目錄
- iptables 命令及參數介紹
- 配置 Filter 表防火牆
- 配置 NAT 表防火牆
1. iptables 命令及參數介紹
iptables 常用命令:
- iptables -A 將一個規則添加到鏈末尾
- iptables -D 將指定的鏈中刪除規則
- iptables -F 將指定的鏈中刪除所有規則
- iptables -I 將在指定鏈的指定編號位置插入一個規則
- iptables -L 列出指定鏈中所有規則
- iptables -t nat -L 列出所有 NAT 鏈中所有規則
- iptables -N 建立用戶定義鏈
- iptables -X 刪除用戶定義鏈
- iptables -P 修改鏈的默認設置,如將 iptables -P INPUT DROP (將 INPUT 鏈設置為 DROP)
常見設置參數介紹:
- --dport 指定目標 TCP/IP 端口 如 –dport 80
- --sport 指定源 TCP/IP 端口 如 –sport 80
- -p tcp 指定協議為 tcp
- -p icmp 指定協議為 ICMP
- -p udp 指定協議為 UDP
- -j DROP 拒絕
- -j ACCEPT 允許
- -j REJECT 拒絕並向發出消息的計算機發一個消息
- -j LOG 在 / var/log/messages 中登記分組匹配的記錄
- -m mac –mac 綁定 MAC 地址
- -m limit –limit 1/s 1/m 設置時間策列
- -s 10.10.0.0 或 10.10.0.0/16 指定源地址或地址段
- -d 10.10.0.0 或 10.10.0.0/16 指定目標地址或地址段
- -s ! 10.10.0.0 指定源地址以外的
iptables 配置文件
配置文件位置: /etc/sysconfig/iptables
iptables 服務命令
-- 啟動服務 # /etc/init.d/iptables start # service iptables start -- 停止服務 # /etc/init.d/iptables stop # service iptables stop -- 重啟服務 # /etc/init.d/iptables restart # service iptables restart -- 保存設置 # /etc/init.d/iptables save # service iptables save
2. 配置 Filter 表防火牆
- 查看 iptables 的配置信息
# iptables -L -n
- 清除原有防火牆規則
- 清除預設表 filter 中的所有規則鏈的規則
# iptables -F
- 清除預設表 filter 中使用者自定鏈中的規則
# iptables -X
- 保存防火牆設置
# /etc/init.d/iptables save 或 # service iptables save
- 設定預設規則
-- 請求接入包丟棄 [root@home ~]# iptables -p INPUT DROP -- 接受響應數據包 [root@home ~]# iptables -p OUTPUT ACCEPT -- 轉發數據包丟棄 [root@home ~]# iptables -p FORWARD DROP
- 添加防火牆規則
首先添加 INPUT 鏈, INPUT 鏈的默認規則是 DROP, 所以我們就寫需要 ACCETP(通過) 的鏈。
- 開啟 SSH 服務端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
注: 如果在預設設置把 OUTPUT 設置成 DROP 策略的話,就需要設置 OUTPUT 規則,否則無法進行 SSH 連接。
- 開啟 Web 服務端口
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT [root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- 開啟郵件服務的 25、110 端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT [root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
- 開啟 FTP 服務的 21 端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT [root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
- 開啟 DNS 服務的 53 端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
- 設置 icmp 服務
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話) [root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT設置成DROP的話)
- 允許 loopback
不然會導致 DNS 無法正常關閉等問題
[root@tp ~]# IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP) [root@tp ~]# IPTABLES -A OUTPUT -o lo -p all -j ACCEPT (如果是OUTPUT DROP)
- 減少不安全的端口連接
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP [root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
說明:有些特洛伊木馬會掃描端口 31337 到 31340(即黑客語言中的 elite 端口) 上的服務。既然合法服務都不使用這些非標准端口來通信, 阻塞這些端口能夠有效地減少你的網絡上可能被感染的機器和它們的遠程主服務器進行獨立通信的機會。此外,其他端口也一樣, 像: 31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS) 端口也應被禁止。
- 只允許某台主機或某個網段進行 SSH 連接
只允許 192.168.0.3 的機器進行 SSH 連接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果允許或限制一段 IP 地址可用192.168.0.0/24表示 192.168.0.1-255 端的所有 IP, 24 表示子網掩碼數。
[root@tp ~]# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
注意:指定某個主機或者某個網段進行 SSH 連接,需要在 iptables 配置文件中的-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
刪除,因為它表示所有地址都可以登陸.
如果只允許除了 192.168.0.3 的主機外都能進行 SSH 連接
[root@tp ~]# iptables -A INPUT -s ! 192.168.0.3 -p tcp --dport 22 -j ACCEPT
- 開啟轉發功能
在做 NAT 網絡配置時, FORWARD 默認規則是 DROP 時, 必須開啟數據包轉發功能
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT [root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
- 丟棄壞的 TCP 包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
- 處理 IP 碎片數量,防止 DDOS 攻擊,允許每秒 100 個
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
- 設置 ICMP 包過濾, 允許每秒 1 個包, 限制觸發條件是 10 個包
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
- DROP 非法連接
[root@tp ~]# iptables -A INPUT -m state --state INVALID -j DROP [root@tp ~]# iptables -A OUTPUT -m state --state INVALID -j DROP [root@tp ~]# iptables -A FORWARD -m state --state INVALID -j DROP
- 允許所有已經建立的和相關的連接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT [root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT [root@tp ~]# /etc/rc.d/init.d/iptables save
3. 配置 NAT 表防火牆
- 查看本機關於 NAT 的設置情況
[root@tp rc.d]# iptables -t nat -L
- 清除 NAT 規則
[root@tp ~]# iptables -F -t nat [root@tp ~]# iptables -X -t nat [root@tp ~]# iptables -Z -t nat
- 添加規則
添加基本的 NAT 地址轉換,添加規則時,我們只添加 DROP 鏈,因為默認鏈全是 ACCEPT。
- 防止外網用內網 IP 欺騙
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP [root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP [root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
- 禁止與 211.101.46.253 的所有連接
[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
- 禁用 FTP(21) 端口
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
只禁用 211.101.46.253 地址的 FTP 連接, 其他連接可以進行。
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP