Firewall ໃນ Linux ມີບົດບາດສໍາຄັນໃນການຮັບປະກັນລະບົບຄອມພິວເຕີ. ມັນເຮັດຫນ້າທີ່ເປັນອຸປະສັກ, ການຄວບຄຸມແລະການກັ່ນຕອງການຈະລາຈອນເຄືອຂ່າຍເພື່ອປົກປ້ອງລະບົບຈາກການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ການໂຈມຕີແລະໄພຂົ່ມຂູ່ອື່ນໆ. ຖ້າບໍ່ມີ Firewall ທີ່ຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງ, ເຊີບເວີອາດຈະມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີທາງອິນເຕີເນັດປະເພດຕ່າງໆ, ເຊິ່ງນໍາໄປສູ່ຜົນສະທ້ອນທີ່ຮ້າຍແຮງຕໍ່ຄວາມປອດໄພຂອງຂໍ້ມູນແລະຄວາມລັບ.
ໃນບົດຄວາມນີ້, ພວກເຮົາຈະເບິ່ງສອງເຄື່ອງມືຕົ້ນຕໍສໍາລັບການຕັ້ງຄ່າ Linux Firewall: firewalld ແລະ iptables. ພວກເຮົາຈະດໍາເນີນການວິເຄາະປຽບທຽບຂອງລັກສະນະ, ຫນ້າທີ່ແລະຂໍ້ໄດ້ປຽບຂອງເຂົາເຈົ້າ. ນອກຈາກນັ້ນ, ພວກເຮົາຈະໃຫ້ຄໍາແນະນໍາຢ່າງລະອຽດສໍາລັບການຕັ້ງຄ່າແລະການນໍາໃຊ້ແຕ່ລະເຄື່ອງມືເຫຼົ່ານີ້, ເຊັ່ນດຽວກັນກັບປຶກສາຫາລືກ່ຽວກັບການປະຕິບັດທີ່ດີທີ່ສຸດສໍາລັບການຮັບປະກັນລະບົບຂອງທ່ານດ້ວຍ Firewall ໃນເວທີ Linux. ການກະທໍາທັງຫມົດຈະໄດ້ຮັບການສະແດງໃຫ້ເຫັນກ່ຽວກັບການ a virtual server ມີການເຂົ້າເຖິງຮາກ.
ຕັ້ງຄ່າ firewalld ໃນ Linux
Firewalld (Firewall Daemon) ແມ່ນໂຄງການສໍາລັບການຄຸ້ມຄອງໄຟວໍໃນລະບົບປະຕິບັດການ Linux. ມັນສະຫນອງການໂຕ້ຕອບຜູ້ໃຊ້ສໍາລັບການຕັ້ງຄ່າກົດລະບຽບໄຟວໍ, ອະນຸຍາດໃຫ້ຫຼືສະກັດການເຊື່ອມຕໍ່ຂອງຄໍາຮ້ອງສະຫມັກເຄືອຂ່າຍ. ມັນຖືກຕິດຕັ້ງໄວ້ກ່ອນໂດຍຄ່າເລີ່ມຕົ້ນໃນການແຈກຢາຍຂອງເຄື່ອງແມ່ຂ່າຍສ່ວນໃຫຍ່. ຖ້າ Firewalld ບໍ່ໄດ້ຕິດຕັ້ງໄວ້ລ່ວງໜ້າ, ມັນສາມາດຕິດຕັ້ງໄດ້ຢ່າງເປັນອິດສະຫຼະຈາກບ່ອນເກັບມ້ຽນຢ່າງເປັນທາງການຂອງການແຈກຢາຍ.
ສໍາລັບລະບົບ Red Hat (ເຊັ່ນ RHEL, CentOS, Fedora) ການຕິດຕັ້ງແມ່ນປະຕິບັດດ້ວຍຄໍາສັ່ງ:
yum install firewalldສໍາລັບ Debian / Ubuntu:
apt-get install firewalldຫຼັງຈາກການຕິດຕັ້ງ, ມັນສາມາດເລີ່ມຕົ້ນແລະເປີດໃຊ້ໄດ້ທັນທີດ້ວຍຄໍາສັ່ງ:
systemctl start firewalldຕໍ່ໄປ, ທ່ານຈໍາເປັນຕ້ອງເພີ່ມການບໍລິການເພື່ອເລີ່ມຕົ້ນ:
systemctl enable firewalld
ໃນຈຸດນີ້, ພວກເຮົາແນະນໍາໃຫ້ປິດການໃຊ້ງານ ufw, ເນື່ອງຈາກວ່າການນໍາໃຊ້ພ້ອມໆກັນຂອງເຄື່ອງມືນີ້ກັບ firewalld ຫຼື iptables ແມ່ນບໍ່ແນະນໍາ. ກວດເບິ່ງສະຖານະ:
systemctl status ufw
ເພື່ອຢຸດມັນ, ໃສ່ຄໍາສັ່ງ:
systemctl stop ufwສໍາລັບການປິດໃຊ້ງານຢ່າງສົມບູນ:
ufw disableຫຼັງຈາກການປະຕິບັດເຫຼົ່ານີ້, ທ່ານສາມາດດໍາເນີນການຕັ້ງຄ່າ firewalld ໄດ້.
ກ່ອນອື່ນ ໝົດ, ມັນ ຈຳ ເປັນຕ້ອງ ກຳ ນົດເຂດຄວາມໄວ້ວາງໃຈ. Firewalld ໃຊ້ແນວຄວາມຄິດຂອງເຂດເພື່ອກໍານົດລະດັບຄວາມໄວ້ວາງໃຈສໍາລັບການໂຕ້ຕອບເຄືອຂ່າຍ. ແຕ່ລະອິນເຕີເຟດຖືກມອບໝາຍເຂດດຽວ, ແລະກົດລະບຽບຂອງໄຟວໍຖືກນຳໃຊ້ໂດຍອີງໃສ່ເຂດ. ບັນຊີລາຍຊື່ຂອງເຂດທີ່ມີຢູ່ທັງຫມົດແມ່ນເປີດດ້ວຍຄໍາສັ່ງ:
firewall-cmd --get-zonesໂດຍປົກກະຕິ, 4 ເຂດຕົ້ນຕໍແມ່ນໃຊ້:
- ສາທາລະນະ: ເຂດນີ້ແມ່ນສໍາລັບເຄືອຂ່າຍທີ່ທ່ານຖືວ່າບໍ່ປອດໄພ;
- ສ່ວນຕົວ: ໃຊ້ກັບເຄືອຂ່າຍບ້ານ ຫຼືການເຊື່ອມຕໍ່ເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້ອື່ນໆ;
- ພາຍໃນ: ໃຊ້ສໍາລັບເຄືອຂ່າຍພາຍໃນ, ເຊັ່ນວ່າພາຍໃນອົງການຫຼືເຄືອຂ່າຍຂອງບໍລິສັດ;
- DMZ: ເຂດນີ້ແມ່ນບ່ອນທີ່ເຄື່ອງແມ່ຂ່າຍມັກຈະຖືກວາງໄວ້ທີ່ຄວນຈະເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດ.
