如何在Linux安装防火墙，你可能不会见到这么详细的教程。

什么是防火墙？

防火墙是一种网络安全系统，它根据预定的一组规则过滤和控制通信量。这是一个介于设备和互联网之间的中介系统。

注：如果您已经了解linux中防火墙的工作，并且只想知道命令，那么请进入教程的末尾。

Linux的防火墙是如何工作的：

Linux发行版的大多数附带默认防火墙工具，可以用来配置它们。我们将使用Linux中提供的默认工具“iptablees”来建立防火墙。Iptable用于在Linux内核中设置、维护和检查IPv 4和IPv 6数据包过滤规则的表。

注-以下所有命令都需要sudo特权。

链是为特定任务定义的一组规则。我们有三条用于处理流量的链：输入链，输出链，前向链

1.输入链

从互联网(网络)到本地机器的任何流量都必须通过输入链。这意味着它们必须遍历输入链中设置的所有规则。

2.输出链

从本地机器到互联网的任何流量都需要通过输出链。

3.前向链

从外部网络到另一个网络的任何流量都需要通过前向链。当两台或两台以上的计算机连接在一起，并且我们希望在它们之间发送数据时，就使用它。

Iptable可以对流量执行三个操作：接受，下降，拒绝

1.接受

当流量传递其指定链中的规则时，iptable将接受该通信量。

这意味着它打开了大门，允许这个人进入王国。

2.下降

当流量无法传递其指定链中的规则时，iptable将阻塞该通信量。

这意味着防火墙关闭了。

3.拒绝

此类型的操作类似于DROP操作，但它向通信量的发送方发送一条消息，说明数据传输失败。

通常情况下，当您希望另一端知道端口是不可访问的时，请使用拒绝。‘使用DROP连接到您不希望别人看到的主机。

注：你需要记住一个简单的规则：您在iptable中设置的规则将从最上面的规则到底部进行检查。无论何时数据包通过任何顶级规则，它都可以通过防火墙。不检查较低的规则。所以在制定规则时要小心。

基本iptables命令：.列出iptable的现行规则：列出当前iptable的规则：

sudo iptables -L

这个输出量将是：

正如您所看到的，我们有三条链(输入、向前、输出)。我们也可以看到列标题，但它们不是实际的规则。这是因为大多数Linux都没有预定义的规则。

让我们看看每一列的含义。

Target:这定义了需要对数据包执行哪些操作(接受、丢弃等)

Prot:这定义了数据包的协议(TCP，IP)。

source:这将告诉包的源地址。

destination:这定义了数据包的目标地址。

2.明确规则：

如果您想清除/清除所有现有规则。运行以下命令：

sudo iptables -F

这将重置iptables。

3.改变链条的默认政策：

sudo iptables -P Chain_name Action_to_be_taken

正如您在上面的图片中所看到的，每个链的默认策略是接受。

例如：–

如果您看到前向链，您将看到“链式转发(策略接受)”，这意味着您的计算机允许将任何通信量转发到另一台计算机。

为了改变转发的政策以减少：

sudo iptables -P FORWARD DROP

上述命令将停止通过系统转发的任何通信量。这意味着没有其他系统可以作为中介传递数据。

制定你的第一条规则：

1.执行一项中止规则：

现在我们将开始构建防火墙策略，我们将首先在输入链上工作，因为输入的流量将通过输入链。

语法：-

sudo iptables -A/-I chain_name -s source_ip -j action_to_take

我们要来理解这个话题。

假设我们想阻止来自IP地址192.168.1.3的通信量。可以使用以下命令：

sudo iptables -A INPUT -s 192.168.1.3 -j DROP

这可能看上去很复杂，但当我们仔细研究组件时，大部分内容都是有意义的：-

A INPUT：

标志-A用于将规则附加到链的末尾。命令的这一部分告诉iptable，我们希望在输入链的末尾添加一个规则。

I INPUT：

在此标志中，规则被添加到链的顶部。

-S192.168.1.3：-

标志-s用于指定数据包的源。这告诉iptable查找来自源192.168.1.3的数据包。

-j Drop

这指定了iptable应该如何处理数据包。

简而言之，上面的命令在输入链中添加了一条规则，即如果任何数据包到达其源地址为192.168.1.3，则丢弃该数据包，这意味着不允许数据包到达计算机。

执行上述命令后，可以使用以下命令查看更改：-

sudo iptables -L

这个输出量将是：-

2.执行接受规则：

如果要向网络的特定端口添加规则，则可以使用以下命令。

语法：

sudo iptables -A/-I chain_name -s source_ip -p protocol_name --dport port_number -j Action_to_take

