麒麟系统防火墙配置方法_银河麒麟操作系统最佳安全配置

        本文档介绍在银河麒麟系统中使用 iptables 服务配置防火墙的方法。在 iptables 中默认 规则是指 filter 表中的 INPUT、OUTPUT、FORWARD 三条链的规则。

1. 使用命令 iptables -nvL 进行查看规则

可以看到现在系统中没有加入自定义的规则，只有三条链的默认规则为 ACCEPT，也就 是全部放行的状态

2. 修改默认规则位丢弃状态，以 INPUT 链为例

        执行命令 iptables -P INPUT DROP 进行设置 INPUT 链的默认规则位 DROP 并使用 iptables -nvL 查看修改后的默认规则状态，如果修改 OUTPUT、FORWARD 链的 默认规则，只需要将上条命令中的链名改成 OUTPUT、FORWARD 即可。

可以看到 INPUT 链的默认规则已经是 DROP 状态。

3. 添加规则，开放协议

在添加规则前，先测试默认规则是否生效，通过 ping 本地 ip 地址进行测试结果如下

可以看到 ping 本地网络是不通的，使用命令 iptables -I INPUT -p icmp -j ACCEPT 允许 防火墙通过 icmp 协议。

4. 添加规则，开放端口

使用命令 iptables -A INPUT -p tcp --dport 22 -j ACCEPT添加规则允许目的端口为 22的包通过。

使用命令 iptables -A INPUT -p tcp --sport 22 -j ACCEPT添加规则允许 y源端口为 22的包通过。

通过上面的测试。可以看到在本地同时添加允许源端口和目的端口为 22的规则通过时，即可使用 ssh连接自己，其他端口的开启参考 22号端口的开启方式即可。

5. 清空规则

执行 iptables -F清空所有规则

6. 插入规则

执行 iptables -I INPUT 2 -d 192.168.253.193 -p tcp --dport 22 -s 192.168.253.181 --

sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT （2代表插入为第二条规则）

7. 删除规则

执行 iptables -D INPUT 3 (3代表低 3条规则)

注意：

在匹配 iptables规则时，如果已有规则能匹配到时，就不会在匹配后面的规则，默认规则最后匹配。