IP 地址配置 ●拒绝某单一IP地址，如拒绝某一单独IP地址访问系统，且系统拒绝访问该IP地址， 其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP # iptables -A OUTPUT -d xxx.xxx.xxx.xxx -j DROP ●拒绝某 IP 地址段，如拒绝某 IP 地址段中任一地址访问系统，且系统拒绝访问该 IP 地址段中任一 IP 地址，其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j DROP # iptables -A OUTPUT -d xxx.xxx.xxx.xxx/xx -j DROP ③IP 地址与端口结合 ●拒绝某 IP 地址访问某端口，如拒绝某一单独 IP 地址访问系统的 22 端口（TCP 协 议），其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j DROP ●允许某段 IP 地址访问系统的服务端口，如允许某段 IP 地址访问系统的 HTTP 服务端 口，其配置命令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -p tcp --dport http -j ACC EPT ④网络协议配置 配置拒绝 ICMP 协议通过，如配置拒绝网络中通过 PING 方式发现系统 IP 地址，其配 置命令如下。 # iptables -A INPUT -p icmp -j DROP ⑤网卡接口配置