ຢ່າງໃດກໍຕາມ, ນີ້ແມ່ນພຽງແຕ່ຫນຶ່ງຕົວຢ່າງ. ທ່ານສາມາດເພີ່ມເຂດຂອງທ່ານເອງໂດຍໃຊ້ຄໍາສັ່ງ:
firewall-cmd --permanent --new-zone=nameyourzoneຫຼັງຈາກການເພີ່ມ, ການໂຫຼດໃຫມ່ແມ່ນຕ້ອງການ:
firewall-cmd --reloadເພື່ອລຶບເຂດໃດໜຶ່ງ, ວິທີການທີ່ຄ້າຍຄືກັນແມ່ນໃຊ້
firewall-cmd --permanent --delete-zone=nameyourzoneຫຼັງຈາກກໍານົດເຂດ, ມັນຈໍາເປັນຕ້ອງອະນຸຍາດໃຫ້ການຈະລາຈອນສໍາລັບການບໍລິການແລະທ່າເຮືອທີ່ຈໍາເປັນ. ເພື່ອອະນຸຍາດໃຫ້ການບໍລິການສະເພາະໃດຫນຶ່ງ, ໃຊ້ຄໍາສັ່ງ:
firewall-cmd --zone=public --add-service=nameບ່ອນທີ່ ຊື່ ແມ່ນຊື່ຂອງການບໍລິການ. ຕົວຢ່າງ, ເພື່ອອະນຸຍາດໃຫ້ການຈະລາຈອນສໍາລັບ Apache:
firewall-cmd --zone=public --add-service=httpເພື່ອກໍານົດພອດທີ່ອະນຸຍາດ, ໃຊ້ຄໍາສັ່ງ:
firewall-cmd --zone=public --add-port=number/protocolຕົວຢ່າງ, ມາດຕະຖານ 22 ພອດສໍາລັບ SSH ຈະມີລັກສະນະນີ້:
firewall-cmd --zone=public --add-port=22/tcpໃນຂັ້ນຕອນນີ້, ກົດລະບຽບຕົ້ນຕໍໄດ້ຖືກສ້າງຂື້ນແລ້ວ. ຕໍ່ໄປ, ກໍານົດວິທີການຈາລະຈອນຈະຖືກປຸງແຕ່ງໂດຍອີງຕາມແຫຼ່ງ, ຈຸດຫມາຍປາຍທາງ, ທ່າເຮືອ, ແລະເງື່ອນໄຂອື່ນໆ. ເພື່ອເພີ່ມກົດລະບຽບ (ການນໍາໃຊ້ ສາທາລະນະ zone ເປັນຕົວຢ່າງ):
firewall-cmd --zone=public ruleຕົວຢ່າງ, ເພື່ອອະນຸຍາດໃຫ້ການຈະລາຈອນເຂົ້າມາຈາກແຫຼ່ງໃດກໍ່ໄດ້ໄປຫາພອດ 80 (HTTP):
firewall-cmd --zone=public --add-port=80/tcp --permanentເພື່ອເອົາກົດລະບຽບອອກ:
firewall-cmd --permanent --remove-rule=rule_specificationບ່ອນທີ່ ກົດລະບຽບ ແມ່ນປະເພດຂອງກົດລະບຽບ (ຕົວຢ່າງ, ທ່າເຮືອ, ການບໍລິການ, ກົດລະບຽບອຸດົມສົມບູນ, ແລະອື່ນໆ), ແລະ rule_specification ແມ່ນສະເພາະຂອງກົດລະບຽບຂອງມັນເອງ.
ຫຼັງຈາກເຮັດການປ່ຽນແປງການຕັ້ງຄ່າ Firewalld, ມັນຈໍາເປັນຕ້ອງບັນທຶກແລະນໍາໃຊ້ພວກມັນ. ເພື່ອບັນທຶກການປ່ຽນແປງ, ໃຊ້ຄໍາສັ່ງ:
firewall-cmd --runtime-to-permanentເພື່ອນຳໃຊ້ການປ່ຽນແປງ:
firewall-cmd --reloadເມື່ອສໍາເລັດການຕິດຕັ້ງ, ທ່ານສາມາດກວດສອບຕົວກໍານົດການທີ່ເລືອກໂດຍການເປີດບັນຊີລາຍຊື່ຂອງກົດລະບຽບທັງຫມົດ:
firewall-cmd --list-all
ຖ້າມີບັນຫາໃດໆເກີດຂື້ນ, ໃຫ້ກວດເບິ່ງບັນທຶກ Firewalld ດ້ວຍຄໍາສັ່ງ:
journalctl -u firewalldຫມາຍເຫດ: ພວກເຮົາໄດ້ກວມເອົາພຽງແຕ່ algorithm ທົ່ວໄປສໍາລັບການຕັ້ງຄ່າການເຊື່ອມຕໍ່. ເຄື່ອງມືມີຫນ້າທີ່ກວ້າງຂວາງ. ສໍາລັບຂໍ້ມູນເຕັມທີ່ທັງຫມົດທາງເລືອກທີ່ມີຢູ່, ທ່ານສາມາດນໍາໃຊ້ ເອກະສານຢ່າງເປັນທາງການ ຫຼືເປີດການຊ່ວຍເຫຼືອ:
firewall-cmd --helpການຕັ້ງຄ່າ iptables ໃນ Linux
ບໍ່ເຫມືອນກັບ Firewalld, iptables ເປັນເຄື່ອງມືເກົ່າແກ່ແຕ່ຍັງຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງໃນ Linux ສໍາລັບການຄຸ້ມຄອງໄຟວໍ. ມັນສະຫນອງວິທີການໂດຍກົງແລະມີຄວາມຍືດຫຍຸ່ນຫຼາຍຕໍ່ກັບກົດລະບຽບການກັ່ນຕອງແພັກເກັດຢູ່ໃນລະດັບ Linux kernel. ຢ່າງໃດກໍຕາມ, iptables ຕ້ອງການຄວາມຮູ້ແລະປະສົບການທີ່ກ້າວຫນ້າກວ່າເມື່ອທຽບກັບ Firewalld, ເຮັດໃຫ້ມັນເຂົ້າເຖິງຫນ້ອຍສໍາລັບຜູ້ເລີ່ມຕົ້ນ. ກວດເບິ່ງເວີຊັນທີ່ຕິດຕັ້ງໄວ້ລ່ວງໜ້າຂອງເຄື່ອງມືດ້ວຍຄຳສັ່ງ:
iptables -Vຖ້າເຄື່ອງມືບໍ່ໄດ້ຖືກຕິດຕັ້ງ, ມັນຈະຕ້ອງໄດ້ຮັບການຕິດຕັ້ງ. ຄໍາສັ່ງສໍາລັບການຕິດຕັ້ງໃນ Ubuntu, Debian:
apt install iptablesສໍາລັບລະບົບ Red Hat (ເຊັ່ນ: CentOS, Fedora):
yum install iptablesຄໍາສັ່ງສໍາລັບການເປີດໃຊ້ງານຫຼັງຈາກການຕິດຕັ້ງ:
systemctl start iptablesເພື່ອເພີ່ມການເລີ່ມຕົ້ນ, ດໍາເນີນການ:
systemctl enable iptablesກ່ອນທີ່ຈະເລີ່ມຕົ້ນການຕັ້ງຄ່າ iptables, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຂົ້າໃຈວ່າມັນເຮັດວຽກແນວໃດ. ນີ້ແມ່ນຊ່ວຍໂດຍ syntax ຂອງໂຄງການ. ມັນເບິ່ງຄືວ່າດັ່ງຕໍ່ໄປນີ້:
iptables -t table action chain additional_parametersໃຫ້ພວກເຮົາເຈາະເລິກເຂົ້າໄປໃນແຕ່ລະລາຍການ.
Iptables ມີສີ່ຕາຕະລາງຕົ້ນຕໍ: ການກັ່ນຕອງ, nat, mangle, ແລະວັດຖຸດິບ. ແຕ່ລະອັນໄດ້ຖືກອອກແບບສໍາລັບການປຸງແຕ່ງບາງປະເພດຂອງຊອງແລະມີລະບົບຕ່ອງໂສ້ຂອງຕົນເອງຂອງລະບຽບການ:
- ການກັ່ນຕອງ: ນີ້ແມ່ນຕາຕະລາງທີ່ໃຊ້ເລື້ອຍໆທີ່ສຸດ, ມີກົດລະບຽບການກັ່ນຕອງແພັກເກັດ. ມັນຖືກນໍາໃຊ້ເພື່ອການຕັດສິນໃຈວ່າຈະອະນຸຍາດໃຫ້ຫຼືປະຕິເສດການຫຸ້ມຫໍ່.
- ເນດ: ຕາຕະລາງນີ້ຖືກນໍາໃຊ້ສໍາລັບການດັດແກ້ທີ່ຢູ່ເຄືອຂ່າຍແລະພອດໃນແພັກເກັດ. ມັນມັກຈະຖືກໃຊ້ສໍາລັບການຕັ້ງ masquerading (NAT).
- mangle: ໃນຕາຕະລາງນີ້, ທ່ານສາມາດດັດແປງ headers packet. ມັນຖືກນໍາໃຊ້ສໍາລັບການດໍາເນີນການຫຸ້ມຫໍ່ພິເສດ, ເຊັ່ນ: ເຄື່ອງຫມາຍ.
- ວັດຖຸດິບ: ຕາຕະລາງນີ້ຖືກນໍາໃຊ້ສໍາລັບການຕັ້ງຄ່າກົດລະບຽບທີ່ນໍາໃຊ້ກ່ອນທີ່ມັນຈະຜ່ານລະບົບການຕິດຕາມການເຊື່ອມຕໍ່. ໂດຍປົກກະຕິມັນຖືກນໍາໃຊ້ສໍາລັບການຕັ້ງຄ່າກົດລະບຽບທີ່ບໍ່ຄວນຖືກດັດແປງໂດຍລະບົບການຕິດຕາມ, ເຊັ່ນ: ການລຸດແພັກເກັດຈາກທີ່ຢູ່ທີ່ແນ່ນອນ.
ແຕ່ລະຕາຕະລາງປະກອບດ້ວຍຊຸດຂອງຕ່ອງໂສ້. ລະບົບຕ່ອງໂສ້ແມ່ນລໍາດັບຂອງກົດລະບຽບທີ່ຖືກກວດສອບຕາມລໍາດັບ. ມີສາມຕ່ອງໂສ້ທີ່ກໍານົດໄວ້ກ່ອນ:
- INPUT (ຂາເຂົ້າ). ກົດລະບຽບໃນລະບົບຕ່ອງໂສ້ນີ້ກໍານົດສິ່ງທີ່ຕ້ອງເຮັດກັບແພັກເກັດທີ່ເຂົ້າມາ.
- OUTPUT (ຂາອອກ). ລະບົບຕ່ອງໂສ້ນີ້ໃຊ້ກັບທຸກແພັກເກັດທີ່ຄອມພິວເຕີຂອງທ່ານສົ່ງໄປຫາອຸປະກອນອື່ນ ຫຼືຄອມພິວເຕີຢູ່ໃນເຄືອຂ່າຍ.
- FORWARD (ການສົ່ງຕໍ່). ກົດລະບຽບໃນລະບົບຕ່ອງໂສ້ນີ້ລະບຸສິ່ງທີ່ຕ້ອງເຮັດກັບແພັກເກັດທີ່ສົ່ງຕໍ່.
ສຸດທ້າຍ, ແຕ່ລະຕ່ອງໂສ້ມີການປະຕິບັດບາງຢ່າງ (ເປົ້າຫມາຍ). ໃນການປະຕິບັດ, 5 ການປະຕິບັດຕົ້ນຕໍໄດ້ຖືກນໍາໃຊ້:
- ຍອມຮັບ: ອະນຸຍາດໃຫ້ແພັກເກັດຜ່ານໄຟວໍ.
- ຢຸດ: ປະຕິເສດແພັກເກັດດັ່ງກ່າວ ແລະ ຍົກເລີກມັນໂດຍບໍ່ມີການຕອບສະໜອງໃດໆ.
- ປະຕິເສດ: ປະຕິເສດແພັກເກັດ ແລະສົ່ງຂໍ້ຄວາມຂໍ້ຜິດພາດ ICMP ໃຫ້ກັບຜູ້ສົ່ງ.
- LOG: ບັນທຶກແພັກເກັດຢູ່ໃນບັນທຶກຂອງລະບົບ ແລະດໍາເນີນການອື່ນ (ເຊັ່ນ: ຍອມຮັບ ຫຼື ລຸດລົງ).
- ກັບຄືນ: ຢຸດການກວດສອບກົດລະບຽບໃນລະບົບຕ່ອງໂສ້ປະຈຸບັນແລະກັບຄືນສູ່ລະບົບຕ່ອງໂສ້ການໂທ (ຖ້າມີ).
ເພື່ອເລີ່ມຕົ້ນການຕິດຕັ້ງ, ເປີດບັນຊີລາຍຊື່ຂອງກົດລະບຽບທີ່ມີຢູ່ແລ້ວດ້ວຍຄໍາສັ່ງ:
iptables -L
ໃນຖານະເປັນຄໍາແນະນໍາສໍາລັບການຕັ້ງຄ່າ Iptables, ໃຫ້ພວກເຮົາເບິ່ງຕົວຢ່າງການປະຕິບັດຂອງຄໍາສັ່ງທີ່ໃຊ້ທົ່ວໄປທີ່ສຸດ. ເພື່ອຄວາມສະດວກ, ພວກເຮົາຈະແບ່ງຕົວຢ່າງອອກເປັນ 3 ກຸ່ມ, ຂຶ້ນກັບລະບົບຕ່ອງໂສ້ສະເພາະ.
ລະບົບຕ່ອງໂສ້ ປັດໄຈນໍາເຂົ້າ:
- ອະນຸຍາດໃຫ້ການຈະລາຈອນເຂົ້າມາໂດຍຜ່ານການ TCP protocol ໃນພອດ 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT2. ອະນຸຍາດໃຫ້ການຈະລາຈອນເຂົ້າມາຜ່ານ UDP protocol ໃນພອດ 22
iptables -A INPUT -p udp --dport 22 -j ACCEPT3. ຂັດຂວາງການຈະລາຈອນຂາເຂົ້າຈາກທີ່ຢູ່ IP ສະເພາະ:
iptables -A INPUT -s 192.168.1.100 -j DROPລະບົບຕ່ອງໂສ້ OUTPUT:
- ອະນຸຍາດໃຫ້ການຈະລາຈອນຂາອອກຜ່ານ TCP protocol ໃນພອດ 443:
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT2. ອະນຸຍາດໃຫ້ຈະລາຈອນຂາອອກໂດຍຜ່ານອະນຸສັນຍາ UDP ໃນພອດ 80:
iptables -A OUTPUT -p udp --dport 80 -j ACCEPT3. ຂັດຂວາງການຈະລາຈອນຂາອອກໄປຫາພອດສະເພາະ (ຕົວຢ່າງ: 21):
iptables -A OUTPUT -p tcp --dport 21 -j DROPລະບົບຕ່ອງໂສ້ FORWARD:
- ບລັອກການສົ່ງຕໍ່ຈາກໄລຍະສະເພາະຂອງທີ່ຢູ່ IP:
iptables -A FORWARD -s 172.16.0.0/24 -j DROP2. ຂັດຂວາງການສົ່ງຕໍ່ແພັກເກັດຈາກສ່ວນຕິດຕໍ່ເຄືອຂ່າຍສະເພາະ:
iptables -A FORWARD -i eth1 -j DROP3. ຈໍາກັດຈໍານວນຂອງການເຊື່ອມຕໍ່ພ້ອມກັນສໍາລັບພອດສະເພາະໃດຫນຶ່ງ (ໃນຕົວຢ່າງນີ້, 10 ການເຊື່ອມຕໍ່ຕໍ່ນາທີໃນພອດ 80):
iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPTດັ່ງທີ່ທ່ານສາມາດເຫັນໄດ້, ໃນແຕ່ລະກໍລະນີແຍກຕ່າງຫາກ, ການໂຕ້ຖຽງເພີ່ມເຕີມ (ຄໍາສັ່ງ) ຖືກນໍາໃຊ້. ເພື່ອໃຫ້ໄດ້ຮັບບັນຊີລາຍຊື່ເຕັມຂອງການໂຕ້ຖຽງທີ່ເປັນໄປໄດ້ແລະການສະຫນັບສະຫນູນໂດຍລວມສໍາລັບການເຮັດວຽກຂອງເຄື່ອງມື, ກະລຸນາໃສ່:
iptables -h
ເພື່ອຮັບປະກັນວ່າການຕັ້ງຄ່າຖືກຕ້ອງ, ກະລຸນາໃສ່ຄໍາສັ່ງຄືນໃໝ່ເພື່ອເບິ່ງລາຍຊື່ກົດລະບຽບ:
iptables -L
ເພື່ອລຶບກົດລະບຽບສະເພາະ, ໃຊ້ຄໍາສັ່ງ:
iptables -D chain rule_numberຕົວຢ່າງ: ຖ້າທ່ານຕ້ອງການລຶບກົດລະບຽບເລກ 1 ຈາກລະບົບຕ່ອງໂສ້ INPUT, ຄໍາສັ່ງຈະມີລັກສະນະນີ້:
iptables -D INPUT 1ເພື່ອລຶບກົດລະບຽບທັງຫມົດດ້ວຍຄໍາສັ່ງດຽວ:
iptables -Fຫມາຍເຫດທີ່ສໍາຄັນ: iptables ບໍ່ໄດ້ບັນທຶກອັດຕະໂນມັດຫຼັງຈາກ rebooting ລະບົບຫຼືການບໍລິການ. ເພື່ອບັນທຶກກົດລະບຽບ, ພວກມັນຈໍາເປັນຕ້ອງຖືກເພີ່ມໃສ່ໄຟລ໌ການຕັ້ງຄ່າແລະຟື້ນຟູຫຼັງຈາກ reboot. ໄດ້ iptables-save ແລະ iptables-ຟື້ນຟູ ຜົນປະໂຫຍດສາມາດຊ່ວຍໃນເລື່ອງນີ້. ເພື່ອບັນທຶກກົດລະບຽບ, ໃສ່ຄໍາສັ່ງ:
iptables-save > /etc/iptables/rules.v4ອັນນີ້ບັນທຶກກົດລະບຽບ iptables ປະຈຸບັນໃນໄຟລ໌ rules.v4. ເພື່ອຟື້ນຟູຫຼັງຈາກປິດເປີດໃໝ່, ກະລຸນາໃສ່:
iptables-restore < /etc/iptables/rules.v4ຄໍາສັ່ງນີ້ຟື້ນຟູກົດລະບຽບຈາກໄຟລ໌ rules.v4.
ສະຫຼຸບ
ການຕັ້ງຄ່າ Firewall ໃນ Linux ໂດຍໃຊ້ firewalld ຫຼື iptables ແມ່ນລັກສະນະທີ່ສໍາຄັນຂອງການຮັບປະກັນຄວາມປອດໄພຂອງເຄື່ອງແມ່ຂ່າຍ. ເຄື່ອງມືທັງສອງສະເຫນີວິທີການທີ່ເຊື່ອຖືໄດ້ໃນການຄຸ້ມຄອງການຈະລາຈອນເຄືອຂ່າຍແລະປົກປ້ອງລະບົບຈາກການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດແລະການໂຈມຕີທາງອິນເຕີເນັດ. ທາງເລືອກລະຫວ່າງ firewalld ແລະ iptables ແມ່ນຂຶ້ນກັບຄວາມຕ້ອງການສະເພາະແລະຄວາມມັກຂອງຜູ້ໃຊ້, ພິຈາລະນາຫນ້າທີ່ແລະຄວາມເຂັ້ມແຂງທີ່ແຕກຕ່າງກັນຂອງພວກເຂົາ.
