linux防火牆

A. linux如何搭建防火牆

Linux下開啟/關閉防火牆命令
1、永久性生效，重啟後不會復原。
開啟： chkconfig iptables on
關閉： chkconfig iptables off
2、 即時生效，重啟後復原
開啟： service iptables start
關閉： service iptables stop
需要說明的是對於Linux下的其它服務都可以用以上命令執行開啟和關閉操作。

B. Linux防火牆怎麼設置

在終端中輸入如下命令打開防火牆：
chkconfig iptables on
如閉防火牆則輸入：
chkconfig iptables off
上述兩條命令均要重啟系統才能生效。
如果不想通過重啟系統而即時生效的話，可以用「service」命令。缺點是重啟系統後設置會丟失。
開啟了防火牆：
service iptables start
關閉防火牆：
service iptables stop
要在防火牆中設置某些埠的開關，可修改編輯/etc/sysconfig/iptables文件，比如開啟SSH 埠22，可以加上如下內容：
-A RH-Firewall-1-INPUT -m state ――state NEW -m tcp -p tcp ――dport 22 -j ACCEPT

C. 如何配置linux下的防火牆

准備裝有Linux系統的電腦。

1.在linux系統裡面找到並打開編輯配置防火牆的文件，執行命令：
vi /etc/sysconfig/iptables。

(3)linux防火牆擴展閱讀：

查看防火牆狀態：

[root@cluster1 ~]# service iptables status

iptables：未運行防火牆。

開啟防火牆：

[root@cluster1 ~]# service iptables start

關閉防火牆：

[root@cluster1 ~]# service iptables stop

D. linux防火牆有什麼作用

linux防火牆作用一：

一、防火牆的基本模型

基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制，因此防火牆技術就是通過分析、控制網路以上層協議特徵，實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型：即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。

二、不應該過濾的包

在開始過濾某些不想要的包之前要注意以下內容：

ICMP包

ICMP

包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現，某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測，

當得到的ICMP應答表示需要分段時，再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包)，則本地主機不減少MTU大小，這將導致測試無法停止或網路性能下降。 到DNS的TCP連接

如果要攔阻出去的TCP連接，那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組，客戶端將使用TCP連接，並仍使用埠53接收數據。若禁止了TCP連接，DNS大多數情況下會正常工作，但可能會有奇怪的延時故障出現。

如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器，可以允許本地域埠到該伺服器的域埠連接。

主動式FTP的TCP連接

FTP有兩種運作方式，即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下，FTP 伺服器發送文件或應答LS命令時，主動和客戶端建立TCP連接。如果這些TCP連接被過濾，則主動方式的FTP將被中斷。如果使用被動方式，則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。

三、針對可能的網路攻擊

防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例，「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的

ICMP包大都不需要到分段的程度，阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。

linux防火牆作用二：

它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況， 以此來實現網路的安全保護。

在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網路的安全。

2.使用Firewall的益處

保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統， 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。

增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。

記錄和統計網路利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。

策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

3.防火牆的種類

防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

數 據 包 過 濾

數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用， 網路性能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備， 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。

數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒。

應 用 級 網 關

應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。

數據包過濾和應用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯系， 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施非法訪問和攻擊。

代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術， 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接， 由兩個終止代理伺服器上的 鏈接來實現，外部計算機的網路鏈路只能到達代理伺服器， 從而起到了隔離防火牆內外計算機系統的作用。

linux防火牆作用三：

windows防火牆是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。

具體作用如下：

1、防止來自網路上的惡意攻擊;

2、阻止外來程序連接計算機埠;

3、對電腦進行防護，防止木馬入侵或其它黑客軟體、程序運行『

4、阻止本地程序通過計算機埠，向外並發信息;

E. Linux防火牆的linux 如何查看防火牆是否開啟

1. 可以通過"netstat -anp" 來查看哪些埠被打開。
（註：加參數'-n'會將應用程序轉為埠顯示，即數字格式的地址，如：nfs->2049, ftp->21，因此可以開啟兩個終端，一一對應一下程序所對應的埠號）
2. 然後可以通過"lsof -i:$PORT"查看應用該埠的程序（$PORT指對應的埠號）。或者你也可以查看文件/etc/services，從裡面可以找出埠所對應的服務。
（註：有些埠通過netstat查不出來，更可靠的方法是"sudo nmap -sT -O localhost"）
3. 若要關閉某個埠，則可以：
1)通過iptables工具將該埠禁掉，如：
"sudo iptables -A INPUT -p tcp --dport $PORT -j DROP"
"sudo iptables -A OUTPUT -p tcp --dport $PORT -j DROP"
2)或者關掉對應的應用程序，則埠就自然關閉了，如：
"kill -9 PID" (PID：進程號)
如： 通過"netstat -anp | grep ssh"
有顯示： tcp 0 127.0.0.1:2121 0.0.0.0:* LISTEN 7546/ssh
則： "kill -9 7546"
（可通過"chkconfig"查看系統服務的開啟狀態）

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
iptables 開啟80埠
經常使用CentOS的朋友，可能會遇到和我一樣的問題。開啟了防火牆導致80埠無法訪問，剛開始學習centos的朋友可以參考下。

經常使用CentOS的朋友，可能會遇到和我一樣的問題。最近在Linux CentOS防火牆下安裝配置 ORACLE
資料庫的時候，總顯示因為網路埠而導致的EM安裝失敗，遂打算先關閉一下CentOS防火牆。偶然看到CentOS防火牆的配置操作說明，感覺不錯。執

行」setup」命令啟動文字模式配置實用程序,在」選擇一種工具」中選擇」防火牆配置」,然後選擇」運行工具」按鈕,出現CentOS防火牆配置界面,
將」安全級別」設為」禁用」,然後選擇」確定」即可.

