linux_iptables配置.doc

Linux_iptablesIptables默认包含三张表：netfilter/nat/mangleNetfilter:包含三条链，分别为INPUT /FORWORD/ OUTPUTNat:包含三条链，分别为Prerouting/output/postroutingMangle:包含5条链，主要作用是修改标志位，进行包过滤和策略路由Iptables命令格式：Iptables 【-t 表名】 链名 规则号 规则 -j 目标表-链-规则的关系如果不指明表名，默认是netfilter表-A *在指定的链名后添加一条或者多条规则*-D *从指定的链中删除一条或者多条规则* -R *在指定的链中用心的规则置换指定的某一规则号的规则*-I *在指定的规则号前插入一条或者多条规则，默认为1*-L *列出指定链中的所有规则*-F *删除指定链中的规则*-N *建立一个新的用户自定义链*-X *删除指定的用户自定义链*这个链必须没有被引用，而且不包含任何规则-P *为指定的链设置规则的默认目标*当一个数据包与所有的规则都不匹配时采用这个默认的目标动作-E *重新命名链名，对链的功能没有影响*-p -p tcp sport -s -p tcp dport -d -p tcp -syn-I -p icmp icmp-type 类型可以使echo-reply echo-request-o 如果要指定一个端口范围，可以用-m参数指定模块，如-m multiport -sport 指定数据包的多个源端口-m multiport -dport -m multiport -port -m state -state 指定满足某一状态的数据包-m connlimit -connlimit-above 用于限制客户端到一台主机的TCP并发连接总数-m mac -mac-source 指定数据包的源MAC-j选项-j ACCEPT:放行与规则匹配的数据包-j REJECT:拒绝与规则匹配的数据包-j DROP:丢弃所匹配的数据包-j REDIRECT:重定向数据包-j LOG:记录与规则相匹配的数据包日志-j ：数据包传递到另一规则链主机防火墙:如果对防火墙做了修改，且想保存已经配置的iptables规则，/etc/rc.d/init.d/iptables save此时所有的规则被保存在/etc/sysconfig/iptables文件中Iptables L 查看规则表Iptables v 列出每一条规则当前匹配的数据包数，字节数，以及要求数据包进来和出去的网络接口Iptables n 不对显示结果中的IP地址和端口做名称解析，直接以数字的形式显示Iptables line-number 在第一列显示每条规则的规则号Netfilter表默认有三条链：INPUT;OUTPUT;FORWARD1.iptables A INPUT p tcp dport 80 j ACCEPT *允许目标端口为80的 tcp数据包通过INPUT链2.iptables A INPUT s 192.168.1.0/24 I eth0 j DROP *丢弃从eth0口进来，源地址为192.168.1.0/24的数据包3.iptables A INPUT p udp sport 53 dport 1024:65535 j ACCEPT *允许源端口为53，目标端口为1024到65535的tcp包通过INPUT链4.iptables A INPUT p tcp tcp-flags SYN,RST,ACK SYN j ACCEPT *-tcp-flags子选项用于指定TCP数据包的标志位，可以有SYN,RST,ACK，FIN,URG,PSH六种，用空格分成两部分，前一部分列出有要求的标志位，后部分列出要求值为1的标志位5.iptables A INPUT p tcp m multiport dport 20:23,53,80,110 j ACCEPT *接受来自20:23,53,80,110这些端口的tcp数据包，-m multiport用于指定多个端口6.iptables A INPUT p icmp m limit limit 6/m limit-burst 8 j ACCEPT *当一分钟内通过的icmp包超过8个时，触发每分钟通过6个数据包的限制条件7.iptables A INPUT p udp m mac mac-source ! 00:0C:6E:AB:AB:CC j ACCEPT *拒绝MAC不是00:0C:6E:AB:AB:CC的udp包网络防火墙：网络防火墙的大多数的规则应该配置在forward链中，需要多个网卡，各个网段之间必须能相互转发数据，需要在/etc/sysctl.conf中设置Net.ipv4.ip_forward=1Sysclt pMangle表的主要功能是根据规则修改数据包的一些标志位，以便对数据包进行过滤和策略路由要求所有TCP：80端口的数据都从chinanet上出去，UDP:53端口数据从cernet出去1. 对数据包做上标志Iptables t mangle A prerouting I eth0 p tcp dport 80 j MARK set-mark 1Iptables t mangle A prerouting I eth0 p udp dport 53 j MARK set-mark 22. 添加相应规则Ip rule add from all fwmark 1 table 10Ip rule add from all fwmark 2 table 203. 指定路由表10 ，20的默认网关Ip route add default via 10.10.1.1 dev eth1 table 10Ip route add default via 10.10.2.1 dev eth2 table 20NAT:Nat服务器改变出去的数据包的源IP地址后，需要在内部保存的NAT地址映射表中登记相应的条目，以便回复的包能返回给正确的内部计算机。在内部计算机没有主动与外网卡计算机联系的情况下，在nat服务器的nat地址映射表中是无法找到相应的条目的，一次就无法把该数据包的目的IP转换成内网IP.SNAT：假设让内网10.10.1.0/24出去的数据包其源IP地址都转换成外网接口eth0的公网IP:218.75.26.35Iptables t nat A POSTROUTING s 10.10.1.0/24 o etho j SNAT to-source 218.75.26.35如果需要在eth0 上创建一个子接口，并配置ip:Ifconfig eth0:1 218.75.26.34 netmask 255.255.555.240如果碰到公网是从ISP服务商那里通过拨号动态获得的，每一次拨号所得的地址都是不同的，为此iptables提供了一种地址伪装的源NAT,采用-j MASOUERADEIptables t nat A POSTROUTING s 10.10.1.0/24 o ppp0 j MASOUERADEDNAT:Iptables t nat A PREROUTING I eth0 d 218.75