-p协议名称：-

此选项用于匹配遵循协议名称的数据包。

-p protocol_name：

只有当您给出-p protocol_name选项时，才能使用此选项。它指定查找到端口“port_number”的数据包。

例子：

假设我们希望保持SSH端口打开(在本指南中假设默认SSH端口是22)，在上述情况下，我们阻止了192.168.1.3网络。也就是说，我们只想允许那些来自192.168.1.3的数据包，而这些包想进入端口22。

我们该怎么办：

让我们试试下面的命令：

sudo iptables -A INPUT -s 192.168.1.3 -p tcp --dport 22 -j ACCEPT

上面的命令表示查找来自IP地址192.168.1.3的数据包，该数据包具有TCP协议，并且谁想在我的计算机的端口22上传递一些东西。如果你找到了这些包，然后接受它们。

这个输出量命令是：-

但是，上面的命令有一个问题。它实际上不允许数据包。你能猜到是什么吗？

提示：-它与访问规则的方式有关。

请记住，正如我们前面所讨论的，您在iptables中设置的规则是从上到下检查的。无论何时将数据包处理到顶级规则之一，都不会使用较低的规则进行检查。

好吧!答案是：

在我们的例子中，数据包是用最上面的规则检查的，该规则规定，iptable必须丢弃192.168.1.3中的任何数据包。因此，一旦通过这个规则访问了数据包，它就不会进入允许分组到端口22的下一个规则。因此失败了。

又能做些什么呢？

最简单的答案是，将规则添加到链的顶部。你要做的就是把-A选项改为-I选项。

这样做的命令是：-

sudo iptables -I INPUT -s 192.168.1.3 -p tcp --dport 22 -j ACCEPT

现在使用-L命令检查iptable配置。产出如下：

因此，来自192.168.1.3的任何数据包都会首先检查是否到达端口22，如果不是，则检查

在链中的下一个规则中运行。否则它可以通过防火墙。

现在您已经了解了如何阻止和接受传入的通信量，下面让我们看看如何删除规则：

3.从iptable中删除一条规则：

语法：

sudo iptables -D chain_name rule_number

例子：

如果我们要删除接受到端口22的通信并在前一节中添加的规则，那么：-

sudo iptables -D INPUT 1

记住规则号从1开始

这个输出量 :

4.保存配置：

如果要在不是服务器的个人计算机上实现此部分，则此部分是不必要的，但如果您正在服务器上实现防火墙，那么您的服务器很可能会损坏，并且你可能会丢失你所有的数据。所以，保存配置总是更好的。

有很多方法可以做到这一点，但我发现的最简单的方法是Iptable-持久性包裹。您可以从Ubuntu的默认存储库下载该包：

sudo apt-get update

sudo apt-get install iptables-persistent

安装完成后，可以使用以下命令保存配置：-

sudo invoke-rc.d iptables-persistent save

本教程到此结束。

让我们简要介绍到目前为止学到的所有命令：-

1.列出国际表的现行规则：sudo iptables -L

2.若要更改默认策略，请执行以下操作：sudo iptables -P Chain_name Action_to_be_taken

例子：

sudo iptables -P FORWARD DROP

3.清除/冲洗所有规则sudo iptables -F

4.在链尾附加一条规则：sudo iptables -A

5.在链的开头附加一条规则：sudo iptables -I

6.执行一项接受规则：sudo iptables -A/-I chain_name -s source_ip -j action_to_take

例子：

iptables -A INPUT -s 192.168.1.3 -j ACCEPT

7.执行一项中止规则：sudo iptables -A/-I chain_name -s source_ip -j action_to_take

例子：-

iptables -A INPUT -s 192.168.1.3 -j DROP

8.关于具体港口/议定书的执行规则：sudo iptables -A/-I chain_name -s source_ip -p protocol_name --dport port_number -j Action_to_take

例子：

sudo iptables -I INPUT -s 192.168.1.3 -p tcp --dport 22 -j ACCEPT

9.删除一项规则：sudo iptables -D chain_name rule_number

例子：

sudo iptables -D INPUT 1

10.保存配置：sudo invoke-rc.d iptables-persistent save

本教程到此结束。我们已经看到了在本地计算机上实现防火墙所需的所有必要命令。我们还可以让防火墙执行其他各种操作，但不可能在一篇文章中涵盖所有这些操作。