F. linux的防火牆有什麼作用

linux防火牆作用一：

一、防火牆的基本模型

基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制，因此防火牆技術就是通過分析、控制網路以上層協議特徵，實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型：即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。

二、不應該過濾的包

在開始過濾某些不想要的包之前要注意以下內容：

ICMP包

ICMP

包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現，某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測，

當得到的ICMP應答表示需要分段時，再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包)，則本地主機不減少MTU大小，這將導致測試無法停止或網路性能下降。 到DNS的TCP連接

如果要攔阻出去的TCP連接，那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組，客戶端將使用TCP連接，並仍使用埠53接收數據。若禁止了TCP連接，DNS大多數情況下會正常工作，但可能會有奇怪的延時故障出現。

如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器，可以允許本地域埠到該伺服器的域埠連接。

主動式FTP的TCP連接

FTP有兩種運作方式，即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下，FTP 伺服器發送文件或應答LS命令時，主動和客戶端建立TCP連接。如果這些TCP連接被過濾，則主動方式的FTP將被中斷。如果使用被動方式，則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。

三、針對可能的網路攻擊

防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例，「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的

ICMP包大都不需要到分段的程度，阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。

linux防火牆作用二：

它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況， 以此來實現網路的安全保護。

在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網路的安全。

2.使用Firewall的益處

保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統， 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。

增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。

記錄和統計網路利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。

策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

3.防火牆的種類

防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

數 據 包 過 濾

數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用， 網路性能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備， 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。

數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒。

應 用 級 網 關

應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。

數據包過濾和應用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯系， 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施非法訪問和攻擊。

代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術， 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接， 由兩個終止代理伺服器上的 鏈接來實現，外部計算機的網路鏈路只能到達代理伺服器， 從而起到了隔離防火牆內外計算機系統的作用。

linux防火牆作用三：

windows防火牆是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。

具體作用如下：

1、防止來自網路上的惡意攻擊;

2、阻止外來程序連接計算機埠;

3、對電腦進行防護，防止木馬入侵或其它黑客軟體、程序運行『

4、阻止本地程序通過計算機埠，向外並發信息;

G. linux防火牆，新手求助

紅帽子的防火牆可以打開的啊，有界面那種，命令模式下的話我也不行，主要是防火牆規則非常多，專業人員也好，建議先使用有界面的防火牆玩玩。

H. LINUX防火牆的作用

一、防火牆的基本模型
基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧（網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議）。考慮到網路防火牆是為了保持網路連通性而設立的安全機制，因此防火牆技術就是通過分析、控制網路以上層協議特徵，實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型：即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。
二、不應該過濾的包
在開始過濾某些不想要的包之前要注意以下內容：
● ICMP包
ICMP
包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現，某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測，
當得到的ICMP應答表示需要分段時，再發送較小的包。如果得不到ICMP包（「destination unreachable」類型的包），則本地主機不減少MTU大小，這將導致測試無法停止或網路性能下降。
● 到DNS的TCP連接
如果要攔阻出去的TCP連接，那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組，客戶端將使用TCP連接，並仍使用埠53接收數據。若禁止了TCP連接，DNS大多數情況下會正常工作，但可能會有奇怪的延時故障出現。如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器，可以允許本地域埠到該伺服器的域埠連接。
● 主動式FTP的TCP連接
FTP有兩種運作方式，即傳統的主動式（active）方式和目前流行的被動式(passive)方式。在主動式FTP模式下，FTP 伺服器發送文件或應答LS命令時，主動和客戶端建立TCP連接。如果這些TCP連接被過濾，則主動方式的FTP將被中斷。如果使用被動方式，則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的（包括雙向的數據）。
三、針對可能的網路攻擊
防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例，「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的
ICMP包大都不需要到分段的程度，阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。

I. linux如何關閉防火牆

1、使用iptables --help可以查看幫助使用命令，非常詳細的

J. linux操作系統用什麼防火牆

因為你沒有說明是哪個Linux分發版，但是Linux的底層的東西基本都是一樣的，所以對於絕大多數分發版是有效的。Linux自身的防火牆名為「iptables」。在終端中輸入如下命令打開防火牆：
chkconfig iptables on
如閉防火牆則輸入：
chkconfig iptables off
上述兩條命令均要重啟系統才能生效。
如果不想通過重啟系統而即時生效的話，可以用「service」命令。缺點是重啟系統後設置會丟失。
開啟了防火牆：
service iptables start
關閉防火牆：
service iptables stop
要在防火牆中設置某些埠的開關，可修改編輯/etc/sysconfig/iptables文件，比如開啟SSH 埠22，可以加上如下內容：
-A RH-Firewall-1-INPUT -m state ――state NEW -m tcp -p tcp ――dport 22 -j ACCEPT