linux下IPTABLES配置詳解

-t<表>：指定要操縱的表；
-A：向規則鏈中添加條目；
-D：從規則鏈中刪除條目；
-i：向規則鏈中插入條目；
-R：替換規則鏈中的條目；
-L：顯示規則鏈中已有的條目；
-F：清楚規則鏈中已有的條目；
-Z：清空規則鏈中的數據包計算器和字節計數器；
-N：建立新的用戶自定義規則鏈；
-P：定義規則鏈中的默認目標；
-h：顯示幫助信息；
-p：指定要匹配的數據包協議類型；
-s：指定要匹配的數據包源ip地址；
-j<目標>：指定要跳轉的目標；
-i<網絡接口>：指定數據包進入本機的網絡接口；
-o<網絡接口>：指定數據包要離開本機所使用的網絡接口。

iptables命令選項輸入順序：

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 動做

表名包括：

• raw：高級功能，如：網址過濾。
• mangle：數據包修改（QOS），用於實現服務質量。
• net：地址轉換，用於網關路由器。
• filter：包過濾，用於防火牆規則。

規則鏈名包括：

• INPUT鏈：處理輸入數據包。
• OUTPUT鏈：處理輸出數據包。
• PORWARD鏈：處理轉發數據包。
• PREROUTING鏈：用於目標地址轉換（DNAT）。
• POSTOUTING鏈：用於源地址轉換（SNAT）。

動做包括：

• accept：接收數據包。
• DROP：丟棄數據包。
• REDIRECT：重定向、映射、透明代理。
• SNAT：源地址轉換。
• DNAT：目標地址轉換。
• MASQUERADE：IP假裝（NAT），用於ADSL。
• LOG：日誌記錄。

實例

清除已有iptables規則

iptables -F
iptables -X
iptables -Z

開放指定的端口

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #容許本地迴環接口(即運行本機訪問本機)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #容許已創建的或相關連的通行
iptables -A OUTPUT -j ACCEPT         #容許全部本機向外的訪問
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #容許訪問22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #容許訪問80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #容許ftp服務的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #容許FTP服務的20端口
iptables -A INPUT -j reject #禁止其餘未容許的規則訪問 iptables -A FORWARD -j REJECT #禁止其餘未容許的規則訪問

屏蔽IP

iptables -I INPUT -s 123.45.6.7 -j DROP       #屏蔽單個IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整個段即從123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即從123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即從123.45.6.1到123.45.6.254的命令是

查看已添加的iptables規則

iptables -L -n -v
Chain INPUT (policy DROP 48106 packets, 2690K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 191K   90M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
1499K  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
4364K 6351M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 6256  327K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0  

刪除已添加的iptables規則

將全部iptables以序號標記顯示，執行：

iptables -L -n --line-numbers

好比要刪除INPUT裏序號爲8的規則，執行：

iptables -D INPUT 8

咱們來配置一個filter表的防火牆.

(1)查看本機關於IPTABLES的設置狀況

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         

Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination         

Chain RH-Firewall-1-INPUT (0 references)
target       prot opt source                 destination         
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       icmp --    0.0.0.0/0              0.0.0.0/0             icmp type 255 
ACCEPT       esp    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       ah     --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       udp    --    0.0.0.0/0              224.0.0.251           udp dpt:5353 
ACCEPT       udp    --    0.0.0.0/0              0.0.0.0/0             udp dpt:631 
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0             state RELATED,ESTABLISHED 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:22 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:80 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:25 
REJECT       all    --    0.0.0.0/0              0.0.0.0/0             reject-with icmp-host-prohibited 
能夠看出我在安裝linux時,選擇了有防火牆,而且開放了22,80,25端口.

若是你在安裝linux時沒有選擇啓動防火牆,是這樣的

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         

Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination  

什麼規則都沒有.

(2)清除原有規則.

無論你在安裝linux時是否啓動了防火牆,若是你想配置屬於本身的防火牆,那就清除如今filter的全部規則.

[root@tp ~]# iptables -F        清除預設表filter中的全部規則鏈的規則
[root@tp ~]# iptables -X        清除預設表filter中使用者自定鏈中的規則

咱們在來看一下

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         

Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination      

什麼都沒有了吧,和咱們在安裝linux時沒有啓動防火牆是同樣的.(提早說一句,這些配置就像用命令配置IP同樣,重起就會失去做用),怎麼保存.

[root@tp ~]# /etc/rc.d/init.d/iptables save

 

這樣就能夠寫到/etc/sysconfig/iptables文件裏了.寫入後記得把防火牆重起一下,才能起做用.

[root@tp ~]# service iptables restart

 

如今IPTABLES配置表裏什麼配置都沒有了,那咱們開始咱們的配置吧

(3)設定預設規則

[root@tp ~]# iptables -p INPUT DROP

[root@tp ~]# iptables -p OUTPUT ACCEPT

[root@tp ~]# iptables -p FORWARD DROP
上面的意思是,當超出了IPTABLES裏filter表裏的兩個鏈規則(INPUT,FORWARD)時,不在這兩個規則裏的數據包怎麼處理呢,那就是DROP(放棄).應該說這樣配置是很安全的.咱們要控制流入數據包

而對於OUTPUT鏈,也就是流出的包咱們不用作太多限制,而是採起ACCEPT,也就是說,不在着個規則裏的包怎麼辦呢,那就是經過.

能夠看出INPUT,FORWARD兩個鏈採用的是容許什麼包經過,而OUTPUT鏈採用的是不容許什麼包經過.

這樣設置仍是挺合理的,固然你也能夠三個鏈都DROP,但這樣作我認爲是沒有必要的,並且要寫的規則就會增長.但若是你只想要有限的幾個規則是,如只作WEB服務器.仍是推薦三個鏈都是DROP.

注:若是你是遠程SSH登錄的話,當你輸入第一個命令回車的時候就應該掉了.由於你沒有設置任何規則.

怎麼辦,去本機操做唄!

(4)添加規則.

首先添加INPUT鏈,INPUT鏈的默認規則是DROP,因此咱們就寫須要ACCETP(經過)的鏈

爲了能採用遠程SSH登錄,咱們要開啓22端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT  (注:這個規則,若是你把OUTPUT 設置成DROP的就要寫上這一部,好多人都是望了寫這一部規則致使,始終沒法SSH.在遠程一下,是否是好了.

其餘的端口也同樣,若是開啓了web服務器,OUTPUT設置成DROP的話,一樣也要添加一條鏈:

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其餘同理.)

若是作了WEB服務器,開啓80端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
若是作了郵件服務器,開啓25,110端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
若是作了FTP服務器,開啓21端口

[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT

[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

若是作了DNS服務器,開啓53端口

[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

若是你還作了其餘的服務器,須要開啓哪一個端口,照寫就好了.

上面主要寫的都是INPUT鏈,凡是不在上面的規則裏的,都DROP

容許icmp包經過,也就是容許ping,

[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話)

[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT    (INPUT設置成DROP的話)

容許loopback!(否則會致使DNS沒法正常關閉等問題)

IPTABLES -A INPUT -i lo -p all -j ACCEPT (若是是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(若是是OUTPUT DROP)

下面寫OUTPUT鏈,OUTPUT鏈默認規則是ACCEPT,因此咱們就寫須要DROP(放棄)的鏈.

減小不安全的端口鏈接

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP

[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

有些些特洛伊木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務。既然合法服務都不使用這些非標準端口來通訊,阻塞這些端口可以有效地減小你的網絡上可能被感染的機器和它們的遠程主服務器進行獨立通訊的機會

還有其餘端口也同樣,像:3133五、2744四、2766五、20034 NetBus、970四、137-139（smb）,2049(NFS)端口也應被禁止,我在這寫的也不全,有興趣的朋友應該去查一下相關資料.

 

固然出入更安全的考慮你也能夠包OUTPUT鏈設置成DROP,那你添加的規則就多一些,就像上邊添加

容許SSH登錄同樣.照着寫就好了.

 

下面寫一下更加細緻的規則,就是限制到某臺機器

如:咱們只容許192.168.0.3的機器進行SSH鏈接

[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

若是要容許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的全部IP.

24表示子網掩碼數.但要記得把 /etc/sysconfig/iptables 裏的這一行刪了.

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 由於它表示全部地址均可以登錄.

或採用命令方式:

[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT

而後保存,我再說一邊,反是採用命令的方式,只在當時生效,若是想要重起後也起做用,那就要保存.寫入到/etc/sysconfig/iptables文件裏.

[root@tp ~]# /etc/rc.d/init.d/iptables save

這樣寫 !192.168.0.3 表示除了192.168.0.3的ip地址

其餘的規則鏈接也同樣這麼設置.

 

在下面就是FORWARD鏈,FORWARD鏈的默認規則是DROP,因此咱們就寫須要ACCETP(經過)的鏈,對正在轉發鏈的監控.

開啓轉發功能,(在作NAT時,FORWARD默認規則是DROP時,必須作)

[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT

丟棄壞的TCP包

[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

處理IP碎片數量,防止攻擊,容許每秒100個

[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

設置ICMP包過濾,容許每秒1個包,限制觸發條件是10個包.

[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

我在前面只因此容許ICMP包經過,就是由於我在這裏有限制.

二,配置一個NAT表放火牆

1,查看本機關於NAT的設置狀況

[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target       prot opt source                 destination         

Chain POSTROUTING (policy ACCEPT)
target       prot opt source                 destination         
SNAT         all    --    192.168.0.0/24         anywhere              to:211.101.46.235

Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination    

個人NAT已經配置好了的(只是提供最簡單的代理上網功能,尚未添加防火牆規則).關於怎麼配置NAT,參考個人另外一篇文章

固然你若是尚未配置NAT的話,你也不用清除規則,由於NAT在默認狀況下是什麼都沒有的

若是你想清除,命令是

[root@tp ~]# iptables -F -t nat

[root@tp ~]# iptables -X -t nat

[root@tp ~]# iptables -Z -t nat

 

2,添加規則

添加基本的NAT地址轉換,(關於如何配置NAT能夠看個人另外一篇文章),

添加規則,咱們只添加DROP鏈.由於默認鏈全是ACCEPT.

防止外網用內網IP欺騙

[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
若是咱們想,好比阻止MSN,QQ,BT等的話,須要找到它們所用的端口或者IP,(我的認爲沒有太大必要)

例：

禁止與211.101.46.253的全部鏈接

[root@tp ~]# iptables -t nat -A PREROUTING    -d 211.101.46.253 -j DROP

禁用FTP(21)端口

[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP

這樣寫範圍太大了,咱們能夠更精確的定義.

[root@tp ~]# iptables -t nat -A PREROUTING    -p tcp --dport 21 -d 211.101.46.253 -j DROP

這樣只禁用211.101.46.253地址的FTP鏈接,其餘鏈接還能夠.如web(80端口)鏈接.

按照我寫的,你只要找到QQ,MSN等其餘軟件的IP地址,和端口,以及基於什麼協議,只要照着寫就好了.

 

最後：

drop非法鏈接
[root@tp ~]# iptables -A INPUT     -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT    -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
容許全部已經創建的和相關的鏈接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

這樣就能夠寫到/etc/sysconfig/iptables文件裏了.寫入後記得把防火牆重起一下,才能起做用．

[root@tp ~]# service iptables restart

 

 

iptables簡介

 

       netfilter/iptables（簡稱爲iptables）組成Linux平臺下的包過濾防火牆，與大多數的Linux軟件同樣，這個包過濾防火牆是免費的，它能夠代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網絡地址轉換（NAT）等功能。

 

 

 

iptables基礎

 

       規則（rules）其實就是網絡管理員預約義的條件，規則通常的定義爲「若是數據包頭符合這樣的條件，就這樣處理這個數據包」。規則存儲在內核空間的信息 包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規 則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的 主要工做就是添加、修改和刪除這些規則。

 

 

 

iptables和netfilter的關係：

 

       這是第一個要說的地方，Iptables和netfilter的關係是一個很容易讓人搞不清的問題。不少的知道iptables殊不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是 netfilter，它是Linux內核中實現包過濾的內部結構。

 

 

 

iptables傳輸數據包的過程

 

① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否須要轉送出去。 
② 若是數據包就是進入本機的，它就會沿着圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序能夠發送數據包，這些數據包會通過OUTPUT鏈，而後到達POSTROUTING鏈輸出。 
③ 若是數據包是要轉發出去的，且內核容許轉發，數據包就會如圖所示向右移動，通過FORWARD鏈，而後到達POSTROUTING鏈輸出。

 

 

 

iptables的規則表和鏈：

 

      表（tables）提供特定的功能，iptables內置了4個表，即filter表、nat表、mangle表和raw表，分別用於實現包過濾，網絡地址轉換、包重構(修改)和數據跟蹤處理。

 

     鏈（chains）是數據包傳播的路徑，每一條鏈其實就是衆多規則中的一個檢查清單，每一條鏈中能夠有一 條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該數據包是否知足規則所定義的條件。若是知足，系統就會根據 該條規則所定義的方法處理該數據包；不然iptables將繼續檢查下一條規則，若是該數據包不符合鏈中任一條規則，iptables就會根據該鏈預先定 義的默認策略來處理數據包。

       Iptables採用「表」和「鏈」的分層結構。在REHL4中是三張表五個鏈。如今REHL5成了四張表五個鏈了，不過多出來的那個表用的也不太多，因此基本仍是和之前同樣。下面羅列一下這四張表和五個鏈。注意必定要明白這些表和鏈的關係及做用。

 

 

規則表：

 

1.filter表——三個鏈：INPUT、FORWARD、OUTPUT
做用：過濾數據包  內核模塊：iptables_filter.
2.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
做用：用於網絡地址轉換（IP、端口） 內核模塊：iptable_nat
3.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
做用：修改數據包的服務類型、TTL、而且能夠配置路由實現QOS內核模塊：iptable_mangle(別看這個表這麼麻煩，我們設置策略時幾乎都不會用到它)
4.Raw表——兩個鏈：OUTPUT、PREROUTING
做用：決定數據包是否被狀態跟蹤機制處理  內核模塊：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的很少)

 

 

 

規則鏈：

 

1.INPUT——進來的數據包應用此規則鏈中的策略
2.OUTPUT——外出的數據包應用此規則鏈中的策略
3.FORWARD——轉發數據包時應用此規則鏈中的策略
4.PREROUTING——對數據包做路由選擇前應用此鏈中的規則
（記住！全部的數據包進來的時侯都先由這個鏈處理）
5.POSTROUTING——對數據包做路由選擇後應用此鏈中的規則
（全部的數據包出來的時侯都先由這個鏈處理）

 

規則表之間的優先順序：

 

Raw——mangle——nat——filter
規則鏈之間的優先順序（分三種狀況）：

 

第一種狀況：入站數據流向

 

       從外界到達防火牆的數據包，先被PREROUTING規則鏈處理（是否修改數據包地址等），以後會進行路由選擇（判斷該數據包應該發往何處），若是數據包 的目標主機是防火牆本機（好比說Internet用戶訪問防火牆主機中的web服務器的數據包），那麼內核將其傳給INPUT鏈進行處理（決定是否容許通 過等），經過之後再交給系統上層的應用程序（好比Apache服務器）進行響應。

 

第二衝狀況：轉發數據流向

       來自外界的數據包到達防火牆後，首先被PREROUTING規則鏈處理，以後會進行路由選擇，若是數據包的目標地址是其它外部地址（好比局域網用戶經過網 關訪問QQ站點的數據包），則內核將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），而後再交給POSTROUTING規則鏈（是否修改數據包的地 址等）進行處理。

 

第三種狀況：出站數據流向
       防火牆本機向外部地址發送的數據包（好比在防火牆主機中測試公網DNS服務器時），首先被OUTPUT規則鏈處理，以後進行路由選擇，而後傳遞給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

 

管理和設置iptables規則

 

 

 

 

 

 

iptables的基本語法格式

 

iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動做或跳轉］
說明：表名、鏈名用於指定 iptables命令所操做的表和鏈，命令選項用於指定管理iptables規則的方式（好比：插入、增長、刪除、查看等；條件匹配用於指定對符合什麼樣 條件的數據包進行處理；目標動做或跳轉用於指定數據包的處理方式（好比容許經過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。

 

 

 

iptables命令的管理控制選項

 

-A 在指定鏈的末尾添加（append）一條新的規則
-D 刪除（delete）指定鏈中的某一條規則，能夠按規則序號和內容刪除
-I 在指定鏈中插入（insert）一條新的規則，默認在第一行添加
-R 修改、替換（replace）指定鏈中的某一條規則，能夠按規則序號和內容替換
-L 列出（list）指定鏈中全部的規則進行查看
-E 重命名用戶定義的鏈，不改變鏈自己
-F 清空（flush）
-N 新建（new-chain）一條用戶本身定義的規則鏈
-X 刪除指定表中用戶自定義的規則鏈（delete-chain）
-P 設置指定鏈的默認策略（policy）
-Z 將全部表的全部鏈的字節和數據包計數器清零
-n 使用數字形式（numeric）顯示輸出結果
-v 查看規則表詳細信息（verbose）的信息
-V 查看版本(version)
-h 獲取幫助（help）

 

防火牆處理數據包的四種方式

 

ACCEPT 容許數據包經過
DROP 直接丟棄數據包，不給任何迴應信息
REJECT 拒絕數據包經過，必要時會給數據發送端一個響應的信息。
LOG在/var/log/messages文件中記錄日誌信息，而後將數據包傳遞給下一條規則

 

 

 

iptables防火牆規則的保存與恢復

 

iptables-save把規則保存到文件中，再由目錄rc.d下的腳本（/etc/rc.d/init.d/iptables）自動裝載

 

使用命令iptables-save來保存規則。通常用

 

iptables-save > /etc/sysconfig/iptables

 

生成保存規則的文件 /etc/sysconfig/iptables，

 

也能夠用

 

service iptables save

 

它能把規則自動保存在/etc/sysconfig/iptables中。

 

當計算機啓動時，rc.d下的腳本將用命令iptables-restore調用這個文件，從而就自動恢復了規則。

 

 

 

刪除INPUT鏈的第一條規則

 

iptables -D INPUT 1

 

iptables防火牆經常使用的策略

 

1.拒絕進入防火牆的全部ICMP協議數據包

 

iptables -I INPUT -p icmp -j REJECT

 

 

 

2.容許防火牆轉發除ICMP協議之外的全部數據包

 

iptables -A FORWARD -p ! icmp -j ACCEPT

 

說明：使用「！」能夠將條件取反。

 

 

 

3.拒絕轉發來自192.168.1.10主機的數據，容許轉發來自192.168.0.0/24網段的數據

 

iptables -A FORWARD -s 192.168.1.11 -j REJECT 
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

 

說明：注意要把拒絕的放在前面否則就不起做用了啊。

 

 

 

4.丟棄從外網接口（eth1）進入防火牆本機的源地址爲私網地址的數據包

 

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP 
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP 
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

 

 

 

5.封堵網段（192.168.1.0/24），兩小時後解封。

 

# iptables -I INPUT -s 10.20.30.0/24 -j DROP 
# iptables -I FORWARD -s 10.20.30.0/24 -j DROP 
# at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

 

說明：這個策略我們藉助crond計劃任務來完成，就再好不過了。
[1]   Stopped     at now 2 hours

 

 

 

6.只容許管理員從202.13.0.0/16網段使用SSH遠程登陸防火牆主機。

 

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT 
iptables -A INPUT -p tcp --dport 22 -j DROP

 

說明：這個用法比較適合對設備進行遠程管理時使用，好比位於分公司中的SQL服務器須要被總公司的管理員管理時。

 

 

 

7.容許本機開放從TCP端口20-1024提供的應用服務。

 

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

 

 

 

8.容許轉發來自192.168.0.0/24局域網段的DNS解析請求數據包。

 

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT 
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

 

 

 

9.禁止其餘主機ping防火牆主機，可是容許從防火牆上ping其餘主機

 

iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP 
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT 
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

 

 

 

10.禁止轉發來自MAC地址爲00：0C：29：27：55：3F的和主機的數據包

 

iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP

 

說明：iptables中使用「-m 模塊關鍵字」的形式調用顯示匹配。我們這裏用「-m mac –mac-source」來表示數據包的源MAC地址。

 

 

 

11.容許防火牆本機對外開放TCP端口20、2一、2五、110以及被動模式FTP端口1250-1280

 

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

 

說明：這裏用「-m multiport –dport」來指定目的端口及範圍

 

 

 

12.禁止轉發源IP地址爲192.168.1.20-192.168.1.99的TCP數據包。

 

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP

 

說明：此處用「-m –iprange –src-range」指定IP範圍。

 

 

 

13.禁止轉發與正常TCP鏈接無關的非—syn請求數據包。

 

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

 

說明：「-m state」表示數據包的鏈接狀態，「NEW」表示與任何鏈接無關的，新的嘛！

 

 

 

14.拒絕訪問防火牆的新數據包，但容許響應鏈接或與已有鏈接相關的數據包

 

iptables -A INPUT -p tcp -m state --state NEW -j DROP 
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

 

說明：「ESTABLISHED」表示已經響應請求或者已經創建鏈接的數據包，「RELATED」表示與已創建的鏈接有相關性的，好比FTP數據鏈接等。

 

 

 

15.只開放本機的web服務（80）、FTP(20、2一、20450-20480)，放行外部主機發住服務器其它端口的應答數據包，將其餘入站數據包均予以丟棄處理。

 

iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT  iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT  iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT  iptables -P INPUT DROP