好的，我已经找到了如何使用 _iptables_ 来配置一个基础的防火墙，以增强您的系统安全。这些命令涵盖了设置默认策略、允许已建立的连接、配置常见的服务端口（如 SSH, HTTP, HTTPS）以及速率限制 SSH 连接来防止。。破解。 --- ### **1. 设置默认策略（清空旧规则并设置默认拒绝）** 首先，将现有的规则清空，并为 INPUT、FORWARD 和 OUTPUT 链设置默认策略。这一步会**断开所有现有连接**，请在本地控制台或通过不会断开的连接（如使用 `-c` 参数）执行。 ```bash # 清空所有现有规则 sudo iptables -F sudo iptables -X # 设置默认策略: INPUT 和 FORWARD 链默认拒绝: OUTPUT 链默认允许 sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT ACCEPT ``` ### **2. 允许本地回环接口 (lo) 和已建立的连接** 允许本地进程间的通信和已建立连接的数据包，这对系统正常运行至关重要。 ```bash # 允许回环接口 sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的和相关的连接 sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` ### **3。允许特定的入站服务** 接下来，根据您的需要开放端口。以下是常见服务的示例规则： ```bash # 允许 SSH (端口 22)，推荐增加速率限制以防范。。破解 sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/minute --limit-burst 3 -j ACCEPT # 或者简单的允许（如果没有速率限制需求）: # sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许 HTTP (80) 和 HTTPS (443) sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许 DNS 查询 (如果需要) sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT ``` ### **4. 保存规则** 根据您的 Linux 发行版，保存规则的方式不同，以便在重启后依然生效。 **对于 RHEL/CentOS/Fedora:** ```bash sudo iptables-save ``` **对于 Debian/Ubuntu:** 您可能需要安装 `iptables-persistent` 包来自动保存和加载规则。 ```bash sudo apt-get update sudo apt-get install iptables-persistent # 安装过程中会询问是否保存当前规则, 选择是即可。 # 或者之后手动保存: sudo netfilter-persistent save ``` **通用方法 (如果上述不可用):** 将规则输出到文件，并配置开机脚本加载。 ```bash sudo iptables-save > /etc/sysconfig/iptables # 或 sudo sh -c "etc/sysconfig/iptables ``` --- ### **重要提醒与建议:** * **小心操作**: 错误的防火墙规则可能导致您无法远程访问服务器。**强烈建议**在本地控制台（如通过虚拟机控制台、云服务商的VNC）或在一个不会因为规则变更而中断的连接中操作。 * **按需调整**: 请根据您的实际服务调整端口号（例如，如果SSH端口不是22）和协议（tcp/udp）。 * **更复杂的需求**: 对于更复杂的场景（如端口转发、NAT、多网卡），需要更多的 `iptables` 知识或考虑使用更高级的工具（如 `firewalld` 或 `ufw`）。 您可以根据这个基础框架进行修改。如果您能告诉我您具体的 Linux 发行版和需要开放哪些服务，我可以提供更精确的命令。