在Debian系统下,您可以使用iptables命令来设置防火墙规则。以下是一些基本的步骤和示例,帮助您开始配置防火墙规则:
更新系统: 首先,确保您的系统是最新的。
sudo apt update && sudo apt upgrade -y
安装iptables:
如果您的系统上还没有安装iptables,可以使用以下命令进行安装:
sudo apt install iptables -y
查看当前规则: 您可以使用以下命令查看当前的防火墙规则:
sudo iptables -L -v -n
设置默认策略: 设置默认策略,例如拒绝所有进入的流量,允许所有出去的流量:
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
允许SSH连接: 允许通过SSH(默认端口22)进行连接:
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
允许HTTP和HTTPS连接: 允许通过HTTP(默认端口80)和HTTPS(默认端口443)进行连接:
sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
允许DNS查询: 允许DNS查询(默认端口53):
sudo iptables -A INPUT -p udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
保存规则:
iptables规则在系统重启后会丢失,因此需要保存规则。可以使用iptables-persistent包来保存规则:
sudo apt install iptables-persistent -y
在安装过程中,系统会提示您是否保存当前的iptables规则。选择“是”以保存规则。
查看保存的规则: 您可以使用以下命令查看保存的规则:
sudo iptables-save
通过以上步骤,您可以在Debian系统上设置基本的防火墙规则。根据您的具体需求,您可以添加更多的规则来保护您的系统。