UOS服务器操作系统防火墙设置（uos20关闭防火墙）

1. UOS支持的防火墙

iptables ufw firewalld Netfilter区别？

iptables ufw firewall 都是前端管理，Netfilter才是内核。

统信的UOS服务器操作系统是基于Debian开发的，因此和Debian和Ubuntu很多命令都是相同的。在Debian和Ubuntu上面可以使用的防火墙在UOS也是可以正常使用的。

默认情况下，Debian使用iptables，Ubuntu有iptables，也使用简单的ufw，在CentOS7 之前使用的是iptables，CentOS 7开始使用firewall，Centos 7前可以使用iptables命令也可以直接编辑文件/etc/sysconfig/iptables，在firewall一般都是使用命令。在Debian和UOS是使用iptables命令，由于不是直接编辑配置文件，需要对iptables命令比较熟悉，再就是对重启生效需要编辑文件设置。ufw也可以在UOS使用，由于是简易的命令，在本文主要讨论怎么使用iptables来设置防火墙功能。

2. 防火墙设置

UOS防火墙设置步骤：

1. 检查iptables有没有安装

如果之前有使用CentOS经验使用service iptables status 是检查不出来的，在CentOS中iptables是以服务形式，这里iptables只是配置的前端的命令，也不能使用yum list查看。而是使用apt list|grep iptables 看到已经安装。表示已经正常安装，如果没有安装可以使用apt install iptables 或者apt-get install iptables，如果想要使用ufw安装apt install ufw，如果希望使用firewall，也可以安装后使用。

1. 清空原有规则

iptables -L 可以查看现有生效的规则

iptables -P INPUT ACCEPT 清空规则前放开INPUT 否则清空以后可能导致无法远程连接

#清空配置

iptables -F【清空规则】

iptables -X 【删除自建链】

iptables -Z 【重置过滤包数据】

1. 新建规则配置文件

第一种方式，编辑/etc/iptables.sh然后赋予执行权限chmod +x /etc/iptables.sh。执行以后规则就生效了，如果需要修改规则每次都可以修改此文件。

第二种方式配置文件/etc/iptables（需要使用/sbin/iptables-restore 导入规则，可以配置重启时就执行该文件）

#清空配置

iptables -F

iptables -X

iptables -Z

#配置，禁止进，允许出，允许回环网卡

iptables -P INPUT DROP

iptables -A OUTPUT -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#允许ping

iptables -A INPUT -p icmp -j ACCEPT

#允许ssh

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许VNC

iptables -A INPUT -p tcp --dport 5900 -j ACCEPT

#学习felix，把smtp设成本地

iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1

iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT

#允许DNS

iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

#允许http和https

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#禁止其他未允许的规则访问

iptables -A INPUT -j REJECT #（注意：如果22端口未加入允许规则，SSH链接会直接断开。）

iptables -A FORWARD -j REJECT

1. 导入规则

iptables-save >/etc/iptables 【保存规则】

/sbin/iptables-restore </etc/iptables 【导入规则】

1. 设置重启生效脚本

1.）将iptables.sh脚本放到init.d中每次都重启【需要保障iptables脚本一致都是最新的规则，如果是后续临时修改的规则可能不在其中】

2.）编辑/etc/network/if-pre-up.d/iptables，重启会自动生效。要保障/etc/iptables中规则一致是最新的，每次修改规则可以编辑/etc/iptables 如果是使用iptables命令新增，需要增加iptables-save >/etc/iptables 保存。

#!/bin/sh

/sbin/iptables-restore < /etc/iptables

3. 防火墙脚本

编辑如下脚本【第一次执行】，后续编辑/etc/iptables，使用/sbin/iptables-restore < /etc/iptables重新导入，或者直接iptables命令新增，iptables-save>/etc/iptables 保存，防止机器重启无效

#!/bin/sh

#防火墙脚本

echo "#!/bin/sh

/sbin/iptables-restore < /etc/iptables" >/etc/network/if-pre-up.d/iptables

echo "#清空配置

iptables -F

iptables -X

iptables -Z

#配置，禁止进，允许出，允许回环网卡

iptables -P INPUT DROP

iptables -A OUTPUT -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#允许ping

iptables -A INPUT -p icmp -j ACCEPT

#允许ssh

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许VNC

iptables -A INPUT -p tcp --dport 5900 -j ACCEPT

#学习felix，把smtp设成本地

iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1

iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT

#允许DNS

iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

#允许http和https

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#禁止其他未允许的规则访问

iptables -A INPUT -j REJECT #（注意：如果22端口未加入允许规则，SSH链接会直接断开。）

iptables -A FORWARD -j REJECT" > /etc/iptables.sh

chmod +x /etc/iptables.sh

chmod +x /etc/network/if-pre-up.d/iptables

/etc/iptables.sh

iptables-save > /etc/iptables

/sbin/iptables-restore < /etc/iptables

4. 关闭防火墙(清空所有规则，删除脚本，关闭重启)

iptables -P INPUT ACCEPT

iptables -F

iptables -X

iptables -Z

rm /etc/iptables*

rm /etc/network/if-pre-up.d/iptables

5. 配置黑白名单

#黑白名单

####当只有部分人可以访问使用白名单，当只有部分人不能访问使用黑名单

##设置链名

iptables -N whitelist

iptables -N blacklist

##设置自定义链规则

iptables -A whitelist -s xxxx ACCEPT

iptables -A blacklist -s xxxx DROP

##设置INPUT规则

iptables -A INPUT -p tcp --dport 22 -j whitelist

iptables -A INPUT -p tcp --dport 22 -j blacklist

#删除规则

iptables -D INPUT 数字（iptables -L INPUT --line-numbers 查看对应链的规则序号）

iptables -D INPUT -p tcp --dport 22 -j whitelist （也可以使用设置规则时相同的命令把A改成D）

#删除自定义链

iptables -X 链名（注意内置链不可删除）

iptables -Z 置零

iptables -F 清空规则