如何在最小安装的Fedora 13中configuration防火墙? 什么是正确的Fedora的方式来configuration防火墙?
有没有任何简单的命令行工具来操纵/etc/sysconfig/iptables等?
基本上我只想让传入的HTTP / HTTPSstream量到几个端口。
这是我的/etc/sysconfig/iptables样子
# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
iptables几乎是第4层,所以“http”stream量没有意义,只有端口。 你有一个GUI? 你想做什么?
可能有第三方工具来帮助,但基本的用法很简单。 为了保持简单,我将假设链(INPUT)。 当收到一个数据包时,iptables从上到下遍历链,并将其与每个规则进行比较。 如果有一条规则完全匹配这个数据包,它遵循该规则中提供的指令(DROP,REJECT,ACCEPT)并停止对该数据包的处理(比较复杂的链,它们像子例程一样)。 请记住,这是第一个匹配的规则,所以如果你有一个规则删除所有的TCPstream量,那么接受来自家庭networking的SSH规则,你的家庭networking将忽略SSH。 如果没有find匹配规则,则遵循策略(ACCEPT,REJECT或DROP)。 ACCEPT是默认和被认为是良好的做法。
要将规则添加到链的末尾,请使用-A CHAIN。 要添加到开始,我链。 插入到特定的位置,我line_number链。 下面是一些例子:
将规则添加到INPUT的底部以允许来自192.168.1.1的端口80上的TCP连接:
iptables -A INPUT -p tcp --source 192.168.1.1 --dport 80 -j ACCEPT
在INPUT的顶部添加一条规则,允许12.34.15.0 / 24端口443上的TCP连接:
iptables -I INPUT -p tcp --source 12.34.15.0/24 --dport 443 -j ACCEPT
拒绝任何其他连接到端口80:
iptables -A INPUT -p tcp --dport 80 -j REJECT
删除(没有响应)任何其他的TCPstream量(不要运行这个或者你将失去SSH): iptables -A INPUT -p tcp -j DROP
当涉及到添加和删除规则时,您会发现在文本文件中更容易这样做。 要保存到一个文本文件做:
iptables-save > /path/to/file
编辑它,然后重新加载:
cat /path/to/file | iptables-restore
另外请注意,默认情况下,iptables在重启后没有规则。 在RedHat系统上,它将从/ etc / sysconfig / iptables加载默认规则,并且可以使用/etc/init.d/iptables save保存规则(反过来用/etc/init.d/iptables restore加载这些规则
我在第一个REJECT行之前结束了第二行。 这允许来自任何地方的传入http(端口80)stream量:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT