您的位置:360文档中心› iptables配置

iptables配置

合集下载

iptables和nat的配置与管理

iptables和nat的配置与管理

iptables简介
netfilter是Linux核心中的一个通用架构,它提供了一 系列的“表”(tables),每个表由若干“链”( chains)组成,而每条链可以由一条或数条“规则”( rules)组成。实际上,netfilter是表的容器,表是链 的容器,而链又是规则的容器。 3个表: filter(默认表)、nat表、manger表 5条链: INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

பைடு நூலகம்
Iptables的基本语法实例
在filter表中INPUT链的第2条规则前插入一条新规则,规 则为不允许访问TCP协议的53端口的数据包通过 iptables –I INPUT 2 –p tcp –dport 53 –j DROP 在filter表中INPUT链的第一条规则前插入一条新规则,规 则为允许源IP地址属于172.16.0.0/16网段的数据包通过 iptables –I INPUT 1 –s 172.16.0.0/16 –j ACCEPT 删除filter表中INPUT链的第2条规则 iptables –D INPUT 2 清除filter表中INPUT链的所有规则。 iptables –F INPUT
iptables和nat的配置与管理
金京犬
Tip:学习目标
知识目标 了解防火墙的分类及工作原理、了解NAT 掌握iptables防火墙的配置 掌握利用iptables实现NAT 能力目标 能熟练完成利用iptables架设企业NAT服务器 情感目标

项目背景
假如某公司需要Internet接入,由ISP分配IP地址 202.112.113.112。采用iptables作为NAT服务器接入网络, 内部采用192.168.1.0/24地址,外部采用202.112.113.112 地址。为确保安全需要配置防火墙功能,要求内部仅能够访 问Web、DNS及Mail三台服务器;内部Web服务器 192.168.1.100通过端口映象方式对外提供服务。网络拓扑 结构如下图所示。

iptables命令参数

iptables命令参数

iptables命令参数iptables命令是Linux系统中用于设置防火墙规则的工具,它允许用户通过在内核中的网络数据包传输路径上添加或删除规则来过滤、修改和重定向网络数据包。

iptables命令有许多参数可以用来指定具体的操作和规则。

下面是一些常用的iptables命令参数:1. -A或--append:添加规则到规则链的末尾。

例如,`iptables -A INPUT -s 192.168.0.1 -j DROP`将会添加一个规则,禁止来自IP地址为192.168.0.1的主机的所有入站连接。

2. -I或--insert:在规则链内指定的位置插入规则。

例如,`iptables -I INPUT3 -s 192.168.0.1 -j DROP`将会在INPUT链的第3个位置插入一个规则,禁止来自IP地址为192.168.0.1的主机的所有入站连接。

3. -D或--delete:从规则链中删除规则。

例如,`iptables -D INPUT -s 192.168.0.1 -j DROP`将会删除INPUT链中所有来自IP地址为192.168.0.1的主机的入站连接的规则。

4. -P或--policy:设置默认策略。

例如,`iptables -P INPUT ACCEPT`将会将INPUT链的默认策略设置为接受所有入站连接。

5. -s或--source:指定源IP地址或地址段。

例如,`iptables -A INPUT -s 192.168.0.0/24 -j DROP`将会添加一个规则,禁止来自192.168.0.0/24网段的主机的所有入站连接。

6. -d或--destination:指定目标IP地址或地址段。

例如,`iptables -AOUTPUT -d 192.168.0.1 -j DROP`将会添加一个规则,禁止所有出站连接到IP地址为192.168.0.1的主机。

7. -p或--protocol:指定要过滤的传输层协议,如TCP、UDP或ICMP。

Linux命令高级技巧使用iptables命令进行防火墙配置

Linux命令高级技巧使用iptables命令进行防火墙配置

Linux命令高级技巧使用iptables命令进行防火墙配置Linux系统中,iptables是一个非常常用的命令,用于配置Linux操作系统的防火墙规则。

掌握iptables的高级技巧,可以帮助我们更好地保护系统安全和网络通信。

本文将介绍使用iptables命令进行防火墙配置的一些高级技巧,以帮助读者更好地理解和运用这个强大的工具。

一、什么是iptables命令iptables是一个在Linux内核中实现的防火墙工具,用于管理网络通信规则。

它允许我们定义输入、输出和转发数据包的规则,从而控制网络流量。

使用iptables命令,我们可以过滤和转发数据包,以及进行网络地址转换和端口转发等操作。

二、iptables配置文件在开始使用iptables命令之前,了解iptables的配置文件将有助于更好地理解和调整防火墙规则。

iptables的配置文件位于"/etc/sysconfig/iptables"路径下,可以使用文本编辑器打开进行编辑。

三、基本的iptables规则1. 允许特定IP地址访问若想允许特定IP地址访问服务器的某个端口,可以使用如下命令:```iptables -A INPUT -p tcp -s IP地址 --dport 端口号 -j ACCEPT```例如,若要允许IP地址为192.168.1.100的主机访问SSH端口(22),可以使用以下命令:```iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT```2. 允许特定IP地址范围访问如果要允许一个IP地址范围访问特定端口,可以通过指定源IP范围来实现。

例如,要允许192.168.1.0/24子网段中的主机访问SSH端口,可以执行如下命令:```iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT```此规则将允许192.168.1.0/24网段中的所有主机访问SSH端口。

iptables防火墙配置语法

iptables防火墙配置语法

iptables是 Linux 下用于配置 IPv4 数据包过滤规则的工具,可以用于设置防火墙规则、NAT 规则等。

以下是iptables的基本配置语法和一些常见用法:1. 基本语法:iptables的基本语法为:2. 常用选项:▪-A:向规则链的末尾添加规则。

▪-I:在规则链的指定位置插入规则。

▪-D:从规则链中删除规则。

▪-L:列出规则链的所有规则。

▪-P:设置规则链的默认策略。

▪-F:清除规则链中的所有规则。

▪-N:创建新的用户自定义规则链。

3. 规则链:▪INPUT:处理输入数据包。

▪OUTPUT:处理输出数据包。

▪FORWARD:处理通过系统的数据包。

▪PREROUTING:在路由之前处理数据包。

▪POSTROUTING:在路由之后处理数据包。

4. 规则匹配条件:▪-s:源 IP 地址。

▪-d:目标 IP 地址。

▪-p:协议(如 tcp、udp、icmp)。

▪--sport:源端口。

▪--dport:目标端口。

5. 动作:▪-j ACCEPT:接受数据包。

▪-j DROP:丢弃数据包。

▪-j REJECT:拒绝数据包。

6. 例子:▪允许所有对本机的访问:▪允许本机对外的访问:▪允许已建立的连接通过:▪拒绝从指定 IP 地址访问本机:7. 保存规则:8. 永久生效:这些是基本的iptables配置语法和用法,实际配置中可能会涉及更复杂的规则和链,具体的规则设置要根据你的网络需求和安全策略来定制。

建议在修改防火墙规则前确保对其影响有充分的了解,并在远程环境中谨慎操作,以免失去远程连接。

linux中iptables配置文件及命令详解详解

linux中iptables配置文件及命令详解详解

linux中iptables配置⽂件及命令详解详解iptables配置⽂件直接改iptables配置就可以了:vim /etc/sysconfig/iptables。

1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端⼝开放。

下⾯是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再⽤命令 iptables -L -n 查看是否设置好,好看到全部 DROP 了这样的设置好了,我们只是临时的,重启服务器还是会恢复原来没有设置的状态还要使⽤ service iptables save 进⾏保存看到信息 firewall rules 防⽕墙的规则其实就是保存在 /etc/sysconfig/iptables可以打开⽂件查看 vi /etc/sysconfig/iptables2、下⾯我只打开22端⼝,看我是如何操作的,就是下⾯2个语句(⼀下为命令⾏模式)iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT再查看下 iptables -L -n 是否添加上去, 看到添加了Chain INPUT (policy DROP)target prot opt source destinationACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22Chain FORWARD (policy DROP)target prot opt source destinationChain OUTPUT (policy DROP)target prot opt source destinationACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22现在Linux服务器只打开了22端⼝,⽤putty.exe测试⼀下是否可以链接上去。

iptables重新加载配置文件的规则

iptables重新加载配置文件的规则

I. 简介1. iptables是Linux操作系统上用于管理网络功能的命令行工具,它允许管理员配置防火墙规则以控制数据包转发、过滤和转发。

2. 当需要修改iptables的规则时,可以通过重新加载配置文件来使新的规则生效。

II. iptables重新加载配置文件的步骤1. 使用文本编辑器打开iptables配置文件,通常位于/etc/sysconfig/iptables。

2. 修改配置文件中的规则。

3. 保存修改后的配置文件。

4. 运行以下命令重新加载iptables的配置文件:```sudo iptables-restore < /etc/sysconfig/iptables```III. 注意事项1. 在重新加载配置文件之前,务必先备份当前的配置文件,以防止意外发生。

2. 确保新的规则不会影响到服务器的正常运行,并且能够满足服务器的安全需求。

3. 编写规则时要考虑到网络流量的特点,避免出现不必要的阻断或转发。

4. 在修改配置文件之后,务必对新的规则进行测试,确保其符合预期效果。

IV. 案例分析1. 某全球信息站服务器出现了大量恶意流量,需要加强防火墙规则以应对攻击。

2. 管理员使用文本编辑器修改了iptables配置文件,增加了针对恶意流量的规则。

3. 重新加载配置文件后,恶意流量得到有效过滤,全球信息站的运行状况得到了改善。

V. 结论1. iptables重新加载配置文件是管理防火墙规则的一种常用方法,能够快速地使新的规则生效。

2. 在重新加载配置文件时,需要仔细审查新的规则,确保其安全有效。

3. 定期审查和更新防火墙规则是保障服务器安全的重要措施。

以上是iptables重新加载配置文件的规则相关文章,希望对您有所帮助。

I. 简介iptables是Linux操作系统上用于管理网络功能的重要工具,它通过配置防火墙规则来控制数据包的转发、过滤和转发。

在日常管理服务器和网络安全中,对iptables的配置是至关重要的,而重新加载配置文件则是修改规则后使其生效的关键步骤之一。

iptables 配置nat masquerade规则

iptables 配置nat masquerade规则

iptables 配置nat masquerade规则iptables是Linux操作系统中一个重要的防火墙软件,它可以用来配置和管理网络数据包的转发和过滤规则。

其中一项常见的配置是nat masquerade规则,用于实现网络地址转换(Network Address Translation,NAT),将内部局域网的私有IP地址转换为公共IP地址,实现内网与外网的通信。

本文将逐步解释iptables配置nat masquerade 规则的步骤和原理。

第一步:了解nat masquerade的原理在深入了解iptables配置nat masquerade规则之前,我们首先需要了解nat masquerade的原理。

当内部局域网上的设备通过路由器连接到互联网时,由于内网使用的是私有IP地址,而互联网上使用的是公共IP地址,所以需要进行地址转换。

nat masquerade将内部局域网的私有IP 地址转换为路由器的公共IP地址,使得内网设备可以正常访问互联网。

第二步:确认系统中是否已安装iptables在开始配置nat masquerade规则之前,我们需要确认系统中是否已经安装了iptables。

可以通过在终端执行以下命令来检查:shelliptables -V如果系统已安装iptables,将显示出iptables的版本号和其他信息。

如果系统未安装iptables,可以通过以下命令来安装:shellsudo apt-get install iptables请根据使用的Linux发行版选择相应的命令。

第三步:创建一个新的iptables链接下来,我们需要创建一个新的iptables链来存储nat masquerade规则。

可以使用以下命令创建一个名为"MASQUERADE"的新链:shellsudo iptables -t nat -N MASQUERADE这将在iptables的nat表中创建一个新的自定义链。

Linux命令高级技巧使用iptables命令进行网络防火墙配置

Linux命令高级技巧使用iptables命令进行网络防火墙配置

Linux命令高级技巧使用iptables命令进行网络防火墙配置随着互联网的迅速发展和大规模应用,网络安全问题也变得愈发重要。

作为保障网络安全的重要手段,网络防火墙在服务器配置中占据了重要的位置。

Linux系统中,我们可以使用iptables命令进行网络防火墙的配置和管理。

一、什么是iptables命令iptables是Linux系统中用于配置和管理网络防火墙的命令行工具。

它的作用是根据预设的规则集来过滤、转发和修改数据包。

通过iptables命令的灵活配置,我们可以实现各种复杂的网络安全策略。

二、iptables命令的基本结构和用法iptables命令的基本结构如下:```shelliptables [-t 表名] 命令 [链名] [规则参数]```其中,-t 表名用于指定具体的表,有filter、nat和mangle三种表,filter表用于数据包过滤,nat表用于网络地址转换,mangle表用于数据包修改。

命令可以为-A(追加规则)、-D(删除规则)、-I(插入规则)、-R(替换规则)等。

链名指定了规则要应用到的具体链,常见的链有INPUT、OUTPUT和FORWARD。

规则参数为具体的规则内容,如源地址、目标地址、端口等。

下面以实际例子来介绍iptables命令的使用。

1. 添加规则要添加一条规则,可以使用-A选项,并指定表名、链名和规则参数。

```shelliptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT```以上命令表示在filter表的INPUT链上添加一条规则,允许来自192.168.1.0/24网段的TCP协议的22端口的数据包通过。

2. 删除规则要删除一条规则,可以使用-D选项,并指定表名、链名和规则参数。

```shelliptables -t filter -D INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT```以上命令表示在filter表的INPUT链上删除一条规则,该规则与添加规则的例子相同。

openwrt iptables参数

openwrt iptables参数

openwrt iptables参数OpenWrt是一个基于Linux的网络操作系统,广泛应用于路由器、智能家居等领域。

在OpenWrt中,iptables是负责实现防火墙功能的重要工具。

本文将详细介绍OpenWrt中的iptables配置及相关参数,帮助大家更好地理解和使用这一功能。

2.iptables基本概念iptables是Linux系统下的一个防火墙工具,可以实现对网络流量的控制和管理。

其主要功能包括:过滤进出的数据包、限制端口访问、防止DDoS攻击等。

在OpenWrt中,iptables同样发挥着关键作用,为用户提供了强大的网络安全防护。

3.OpenWrt中的iptables配置OpenWrt中的iptables配置主要分为以下几个部分:- 创建链:使用`iptables -t nat -N <链名>`命令创建新的链。

- 定义规则:使用`iptables -t nat -A <链名> -<动作> <参数>`命令添加规则。

- 删除规则:使用`iptables -t nat -D <链名> <序号> -<动作> <参数>`命令删除规则。

- 保存配置:使用`iptables-save`命令将当前iptables配置保存到文件。

- 加载配置:使用`iptables-restore`命令从文件中加载iptables配置。

4.常用iptables命令详解以下是一些常用的iptables命令及其参数:- 添加过滤规则:`iptables -A INPUT -p tcp -j DROP`,用于阻止特定协议的数据包。

- 添加nat规则:`iptables -A POSTROUTING -o <接口> -j MASQUERADE`,实现端口映射。

- 删除所有链中的规则:`iptables -t nat -F`- 删除指定链的所有规则:`iptables -t nat -F <链名>`- 查看iptables配置:`iptables -t nat -L`5.实战案例:防火墙配置以下是一个简单的防火墙配置示例:```iptables -A INPUT -p tcp -j DROPiptables -A INPUT -p udp -j DROPiptables -A OUTPUT -p tcp -j MASQUERADEiptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE```此配置将阻止所有进入的TCP和UDP数据包,同时允许出去的TCP数据包通过,并对内网进行端口映射。

centos6配置iptables规则

centos6配置iptables规则

centos6配置iptables规则iptables是Linux系统中的一个防火墙工具,可以帮助我们配置网络规则,限制网络访问。

CentOS 6的iptables配置主要包括以下几个步骤:1.安装iptables;2.查看当前iptables规则;3.添加新的iptables规则;4.保存iptables规则;5.开启iptables服务。

具体流程如下:1.安装iptables在CentOS 6中,iptables是默认安装好的,您无需再进行安装。

2.查看当前iptables规则要查看当前系统中的iptables规则,可以使用以下命令:```iptables -L```这个命令会列出当前的iptables规则,包括已经添加的规则。

3.添加新的iptables规则要添加新的iptables规则,可以使用以下命令:```iptables -A INPUT -p tcp --dport端口号-j ACCEPT```其中,INPUT是规则所属的链;-p tcp是指定协议为TCP;--dport端口号是指定要开放的端口;-j ACCEPT是指定接受该规则的动作。

你可以根据需要修改这些参数。

4.保存iptables规则如果要将新的iptables规则保存下来,可以使用以下命令:```service iptables save```这个命令会将当前的iptables规则保存到/etc/sysconfig/iptables文件中,以便在下次系统启动时自动加载。

5.开启iptables服务要开启iptables服务,可以使用以下命令:```service iptables start```这个命令会启动iptables服务,并加载之前保存的规则。

以上就是在CentOS 6中配置iptables规则的基本步骤。

你可以根据自己的需求,添加不同的规则,例如限制访问某个IP地址、允许特定端口或协议等。

总结:iptables是一个非常强大的防火墙工具,能够帮助我们保护服务器的安全。

Linux命令高级技巧使用iptables进行网络防火墙配置

Linux命令高级技巧使用iptables进行网络防火墙配置

Linux命令高级技巧使用iptables进行网络防火墙配置Linux命令高级技巧:使用iptables进行网络防火墙配置在网络安全领域,配置网络防火墙是一项关键任务。

为了保护网络免受未授权访问和恶意攻击,管理员需要掌握一些高级技巧来使用Linux命令iptables进行网络防火墙配置。

本文将介绍iptables的基本概念和使用方法,并提供一些高级技巧来加强网络防火墙的安全性。

1. iptables简介iptables是Linux系统中一款强大的防火墙工具,它能够根据管理员设定的规则筛选、修改和重定向网络数据。

iptables提供了一套规则集,允许管理员创建自定义的规则来控制数据包的流向和处理方式。

常用的iptables命令包括iptables、iptables-save、iptables-restore和iptables-apply等。

2. 基本用法iptables命令的基本语法如下:```bashiptables [-t 表名] 命令 [链名] [规则选项]```其中,表名可以是filter、nat或mangle,命令可以是-A(追加规则)、-D(删除规则)、-I(插入规则)等,链名可以是INPUT、FORWARD或OUTPUT等,规则选项包括-s(源IP地址)、-d(目标IP地址)、-p(协议类型)和-j(动作)等。

3. 添加规则为了保护网络,我们需要添加一些规则来控制数据包的流向和允许的服务。

例如,我们可以使用以下命令允许SSH连接: ```bashiptables -A INPUT -p tcp --dport 22 -j ACCEPT```上述命令在INPUT链中追加了一条规则,允许TCP协议的22端口的连接请求。

可以根据需要设置源IP地址或目标IP地址等其他规则选项。

4. 删除规则如果某条规则不再需要,可以使用iptables命令删除。

例如,我们可以使用以下命令删除上一节中添加的SSH规则:```bashiptables -D INPUT -p tcp --dport 22 -j ACCEPT```上述命令将从INPUT链中删除匹配的规则。

如何使用iptables命令在Linux中配置防火墙和网络转发

如何使用iptables命令在Linux中配置防火墙和网络转发

如何使用iptables命令在Linux中配置防火墙和网络转发由于网络安全的重要性日益凸显,配置防火墙和网络转发成为Linux系统管理员必备的技能之一。

在Linux系统中,iptables命令提供了灵活的方式来配置防火墙规则和网络转发设置。

本文将介绍如何使用iptables命令来完成这些任务。

一、什么是iptables命令iptables是Linux操作系统中一个非常强大的防火墙工具,它可以通过管理网络数据包的流动来控制网络访问权限。

iptables命令可以根据预先定义的规则集过滤网络数据包,拒绝无效或危险的连接,从而保护系统的安全性。

二、基本概念与术语在开始使用iptables命令之前,我们需要了解一些基本的概念和术语。

1. 表(Table):iptables命令使用表来组织和管理规则。

常用的表有:filter、nat和mangle等。

2. 链(Chain):每个表都包含多个链,链是规则的组合。

常用的链有:INPUT、FORWARD和OUTPUT等。

3. 规则(Rule):规则是iptables命令的基本单位,它定义了针对网络数据包的动作和匹配条件。

4. 动作(Action):动作定义了对匹配到的数据包的处理方式,常见的动作有:ACCEPT、DROP和REJECT等。

5. 匹配条件(Match):匹配条件定义了规则在应用到数据包时需要满足的条件。

常见的匹配条件有:source、destination和protocol等。

三、配置防火墙规则配置防火墙规则是保护系统安全的第一步。

使用iptables命令可以轻松地添加、修改和删除防火墙规则。

1. 查看当前防火墙规则首先,我们需要查看当前的防火墙规则,可以使用以下命令:```iptables -L```该命令将列出当前的防火墙规则,包括表、链、规则和动作等信息。

2. 添加规则要添加一个防火墙规则,可以使用以下命令:```iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT```该命令将允许来自192.168.0.0/24网段的TCP连接访问本地的SSH 服务。

iptables配置语句

iptables配置语句

iptables配置语句1. 配置iptables防火墙的命令如下:```iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT```这条命令的作用是允许来自192.168.1.0/24网段的主机通过SSH 连接到本机的22端口。

2. 另一个常见的配置是限制特定IP地址的访问:```iptables -A INPUT -s 192.168.1.100 -j DROP```这条命令会阻止IP地址为192.168.1.100的主机访问本机的任何服务。

3. 如果想要允许特定IP地址范围的访问,可以使用以下命令:```iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT```这条命令允许来自192.168.1.100到192.168.1.200之间的主机访问本机。

4. 如果想要禁止特定端口的访问,可以使用以下命令:```iptables -A INPUT -p tcp --dport 80 -j DROP```这条命令会阻止任何主机访问本机的80端口,即禁止HTTP访问。

5. 另一种常见的配置是允许本机访问外部服务:```iptables -A OUTPUT -d 8.8.8.8 -p udp --dport 53 -j ACCEPT```这条命令允许本机访问Google Public DNS服务器的53端口,用于DNS解析。

6. 如果想要配置端口转发,可以使用以下命令:```iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080```这条命令会将来自80端口的TCP流量重定向到本机的8080端口。

7. 如果想要配置防火墙日志,可以使用以下命令:```iptables -A INPUT -j LOG --log-prefix "Firewall: "```这条命令会将所有进入本机的流量打上前缀为"Firewall: "的日志。

iptables防火墙如何设置

iptables防火墙如何设置

iptables防火墙如何设置iptables防火墙是我们电脑的防线,怎么样设置最好呢?下面由店铺给你做出详细的iptables防火墙设置方法介绍!希望对你有帮助!iptables防火墙设置方法一:iptables防火墙设置方一,安装并启动防火墙[root@linux ~]# /etc/init.d/iptables start当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig/iptables 我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了。

1.加载模块/sbin/modprobe ip_tables2.查看规则iptables -L -n -v3.设置规则#清除已经存在的规则iptables -Fiptables -Xiptables -Z#默认拒绝策略(尽量不要这样设置,虽然这样配置安全性高,但同时会拒绝包括lo环路在内的所#有网络接口,导致出现其他问题。

建议只在外网接口上做相应的配置)iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP#ssh 规则iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT#本地还回及tcp握手处理iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPTiptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT#www-dns 规则iptables -I INPUT -p tcp –sport 53 -j ACCEPTiptables -I INPUT -p udp –sport 53 -j ACCEPTiptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT#ICMP 规则iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPTiptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPTiptables防火墙设置方二,添加防火墙规则1,添加filter表1.[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口出口我都是开放的iptables -P OUTPUT ACCEPT,所以出口就没必要在去开放端口了。

linux下IPTABLES配置详解

linux下IPTABLES配置详解

linux下IPTABLES配置详解-t<表>:指定要操纵的表;-A:向规则链中添加条⽬;-D:从规则链中删除条⽬;-i:向规则链中插⼊条⽬;-R:替换规则链中的条⽬;-L:显⽰规则链中已有的条⽬;-F:清楚规则链中已有的条⽬;-Z:清空规则链中的数据包计算器和字节计数器;-N:创建新的⽤户⾃定义规则链;-P:定义规则链中的默认⽬标;-h:显⽰帮助信息;-p:指定要匹配的数据包协议类型;-s:指定要匹配的数据包源地址;-j<⽬标>:指定要跳转的⽬标;-i<⽹络接⼝>:指定数据包进⼊本机的⽹络接⼝;-o<⽹络接⼝>:指定数据包要离开本机所使⽤的⽹络接⼝。

iptables命令选项输⼊顺序:iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o ⽹卡名> -p 协议名 <-s 源IP/源⼦⽹> --sport 源端⼝ <-d ⽬标IP/⽬标⼦⽹> --dport ⽬标端⼝ -j 动作表名包括:raw:⾼级功能,如:⽹址过滤。

mangle:数据包修改(QOS),⽤于实现服务质量。

net:地址转换,⽤于⽹关路由器。

filter:包过滤,⽤于防⽕墙规则。

规则链名包括:INPUT链:处理输⼊数据包。

OUTPUT链:处理输出数据包。

PORWARD链:处理转发数据包。

PREROUTING链:⽤于⽬标地址转换(DNAT)。

POSTOUTING链:⽤于源地址转换(SNAT)。

动作包括::接收数据包。

DROP:丢弃数据包。

REDIRECT:重定向、映射、透明代理。

SNAT:源地址转换。

DNAT:⽬标地址转换。

MASQUERADE:IP伪装(NAT),⽤于ADSL。

LOG:⽇志记录。

实例清除已有iptables规则iptables -Fiptables -Xiptables -Z开放指定的端⼝iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接⼝(即运⾏本机访问本机)iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建⽴的或相关连的通⾏iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端⼝iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端⼝iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许服务的21端⼝iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端⼝iptables -A INPUT -j #禁⽌其他未允许的规则访问iptables -A FORWARD -j REJECT #禁⽌其他未允许的规则访问屏蔽IPiptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是查看已添加的iptables规则iptables -L -n -vChain INPUT (policy DROP 48106 packets, 2690K bytes)pkts bytes target prot opt in out source destination5075 589K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0191K 90M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:221499K 133M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:804364K 6351M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED6256 327K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)pkts bytes target prot opt in out source destination5075 589K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0删除已添加的iptables规则将所有iptables以序号标记显⽰,执⾏:iptables -L -n --line-numbers⽐如要删除INPUT⾥序号为8的规则,执⾏:iptables -D INPUT 8我们来配置⼀个filter表的防⽕墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destinationChain RH-Firewall-1-INPUT (0 references)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0.0/0ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHEDACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited可以看出我在安装linux时,选择了有防⽕墙,并且开放了22,80,25端⼝.如果你在安装linux时没有选择启动防⽕墙,是这样的[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么规则都没有.(2)清除原有规则.不管你在安装linux时是否启动了防⽕墙,如果你想配置属于⾃⼰的防⽕墙,那就清除现在filter的所有规则.[root@tp ~]# iptables -F清除预设表filter中的所有规则链的规则[root@tp ~]# iptables -X清除预设表filter中使⽤者⾃定链中的规则我们在来看⼀下[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么都没有了吧,和我们在安装linux时没有启动防⽕墙是⼀样的.(提前说⼀句,这些配置就像⽤命令配置IP⼀样,重起就会失去作⽤),怎么保存. [root@tp ~]# /etc/rc.d/init.d/iptables save这样就可以写到/etc/sysconfig/iptables⽂件⾥了.写⼊后记得把防⽕墙重起⼀下,才能起作⽤.[root@tp ~]# service iptables restart现在IPTABLES配置表⾥什么配置都没有了,那我们开始我们的配置吧(3)设定预设规则[root@tp ~]# iptables -p INPUT DROP[root@tp ~]# iptables -p OUTPUT ACCEPT[root@tp ~]# iptables -p FORWARD DROP上⾯的意思是,当超出了IPTABLES⾥filter表⾥的两个链规则(INPUT,FORWARD)时,不在这两个规则⾥的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流⼊数据包⽽对于OUTPUT链,也就是流出的包我们不⽤做太多限制,⽽是采取ACCEPT,也就是说,不在着个规则⾥的包怎么办呢,那就是通过.可以看出INPUT,FORWARD两个链采⽤的是允许什么包通过,⽽OUTPUT链采⽤的是不允许什么包通过.这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,⽽且要写的规则就会增加.但如果你只想要有限的⼏个规则是,如只做WEB服务器.还是推荐三个链都是DROP.注:如果你是远程SSH登陆的话,当你输⼊第⼀个命令回车的时候就应该掉了.因为你没有设置任何规则.怎么办,去本机操作呗!(4)添加规则.⾸先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采⽤远程SSH登陆,我们要开启22端⼝.[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这⼀部,好多⼈都是望了写这⼀部规则导致,始终⽆法SSH.在远程⼀下,是不是好了.其他的端⼝也⼀样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加⼀条链:[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)如果做了WEB服务器,开启80端⼝.[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT如果做了邮件服务器,开启25,110端⼝.[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT如果做了FTP服务器,开启21端⼝[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT如果做了DNS服务器,开启53端⼝[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT如果你还做了其他的服务器,需要开启哪个端⼝,照写就⾏了.上⾯主要写的都是INPUT链,凡是不在上⾯的规则⾥的,都DROP允许icmp包通过,也就是允许ping,[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback!(不然会导致DNS⽆法正常关闭等问题)IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)下⾯写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.减少不安全的端⼝连接[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP有些些特洛伊⽊马会扫描端⼝31337到31340(即⿊客语⾔中的 elite 端⼝)上的服务。

linux下IPTABLES配置详解

linux下IPTABLES配置详解
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什Hale Waihona Puke 都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.

9个常用iptables配置实例

9个常用iptables配置实例
iptables -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.102:80
iptables -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:80
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
类似的,对于HTTP/HTTPS(80/443)、pop3(110)、rsync(873)、MySQL(3306)等基于tcp连接的服务,也可以参照上述命令配置。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
以上命令配置将接收、转发和发出包均丢弃,施行比较严格的包管理。由于接收和发包均被设置为丢弃,当进一步配置其他规则的时候,需要注意针对INPUT和OUTPUT分别配置。当然,如果信任本机器往外发包,以上第三条规则可不必配置。
5.网口转发配置
对于用作防火墙或网关的服务器,一个网口连接到公网,其他网口的包转发到该网口实现内网向公网通信,假设eth0连接内网,eth1连接公网,配置规则如下:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

如何使用iptables命令在Linux中配置和管理端口转发

如何使用iptables命令在Linux中配置和管理端口转发

如何使用iptables命令在Linux中配置和管理端口转发配置和管理端口转发是在Linux系统中使用iptables命令的一个重要任务。

iptables是Linux系统中用于管理网络数据包的防火墙的工具,它也可以用于实现端口转发功能。

本文将介绍如何使用iptables命令在Linux中配置和管理端口转发。

一、端口转发的概念端口转发是一种网络技术,在网络通信中起到重要作用。

当一台计算机收到某个端口的请求时,将该请求转发到另一台计算机的另一个端口上。

通过端口转发,可以将来自外部网络对某个端口的请求转发到内部网络上的另一台计算机。

这样,可以实现内部网络和外部网络之间的通信。

二、iptables命令简介iptables是Linux系统中用于管理网络数据包的防火墙工具。

它可以用于控制网络数据包的传输,实现网络安全和访问控制等功能。

iptables命令的基本语法如下:```iptables [选项] [链名] [规则内容]```其中,选项指定iptables的一些操作参数,链名指定要操作的链,规则内容指定要添加、删除或修改的规则。

三、配置和管理端口转发的步骤在Linux中配置和管理端口转发的过程中,可以按照以下步骤进行操作:1. 首先,需要确保系统中已经安装了iptables工具。

可以使用以下命令检查iptables是否已安装:```iptables --version```2. 确认iptables服务是否已启动。

可以使用以下命令查看iptables服务的状态:```systemctl status iptables```如果iptables服务未启动,可以使用以下命令启动iptables服务:```systemctl start iptables```3. 设置端口转发规则。

可以使用以下命令添加端口转发规则:```iptables -t nat -A PREROUTING -p 协议 -i 输入接口 -d 目标地址 --dport 源端口 -j DNAT --to-destination 目标地址:目标端口```其中,协议指定要转发的协议,输入接口指定数据包进入的接口,目标地址指定转发的目标地址,源端口指定要转发的源端口,目标端口指定转发的目标端口。

iptables配置

iptables配置

iptables配置⽬录1. 基本概念五个基本规则链条:1. PREROUTING(路由前)2. INPUT(数据包流⼊⼝)3. FORWARD(转发关卡)4. OUTPUT(数据包出⼝)5. POSTOUTING(路由后)规则表1. raw 表: 是否跟踪 OUTPUT,PREROUTING2. mangle 表: 修改报⽂原数据 PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING3. nat 表: 定义地址转换 PREROUTING,OUTPUT,POSTROUTING4. filter 表: 定义允许或者不允许 INPUT,FORWARD,OUTPUTiptables 命令中常见的控制类型:1. ACCEPT: 允许通过2. LOG: 记录⽇志信息,然后传给下⼀条规则继续匹配3. REJECT: 拒绝通过,必要时会给出提⽰4. DROP: 直接丢弃,不给出任何回应iptables 命令:# iptables [-t table] command match -j targetiptables 的基本参数:参数作⽤command-P 设置默认策略: iptables -P INPUT (DROP|ACCEPT)-F 清空规则链-L 查看规则链-A 在规则链的末尾加⼊新规则-D num 删除某⼀条规则match-s 匹配来源地址 IP/MASK,加叹号"!"表⽰除这个 IP 外。

-d 匹配⽬标地址-i ⽹卡名称匹配从这块⽹卡流⼊的数据-o ⽹卡名称匹配从这块⽹卡流出的数据-p 匹配协议,如 tcp,udp,icmp--dport num 匹配⽬标端⼝号--sport num 匹配来源端⼝号2. 配置步骤1. 关闭 firewall# systemctl stop firewalld.service ## 停⽌ firewall# systemctl disable firewalld.service ## 禁⽌ firewall 开机启动# systemctl mask --now firewalld ## 在不完全卸载的情况下,彻底禁⽤,可防⽌⾃启动# systemctl list-unit-files | grep mask ## 查看被 mask 的服务2. 安装 iptables 防⽕墙# yum install iptables-services ## 安装filter 表:3. 清空已有规则# iptables -F# iptables -X# iptables -Z4. 设置默认访问规则# iptables -P INPUT DROP ## 默认为丢弃# iptables -P FORWARD DROP ## 默认为丢弃# iptables -P OUTPUT ACCEPT ## 默认为通过5. 配置允许 SSH 登录端⼝进⼊# iptables -A INPUT -p tcp --dport 22 -j ACCEPT# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT6. 允许所有的 ping 操作# iptables -A INPUT -p icmp -j ACCEPT# iptables -A OUTPUT -p icmp -j ACCEPT7. 允许本机 IO 通信# iptables -A INPUT -i lo -p all -j ACCEPT# iptables -A OUTPUT -o lo -p all -j ACCEPT8. 开放特定的端⼝# iptables -A INPUT -p tcp --dport 80 -j ACCEPT# iptables -A INPUT -p tcp --dport 443 -j ACCEPT9. 开启转发功能# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT10. 丢弃坏的 TCP 包# iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP11. 处理 IP 碎⽚数量,防⽌攻击,允许每秒100个# iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT12. 设置 ICMP 包过滤,允许每秒1个包,限制触发条件是10个包# iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPTnat 表:13. 清空nat表# iptables -F -t nat# iptables -X -t nat# iptables -Z -t nat14. 添加规则。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。

这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。

在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables包含4个表,5个链。

其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。

4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。

表的处理优先级:raw>mangle>nat>filter。

filter:一般的过滤功能nat:用于nat功能(端口映射,地址映射等)mangle:用于对特定数据包的修改raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

PREROUTING:数据包进入路由表之前INPUT:通过路由表后目的地为本机FORWARDING:通过路由表后,目的地不为本机OUTPUT:由本机产生,向外转发POSTROUTIONG:发送到网卡接口之前。

如下图:INPUT/OUTPUT/FORWARD只用于-t filterINPUT 如果包的目标就是本机,则包直接进入INPUT链,再被本地正在等待该包的进程接OUTPUT 两类包走OUTPUT,一类是INPUT入的包,一类是主机本身产生的包FORWARD 如果包的目标不是本机,而是穿过本机的包,则进入FORWARD链,FORWARD既不走INPUT,也不走OUTPUTPOSTROUTING/PREROUTING只用于-t natPREROUTING 进入路由之前进行,最先进行,DNATPOSTROUTING 进入路由之后进行,最后进行,SNATFOWARD是基于两个接口的,不象INPUT,OUTPUT都是基于单一接口的-i, --in-interface 匹配包的入口-i只适用于INPUT、FORWARD、PREROUTING链中,而用在OUTPUT POSTROUTING都会出错。

-i eth+:可以用通配符,表示匹配从所有的以太接口进入的数据包可以用去反符号“!”来标示”除了”被列出的接口的所有接口。

-o, --out-interface 匹配包的出口-o 适用于OUTPUT、FORWARD,POSTROUTING,而用来INPUT,PREROUTING会出错-i -o 同时匹配入口和出口的,只有非NAT的FORWARD链#iptables –A FORWORD –i eth0 –o eth1 –p tcp –j ACCEPT凡是从eth0接口进入,从eth1接口流出的tcp数据流被允许通过-p, --protocol [!] protocol两种方式-p name,可以是tcp, udp, icmp, or all-p all-p all只表示tcp、udp、icmp这三种协议,而不包括RFC1340(/etc/protocol)中的所有协议。

其他协议,要用数字缺省是-p all,即:不写-p时, 相当于-p all,相当于tcp,udp,icmp-p 数字,必须符合RFC1340(/etc/protocol)-A INPUT -p 50 -j ACCEPT-A INPUT -p 51 -j ACCEPT-p 0相当于-p all-p tcp --sport,-p tcp --source-port-p tcp --dport,-p tcp --destination-port缺省(无--sport),表示匹配所有端口--sport 135单端口--sport TELNET单个服务名,服务名必须在/etc/services 文件中进行标注--sport 135:139连续端口匹配源端口从135到139--sport 1024: 匹配源端口从1024到65535--sport !1032表示除了该端口以为的其他所有端口--sport,--dport不支持逗号枚举端口注意--sport,--dport可以单个端口,可以连续端口,但不支持逗号枚举端口,逗号枚举必须加-m multiport参数-p tcp -m multiport --sport/--dportiptables -A FORWARD –i eth0 –p tcp –m multiport --dports 25,80,110,443,1863 –j ACCEPT --ports用于源、目的端口相同时-p tcp下的子参数—tcp-flags --syn-p tcp --tcp-flags [!] flagiptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN[!] –synIt is equivalent to --tcp-flags SYN,RST,ACK SYN.主要用于匹配和连接有关的数据包-p icmp --icmp-type ...icmp-type类型的指定可以取数字或名字:数字数字在RFC792中有定义icmp echo-reply -p icmp –icmp-type:0icmp echo-request -p icmp –icmp-type:8name name 可以用iptables --p icmp --help 查看[root@demo1 ~]# /sbin/iptables -p icmp -hiptables options:--icmp-type [!] typename match icmp type(or numeric type or type/code) Valid ICMP Types:anyecho-reply (pong)destination-unreachablenetwork-unreachablehost-unreachableprotocol-unreachableport-unreachablefragmentation-needednetwork-unknownhost-unknownnetwork-prohibitedhost-prohibitedTOS-network-unreachableTOS-host-unreachablecommunication-prohibitedhost-precedence-violationprecedence-cutoffsource-quenchredirectnetwork-redirecthost-redirectTOS-network-redirectTOS-host-redirectecho-request (ping)router-advertisementrouter-solicitationtime-exceeded (ttl-exceeded)ttl-zero-during-transitttl-zero-during-reassemblyparameter-problemip-header-badrequired-option-missingtimestamp-requesttimestamp-replyaddress-mask-requestaddress-mask-reply对PING的处理接口echo-reply,iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT这是FW对外PING包的回包echo requestiptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/second --limit-burst 10 -j ACCEPTiptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT对icmp echo-request限制,防止ping flood,也可以直接对所有icmp包限制允许icmp包通过,也就是允许ping,[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话) [root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback!(不然会导致DNS无法正常关闭等问题)IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)net use \\zousongling\c$ORACLE_HOSTNAME18 5188 5300框架图-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->mangle | mangle ^ manglenat | filter | nat| || |v |INPUT OUTPUT| mangle ^ mangle| filter | natv ------>local------->| filter链和表表filter:顾名思义,用于过滤的时候nat:顾名思义,用于做 NAT 的时候NAT:Network Address Translator链INPUT:位于 filter 表,匹配目的 IP 是本机的数据包 FORWARD:位于 filter 表,匹配穿过本机的数据包,PREROUTING:位于 nat 表,用于修改目的地址(DNAT)POSTROUTING:位于 nat 表,用于修改源地址(SNAT)iptables 语法概述iptables [-t 要操作的表]<操作命令>[要操作的链][规则号码][匹配条件][-j 匹配到以后的动作]命令概述操作命令(-A、-I、-D、-R、-P、-F)查看命令(-[vnx]L)-A-A <链名>APPEND,追加一条规则(放到最后)例如:iptables -t filter -A INPUT -j DROP在 filter 表的 INPUT 链里追加一条规则(作为最后一条规则)匹配所有访问本机 IP 的数据包,匹配到的丢弃-I-I <链名> [规则号码]INSERT,插入一条规则例如:iptables -I INPUT -j DROP在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条)iptables -I INPUT 3 -j DROP在 filter 表的 INPUT 链里插入一条规则(插入成第 3 条)注意: 1、-t filter 可不写,不写则自动默认是 filter 表2、-I 链名 [规则号码],如果不写规则号码,则默认是 13、确保规则号码≤(已有规则数 + 1),否则报错-D-D <链名> <规则号码 | 具体规则内容>DELETE,删除一条规则例如:iptables -D INPUT 3(按号码匹配)删除 filter 表 INPUT 链中的第三条规则(不管它的内容是什么)iptables -D INPUT -s -j DROP(按内容匹配)删除 filter 表 INPUT 链中内容为“-s -j DROP”的规则(不管其位置在哪里)注意:1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条2、按号码匹配删除时,确保规则号码≤已有规则数,否则报错3、按内容匹配删除时,确保规则存在,否则报错-R-R <链名> <规则号码> <具体规则内容>REPLACE,替换一条规则例如:iptables -R INPUT 3 -j ACCEPT将原来编号为 3 的规则内容替换为“-j ACCEPT”注意:确保规则号码≤已有规则数,否则报错-P-P <链名> <动作>POLICY,设置某个链的默认规则例如:iptables -P INPUT DROP设置 filter 表 INPUT 链的默认规则是 DROP注意:当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理 -F-F [链名]FLUSH,清空规则例如:iptables -F INPUT清空 filter 表 INPUT 链中的所有规则iptables -t nat -F PREROUTING清空 nat 表 PREROUTING 链中的所有规则注意:1、-F 仅仅是清空链中规则,并不影响 -P 设置的默认规则2、-P 设置了 DROP 后,使用 -F 一定要小心!!!3、如果不写链名,默认清空某表里所有链里的所有规则-[vxn]L-L [链名]LIST,列出规则v:显示详细信息,包括每条规则的匹配包数量和匹配字节数x:在 v 的基础上,禁止自动单位换算(K、M)n:只显示 IP 地址和端口号码,不显示域名和服务名称例如:iptables -L粗略列出 filter 表所有链及所有规则iptables -t nat -vnL用详细方式列出 nat 表所有链的所有规则,只显示 IP 地址和端口号iptables -t nat -vxnL PREROUTING用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字,不反解匹配条件流入、流出接口(-i、-o)来源、目的地址(-s、-d)协议类型(-p)来源、目的端口(--sport、--dport)按网络接口匹配-i <匹配数据进入的网络接口>例如:-i eth0匹配是否从网络接口 eth0 进来-i ppp0匹配是否从网络接口 ppp0 进来-o 匹配数据流出的网络接口例如:-o eth0-o ppp0按来源目的地址匹配-s <匹配来源地址>可以是 IP、NET、DOMAIN,也可空(任何地址)例如:-s 匹配来自的数据包-s 匹配来自网络的数据包-s 匹配来自网络的数据包-d <匹配目的地址>可以是 IP、NET、DOMAIN,也可以空例如:-d 匹配去往的数据包-d 匹配去往网络的数据包-d 匹配去往域名的数据包按协议类型匹配-p <匹配协议类型>可以是 TCP、UDP、ICMP 等,也可为空例如:-p tcp-p udp-p icmp --icmp-type 类型ping: type 8 pong: type 0按来源目的端口匹配--sport <匹配源端口>可以是个别端口,可以是端口范围例如:--sport 1000 匹配源端口是 1000 的数据包--sport 1000:3000 匹配源端口是 1000-3000 的数据包(含1000、3000) --sport :3000 匹配源端口是 3000 以下的数据包(含 3000)--sport 1000: 匹配源端口是 1000 以上的数据包(含 1000)--dport <匹配目的端口>可以是个别端口,可以是端口范围例如:--dport 80 匹配源端口是 80 的数据包--dport 6000:8000 匹配源端口是 6000-8000 的数据包(含6000、8000) --dport :3000 匹配源端口是 3000 以下的数据包(含 3000)--dport 1000: 匹配源端口是 1000 以上的数据包(含 1000)注意:--sport 和 --dport 必须配合 -p 参数使用匹配应用举例1、端口匹配-p udp --dport 53匹配网络中目的地址是 53 的 UDP 协议数据包2、地址匹配-s -d匹配来自去往的所有数据包3、端口和地址联合匹配-s -d -p tcp --dport 80匹配来自,去往的 80 端口的 TCP 协议数据包注意:1、--sport、--dport 必须联合 -p 使用,必须指明协议类型是什么2、条件写的越多,匹配越细致,匹配范围越小动作(处理方式)ACCEPTDROPSNATDNATMASQUERADE-j ACCEPT-j ACCEPT通过,允许数据包通过本链而不拦截它类似 Cisco 中 ACL 里面的 permit例如:iptables -A INPUT -j ACCEPT允许所有访问本机 IP 的数据包通过-j DROP-j DROP丢弃,阻止数据包通过本链而丢弃它类似 Cisco 中 ACL 里的 deny例如:iptables -A FORWARD -s -j DROP阻止来源地址为的数据包通过本机-j SNAT-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 链)源地址转换,SNAT 支持转换为单 IP,也支持转换到 IP 地址池(一组连续的 IP 地址)例如:iptables -t nat -A POSTROUTING -s \-j SNAT --to将内网的原地址修改为,用于 NATiptables -t nat -A POSTROUTING -s \-j SNAT --to同上,只不过修改成一个地址池里的 IP-j DNAT-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 链)目的地址转换,DNAT 支持转换为单 IP,也支持转换到 IP 地址池(一组连续的 IP 地址)例如:iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \ -j DNAT --toiptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to-j MASQUERADE-j MASQUERADE动态源地址转换(动态 IP 的情况下使用)例如:iptables -t nat -A POSTROUTING -s -j MASQUERADE将源地址是的数据包进行地址伪装附加模块按包状态匹配(state)按来源 MAC 匹配(mac)按包速率匹配(limit)多端口匹配(multiport)state-m state --state 状态状态:NEW、RELATED、ESTABLISHED、INVALIDNEW:有别于 tcp 的 synESTABLISHED:连接态RELATED:衍生态,与 conntrack 关联(FTP)INVALID:不能被识别属于哪个连接或没有任何状态例如:iptables -A INPUT -m state --state RELATED,ESTABLISHED \ -j ACCEPTmac-m mac --mac-source MAC匹配某个 MAC 地址例如:iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \-j DROP阻断来自某 MAC 地址的数据包,通过本机注意:MAC 地址不过路由,不要试图去匹配路由后面的某个 MAC 地址limit-m limit --limit 匹配速率 [--burst 缓冲数量]用一定速率去匹配数据包例如:iptables -A FORWARD -d -m limit --limit 50/s \-j ACCEPTiptables -A FORWARD -d -j DROP注意:limit 仅仅是用一定的速率去匹配数据包,并非“限制”multiport-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n] 一次性匹配多个端口,可以区分源端口,目的端口或不指定端口例如:iptables -A INPUT -p tcp -m multiports --ports \21,22,25,80,110 -j ACCEPT注意:必须与 -p 参数一起使用4. 实例分析单服务器的防护如何做网关如何限制内网用户内网如何做对外服务器连接追踪模块单服务器的防护弄清对外服务对象书写规则网络接口 lo 的处理状态监测的处理协议 + 端口的处理实例:一个普通的 web 服务器iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP注意:确保规则循序正确,弄清逻辑关系,学会时刻使用 -vnL如何做网关弄清网络拓扑本机上网设置 nat启用路由转发地址伪装 SNAT/MASQUERADE实例:ADSL 拨号上网的拓扑echo "1" > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -s -o ppp0 \-j MASQUERADE如何限制内网用户过滤位置 filer 表 FORWARD 链匹配条件 -s -d -p --s/dport处理动作 ACCEPT DROP实例:iptables -A FORWARD -s -j DROPiptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \ -j DROPiptables -A FORWARD -d -j DROP内网如何做对外服务器服务协议(TCP/UDP)对外服务端口内部服务器私网 IP内部真正服务端口实例:iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --toiptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \ -j DNAT --to连接追踪模块为什么要使用连接追踪模块FTP 协议的传输原理传统防火墙的做法如何使用FTP 协议传输原理使用端口command portdata port传输模式主动模式(ACTIVE)被动模式(PASSIVE)FTP 协议传输原理主动模式client serverxxxx |---|----------|-->| 21yyyy |<--|----------|---| 20FW1 FW2被动模式client serverxxxx |---|----------|--->| 21 yyyy |---|----------|--->| zzzz FW1 FW2传统防火墙的做法只使用主动模式,打开 TCP/20防火墙打开高范围端口配置 FTP 服务,减小被动模式端口范围如何使用连接追踪模块modprobe ipt_conntrack_ftp modprobe ipt_nat_ftpiptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A INPUT -m state --state \RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROP5. 网管策略怕什么能做什么让什么 vs 不让什么三大“纪律”五项“注意”其他注意事项必加项echo "1" > /proc/sys/net/ipv4/ip_forwardecho "1" > /proc/sys/net/ipv4/tcp_syncookiesecho "1" > \/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses modprobe ip_conntrack_ftpmodprobe ip_nat_ftp可选方案堵:iptables -A FORWARD -p tcp --dport xxx -j DROPiptables -A FORWARD -p tcp --dport yyy:zzz -j DROP通:iptables -A FORWARD -p tcp --dport xxx -j ACCEPTiptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED \ -j ACCEPTiptables -P FORWARD DROP三大“纪律”五项“注意”三大“纪律”——专表专用filternatmangle五项“注意”——注意数据包的走向PREROUTINGINPUTFORWARDOUTPUTPOSTROUTING其他注意事项养成好的习惯iptables -vnLiptables -t nat -vnLiptables-save注意逻辑顺序iptables -A INPUT -p tcp --dport xxx -j ACCEPTiptables -I INPUT -p tcp --dport yyy -j ACCEPT学会写简单的脚本6.Q:我设置了 iptables -A OUTPUT -d -j DROP为何内网用户还是可以访问那个地址A:filter 表的 OUTPUT 链是本机访问外面的必经之路,内网数据不经过该链Q:我添加了 iptables -A FORWARD -d -j DROP为何内网用户还是可以访问那个地址A:检查整个规则是否存在逻辑错误,看是否在 DROP 前有 ACCEPTQ:iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE这条语句为何报错A:POSTROUTING 链不支持“流入接口” -i 参数同理,PREROUTING 链不支持“流出接口” -o 参数6.Q:我应该怎么查看某个模块具体该如何使用A:ipitables -m 模块名 -hQ:执行 iptables -A FORWARD -m xxx -j yyy提示 iptables: No chain/target/match by that nameA:/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目录中,缺少与 xxx 模块有关的文件,或缺少与 yyy 动作有关的文件名字为(内核)或(内核)Q:脚本写好了,内网上网没问题,FTP 访问不正常,无法列出目录,为什么A:缺少 ip_nat_ftp 这个模块,modprobe ip_nat_ftp6.详细出处参考:第三方文档/oracle/Oracle/B19306_01/b14203/#CHDDBHJB service iptables saveiptables -nvLiptables -A FORWARD -i eth0 -o eth0 -j ACCEPT#用命令设置防火墙允许整个LAN的转发,防火墙/网关在一个eth0上的一个内部IP地址,即路由的功能。

相关文档
最新文档