本文由 发布,转载请注明出处,如有问题请联系我们! 发布时间: 2021-08-01ubuntu关闭iptables防火墙-ubuntu防火墙关闭命令
加载中应用过Linux的人一定对iptables很了解,iptables是以核心2.4.x版本号逐渐,Linux内置的服务器防火墙,现阶段Linux核心早已升级到5.11.x版本号,Linux的服务器防火墙在iptables的根基上发展出了UFW和Firewalld,在一些桌面操作系统中早已替代了iptables。
互联网过滤装置/Iptables
Netfilter/Iptables是Linux系统软件的服务器防火墙,Iptables管理方法标准,Netfilter是标准的实施者,一同产生了Linux下的包过虑服务器防火墙。
Iptables内嵌了四个表,分别是过虑表,nat表,mangle表和raw表,各自用以完成包过虑,IP地址变换,包重新构建(改动)和数据信息追踪解决。每一个表都是有对应的链。下面的图是iptables中的四个表和五个链:
链是包散播的途径。每一个链能够有一个或好几个标准。当数据文件抵达链时,iptables将从链中的第一个标准逐渐查验,看数据文件是不是达到标准界定的标准。如果是,系统软件将依据标准界定的办法解决数据文件;不然iptables将再次查验下一个标准。假如数据文件不符链中的一切标准,iptables将依据链预订义的默认设置对策解决数据文件。
这篇有关iptables基本原理的文章内容十分清晰:https://blog.csdn.net/tennysonsky/article/details/44596515.在Linux中,您还可以应用下列指令开启或关掉iptables。
// 运行iptablessystemctl start iptables// 终止iptablessystemctl stop iptables下列是常用命令:
// 列举 INPUT 表格中标准iptables -L INPUT// 容许3306端口号TCP协议书浏览iptables -I INPUT -p tcp --dport 3306 -j ACCEPT// 容许IP为xxx.xxx.xxx.xxx根据udp浏览当地500端口号iptables -I INPUT -p udp --dport 500 -s xxx.xxx.xxx.xxx -j ACCEPT// -I主要参数是将标准插进表开始,-A是把标准加上到表未尾,优先最少,可作为默认设置标准// 当不符前边标准后回绝全部要求iptables -A INPUT -p tcp -j REJECT// 删掉INPUT表中第1条标准iptables -D INPUT 1// 清除标准目录iptables -FIptables还可以做根据核心的包转发。在网上有关iptables使用方法的内容太多了,我不多写了。
必须特别注意的是,虽然iptables标准能够马上起效,但并没有储存。运行后会遗失。
红帽系统软件实行储存:
service iptables saveDebian实行iptables-save列举的全部标准,并将他们輸出到一个文档中开展储存。应用iptables-restore在开机启动时开展复原。
// 储存iptables-save > /etc/iptables.conf// 修复iptables-restore < /etc/iptables.confUFW和火雨
Iptables既强劲又繁杂,因此有UFW和Firewalld..他们的指令更为简洁明了,最底层启用iptables。
UFWUFW是Ubuntu服务器防火墙:
// 运行ufwsystemctl start ufw// 停用ufwsystemctl stop ufw下列是常用命令:
// 查看ufw打开情况,打印出标准ufw status// 容许80端口号浏览ufw allow 80// 回绝8000端口号浏览ufw deny 9000// 回绝ip为xxx.xxx.xxx.xxx浏览ufw deny from xxx.xxx.xxx.xxx// 容许根据tcp协议,9000-9002浏览ufw allow 9000:9002/tcp// 删掉标准ufw delete allow httpFirewalldFirewalld是8:
// 运行firewalldsystemctl start firewalld// 停止使用firewalldsystemctl stop firewalld下列是常用命令:
// 容许tcp协议8161端口号浏览,--zone(修饰符),--permanent(永久性起效)firewall-cmd --zone=public --add-port=8161/tcp --permanent// 重新加载标准firewall-cmd --reload// 将80端口号的总流量分享至8080firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080// 将80端口号的总流量分享至192.168.0.1firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1// 将80端口号的总流量分享至192.168.0.1的8080端口号firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080Firewalld还有一个用户界面:
