L8 配置iptables防火墙(一).doc

配置iptables防火墙（一）1 Linux防火墙基础1.1 Iptables的规则表和链结构1.1.1 规则表Filter表:包含三条规则链input ,forward,outputNat表: 包含三条规则链prerouting,postrouting,outputMangle表包含五条规则链prerouting,postrouting,input,output,forwardRaw表 包含两条规则链output,prerouting1.1.2 规则链Input 链Output链Forward链Prerouting链Postrouting链2 管理和设置iptables规则2.1 管理iptables规则1. 添加及插入规则在filter表的input链的末尾添加一条防火墙规则iptables -t filter -A INPUT -p tcp -j ACCEPT在filter表的input链中插入一条防火墙规则(此处省略了”-t filter”选项，按默认处理filter表)iptables -I INPUT -p udp -j ACCEPT在filter表的input链中插入一条防火墙规则(作为链中的第二条规则)iptables -I INPUT 2 -p icmp -j ACCEPT2. 查看规则表查看filter表INPUT链中所有规则，同时显示各条规则的顺序号iptables -L INPUT -line-numbers查看filter表各链中所有规则的详细信息，同时以数字形式显示地址和端口信息。使用数字形式可以减少地址解析的环节，在一定程度上加快命令执行的速度iptables -vnL /注意-L选项放最后，否则会将vn当成链名3.删除，清空规则链删除filter表INPUT链中的第2条规则iptables -D INPUT 2清空filter表,nat表，mangle表各链中的所有规则iptables -Fiptables -t nat -Fiptables -t mangle -F4.设置规则链的默认策略将filter表中FORWARD规则链的默认策略设为DROPiptables -t filter -P FORWARD DROP将filter表中FORWARD规则链的默认策略设为ACCEPTiptables -P OUTPUT ACCEPT5. 获得iptables相关选项用法的帮助信息查看iptables命令中关于icmp协议的帮助信息 iptables -p icmp -h6. 新增，删除自定义规则链在raw表中新增一条自定义的规则链,链名为TCP_PACKETSiptables -t raw -N TCP_PACKETSiptables -t raw -L /查看raw表中的所有规则链相关信息清空raw表中用户自定义的所有规则链iptables -t raw -x2.2 条件匹配2.2.1 通用条件匹配 协议匹配拒绝进入防火墙的所有icmp协议数据包iptables -I INPUT -p icmp -j REJECT允许防火墙转发除icmp协议以外的所有数据包iptables -A FORWARD -p ! icmp -j ACCEPTiptables -L FORWARD 地址匹配 拒绝转发来自1主机的数据，允许转发来自/24网段的数据iptables -A FORWARD -s 1 -j REJECTiptables -A FORWARD -s /24 -j ACCEPT 网络接口匹配丢弃从外网接口（eth1）进入防火墙本机的源地址为私网地址的数据包iptables -A INPUT -i eth1 -s /16 -j DROPiptables -A INPUT -i eth1 -s /12 -j DROPiptables -A INPUT -i eth1 -s /8 -j DROP管理员在网关服务器上检测到来自某个IP网段(如/24)的频繁扫描,希望设置iptables规则封堵该IP地址段，两小时后解封Iptables -I INPUT -s /24 -j DROP /设置封堵策略Iptables -I FORWARD -s /24 -j DROP at now +2 hoursat iptables -D INPUT 1at iptables -D FORWARD 1at /此处按Ctrl+D组合键2.2.2 隐含条件匹配 端口匹配仅允许系统管理员从/16网段使用SSH方式远程登录防火墙主机iptables -A INPUT -p tcp -dport 22 -s /16 -j ACCEPTiptables -A INPUT -p tcp -dport 22 -j DROP允许本机开放从TCP端口201024提供的应用服务iptables -A INPUT -p tcp -dport 20:1024 -j ACCEPTiptables -A OUTPUT -p tcp -sport 20:1024 -j ACCEPT作为网关使用时,允许转发来自/24局域网段的DNS解析请求数据包iptables -A FORWARD -s /24 -p udp -dport 53 -j ACCEPTiptables -A FORWARD -d /24 -p udp -sport 53 -j ACCEPT TCP标记匹配拒绝从外网接口(eth1)直接访问放火墙本机的数据包，但是允许响应防火墙TCP请求的数据包进入iptables -p INPUT DROPiptables -I INPUT -I eth1 -p tcp -tcp-flags SYN,RST,ACK SYN j REJECTiptables -I INPUT -i eth1 -p tcp -tcp-flags ! syn -j ACCEPT2.2.3 显式条件匹配 MAC 地址匹配禁止转发来自MAC地址为00:0C:29:27:55:3F的主机的数据包iptables A FORWARD -m mac -mac-source 00:0C:29:27:55:3F -j DROP 多端口匹配允许防火墙本机对外开放TCP端口20,21,25,110以及被动模式FTP端口12501280iptables -A INPUT -p tcp -m multiport -dport 20,21,25,110,1250:1280 -j ACCEPT 多IP地址匹配禁止转发源IP地址为09的TCP数据包iptables -A FORWARD -p tcp -m iprange -src-range 0-9 -jDROP 状态匹配禁止转发与正常TCP连接无关的非syn请求数据包（如网络中可能存在的一些非法攻击数据包）iptables -A FORWARD -m state -state NEW -p tcp ! -syn -j DROP拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包iptables -A INPUT -p tcp -m state -state NEW -j DROPiptables -A INPUT -p tcp -m state -state ESTABLISHED,RELATED -j ACCEPT2.3 数据包控制对于尝试通过SSH方式登录防火墙主机的访问数据,记录日志信息并禁止其访问iptables -I INPUT -p tcp -dport 22 -j DROPiptables -I INPUT -p tcp -dport 22 -j LOG2.3.1 用户自定义链自定义一个新的链MyLAN1,转发自 192.