洞洞！ | 原喵空间

正文

作者:xiaowuhello

Linux Iptables命令详解用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改　　iptables - [RI] chain rule num rule-specification[option] 　　用iptables - RI 通过规则的顺序指定　　iptables -D chain rule num[option] 　　删除指定规则　　iptables -[LFZ] [chain][option] 　　用iptables -LFZ 链名 [选项] 　　iptables -[NX] chain 　　用 -NX 指定链　　iptables -P chain target[options] 　　指定链的默认目标　　iptables -E old-chain-name new-chain-name 　　-E 旧的链名新的链名　　用新的链名取代旧的链名　　说明　　Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。　　可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。　　TARGETS 　　防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。　　ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。　　TABLES 　　当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。　　-t table 　　这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下：filter,这是默认的表，包含了内建的链INPUT（处理进入的包）、FORWORD（处理通过的包）和OUTPUT（处理本地生成的包）。nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成：PREROUTING (修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。mangle 这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由之前本地的包）。　　OPTIONS 　　这些可被iptables识别的选项可以区分不同的种类。　　COMMANDS 　　这些选项指定执行明确的动作：若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。　　-A -append 　　在所选择的链末添加一条或更多规则。当源（地址）或者/与目的（地址）转换为多个地址时，这条规则会加到所有可能的地址(组合)后面。　　-D -delete 　　从所选链中删除一条或更多规则。这条命令可以有两种方法：可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。　　-R -replace 　　从选中的链中取代一条规则。如果源（地址）或者/与目的（地址）被转换为多地址，该命令会失败。规则序号从1开始。　　-I -insert 　　根据给出的规则序号向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会被插入链的头部。这也是不指定规则序号时的默认方式。　　-L -list 　　显示所选链的所有规则。如果没有选择链，所有链将被显示。也可以和z选项一起使用，这时链会被自动列出和归零。精确输出受其它所给参数影响。　　-F -flush 　　清空所选链。这等于把所有规则一个个的删除。　　--Z -zero 　　把所有链的包及字节的计数器清空。它可以和 -L配合使用，在清空前察看计数器，请参见前文。　　-N -new-chain 　　根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。　　-X -delete-chain 　　删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。　　-P -policy 　　设置链的目标规则。　　-E -rename-chain 　　根据用户给出的名字对指定链进行重命名，这仅仅是修饰，对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则，而且内建链和用户自定义链都不能是规则的目标。　　-h Help. 　　帮助。给出当前命令语法非常简短的说明。　　PARAMETERS 　　参数　　以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。　　-p -protocal [!]protocol 　　规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。　　-s -source [!] address[/mask] 　　指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边"1"的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。　　-d --destination [!] address[/mask] 　　指定目标地址，要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。　　-j --jump target 　　-j 目标跳转　　指定规则的目标；也就是说，如果包匹配应当做什么。目标可以是用户自定义链（不是这条规则所在的），某个会立即决定包的命运的专用内建目标，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。 -i -in-interface [!] [name] 　　i -进入的（网络）接口 [!][名称] 　　这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配任意接口。　　-o --out-interface [!][name] 　　-o --输出接口[名称] 　　这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+"，那么将匹配所有任意接口。　　[!] -f, --fragment 　　[!] -f --分片　　这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口（或者是ICMP类型的），这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前，表示相反的意思。　　OTHER OPTIONS 　　其他选项　　还可以指定下列附加选项：　　-v --verbose 　　-v --详细　　详细输出。这个选项让list命令显示接口地址、规则选项（如果有）和TOS（Type of Service）掩码。包和字节计数器也将被显示，分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍（不过请参看-x标志改变它），对于添加,插入,删除和替换命令，这会使一个或多个规则的相关详细信息被打印。　　-n --numeric 　　-n --数字　　数字输出。IP地址和端口会以数字的形式打印。默认情况下，程序试显示主机名、网络名或者服务（只要可用）。　　-x -exact 　　-x -精确　　扩展数字。显示包和字节计数器的精确值，代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。　　--line-numbers 　　当列表显示规则时，在每个规则的前面加上行号，与该规则在链中的位置相对应。　　MATCH EXTENSIONS 　　对应的扩展　　iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包，而且他们大多数都可以通过在前面加上!来表示相反的意思。　　tcp 　　当 --protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项：　　--source-port [!] [port[:port]] 　　源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是"0"，如果末端口号被忽略，默认是"65535"，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 --sport的别名。　　--destionation-port [!] [port:[port]] 　　目标端口或端口范围指定。这个选项可以使用 --dport别名来代替。　　--tcp-flags [!] mask comp 　　匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表,是必须被设置的。标记如下：SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。　　[!] --syn 　　只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 --tcp-flags SYN, RST, ACK SYN。如果"--syn"前面有"!"标记，表示相反的意思。　　--tcp-option [!] number 　　匹配设置了TCP选项的。　　udp 　　当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：　　--source-port [!] [port:[port]] 　　源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。　　--destination-port [!] [port:[port]] 　　目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。　　icmp 　　当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：　　--icmp-type [!] typename 　　这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。　　mac 　　--mac-source [!] address 　　匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。　　limit 　　这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记) 　　--limit rate 　　最大平均匹配速率：可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位，默认是3/hour。　　--limit-burst number 　　待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5 　　multiport 　　这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。　　--source-port [port[, port]] 　　如果源端口是其中一个给定端口则匹配　　--destination-port [port[, port]] 　　如果目标端口是其中一个给定端口则匹配　　--port [port[, port]] 　　若源端口和目的端口相等并与某个给定端口相等,则匹配。　　mark 　　这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。　　--mark value [/mask] 　　匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。　　owner 　　此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。　　--uid-owner userid 　　如果给出有效的user id，那么匹配它的进程产生的包。　　--gid-owner groupid 　　如果给出有效的group id，那么匹配它的进程产生的包。 --sid-owner seessionid 　　根据给出的会话组匹配该进程产生的包。　　state 　　此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。　　--state state 　　这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。　　unclean 　　此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。　　tos 　　此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。　　--tos tos 　　这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。　　TARGET EXTENSIONS 　　iptables可以使用扩展目标模块：以下都包含在标准版中。　　LOG 　　为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。　　--log-level level 　　记录级别（数字或参看 syslog.conf(5)）。　　--log-prefix prefix 　　在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。　　--log-tcp-sequence 　　记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。　　--log-tcp-options 　　记录来自TCP包头部的选项。　　--log-ip-options 　　记录来自IP包头部的选项。　　MARK 　　用来设置包的netfilter标记值。只适用于mangle表。　　--set-mark mark 　　REJECT 　　作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。　　此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：　　--reject-with type 　　Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。　　TOS 　　用来设置IP包的首部八位tos。只能用于mangle表。　　--set-tos tos 　　你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。　　MIRROR 　　这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包,并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。　　SNAT 　　这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：　　--to-source <ipaddr>[-<ipaddr>][:port-port] 　　可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。　　--to-destiontion <ipaddr>[-<ipaddr>][:port-port] 　　可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。　　MASQUERADE 　　只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。它有一个选项：　　--to-ports <port>[-port>] 　　指定使用的源端口范围，覆盖默认的SNAT源地址选择（见上面）。这个选项只适用于指定了-p tcp或者-p udp的规则。　　REDIRECT 　　只适用于nat表的PREROUTING和OUTPUT链，和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1）。它包含一个选项：　　--to-ports <port>[<port>] 　　指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。　　DIAGNOSTICS 　　诊断　　不同的错误信息会打印成标准错误：退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2，其他错误返回代码为1。　　BUGS 　　臭虫　　Check is not implemented (yet). 　　检查还未完成。　　COMPATIBILITY WITH IPCHAINS 　　与ipchains的兼容性　　iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个；以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口；-o引用输出接口，两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时，iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆，所以以下选项作了不同的处理：　　-j MASQ 　　-M -S 　　-M -L 　　在iptables中有几个不同的链。

中的指令

作者:xiaowuhello

iptables 中的指令，均需区分大小写。 ipchains 和 iptables 在语法上的主要的差异，注意如下∶ 1. 在 ipchains 中，诸如 input 链，是使用小写的 chains 名，在 iptables 中，要改用大写 INPUT。 2. 在 iptables 中，要指定规则是欲作用在那一个规则表上(使用 -t 来指定，如 -t nat)，若不指定，则预设是作用在 filter 这个表。 3. 在 ipchains 中， -i 是指介面(interface)，但在 iptables 中，-i 则是指进入的方向，且多了 -o，代表出去的方向。 4. 在 iptables 中，来源 port 要使用关键字 --sport 或 --source-port 5. 在 iptables 中，目的 port 要使用关键字 --dport 或 --destination-port 6. 在 iptables 中，"丢弃" 的处置动作，不再使用 DENY 这个 target，改用 DROP。 7. 在 ipchains 的记录档功能 -l，已改为目标 -j LOG，并可指定记录档的标题。 8. 在 ipchains 中的旗标 -y，在 iptables 中可用 --syn 或 --tcp-flag SYN,ACK,FIN SYN 9. 在 iptables 中，imcp messages 型态，要加上关键字 --icmp-type，如∶ iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT iptables 使用时的样板在设定 iptables 的封包过滤规则时，有几个样板的动作，若先熟に?牵??缶涂勺孕刑子茫?来死嗤疲?芸斓兀??涂梢越?胝飧鎏斓刂?小?/P> 观察目前的设定作法如下∶ iptables -L -n iptablse -t nat -L -n 定义变数 FW_IP="163.26.197.8" 打开核心 forward 功能作法如下∶ ###-----------------------------------------------------### # 打开 forward 功能 ###-----------------------------------------------------### echo "1" > /proc/sys/net/ipv4/ip_forward 清除所有的规则一开始要先清除所有的规则，重新开始，以免旧有的规则影响新的设定。作法如下∶ ###-----------------------------------------------------### # 清除先前的设定 ###-----------------------------------------------------### # 清除预设表 filter 中，所有规则链中的规则 iptables -F # 清除预设表 filter 中，使用者自订链中的规则 iptables -X # 清除mangle表中，所有规则链中的规则 iptables -F -t mangle # 清除mangle表中，使用者自订链中的规则 iptables -t mangle -X # 清除nat表中，所有规则链中的规则 iptables -F -t nat # 清除nat表中，使用者自订链中的规则 iptables -t nat -X 选定预设的政策接着，要选定各个不同的规则链，预设的政策为何。作法如下∶ 预设全部丢弃∶ ###-----------------------------------------------------### # 设定 filter table 的预设政策 ###-----------------------------------------------------### iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP 或者预设全部接受∶ ###-----------------------------------------------------### # 设定 filter table 的预设政策 ###-----------------------------------------------------### iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 各个规则链的预设政策可独立自主的设定，不必受其它链的影响。以下练习，若目标为 DROP，则 policy 请设为 ACCEPT；若目标为 ACCEPT，则 policy 请设为 DROP，如此方可看出效果。开放某一个介面作法如下∶ iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT 注∶IPFW 或 Netfilter 的封包流向，local process 不会经过 FORWARD Chain，因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用。 iptables -A INPUT -i eth1 -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT IP 伪装使内部网路的封包经过伪装之后，使用对外的 eth0 网卡当作代表号，对外连线。作法如下∶ ###-----------------------------------------------------### # 启动内部对外转址 ###-----------------------------------------------------### iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP 上述指令意指∶把 172.16.0.0/16 这个网段，伪装成 $FW_IP 出去。虚拟主机利用转址、转 port 的方式，使外部网路的封包，可以到达内部网路中的伺服主机，俗称虚拟主机。这种方式可保护伺服主机大部份的 port 不被外界存取，只开放公开服务的通道(如 Web Server port 80)，因此安全性甚高。作法如下∶ ###-----------------------------------------------------### # 启动外部对内部转址 ###-----------------------------------------------------### # 凡对 $FW_IP:80 连线者, 则转址至 172.16.255.2:80 iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80 开放内部主机可以 telnet 至外部的主机开放内部网路，可以 telnet 至外部主机。作法如下∶(预设 policy 为 DROP) ###-----------------------------------------------------### # open 外部主机 telnet port 23 ###-----------------------------------------------------### iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT 开放邮包转递通道开放任意的邮件主机送信包给你的 Mail Server，而你的 Mail Server 也可以送信包过去。作法如下∶(预设 policy 为 DROP) ###-----------------------------------------------------### # open SMTP port 25 ###-----------------------------------------------------### # 以下是∶别人可以送信给你 iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT # 以下是∶你可以送信给别人 iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT 开放对外离线下载信件的通道开放内部网路可以对外部网路的 POP3 server 取信件。作法如下∶(预设 policy 为 DROP) ###-----------------------------------------------------### # open 对外部主机的 POP3 port 110 ###-----------------------------------------------------### iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT 开放观看网页的通道开放内部网路可以观看外部网路的网站。作法如下∶(预设 policy 为 DROP) ###-----------------------------------------------------### # open 对外部主机的 HTTP port 80 ###-----------------------------------------------------### iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT 开放查询外部网路的 DNS 主机开放内部网路，可以查询外部网路任何一台 DNS 主机。作法如下∶(预设 policy 为 DROP) ###-----------------------------------------------------### # open DNS port 53 ###-----------------------------------------------------### # 第一次会用 udp 封包来查询 iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT # 若有错误，会改用 tcp 封包来查询 iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT # 开放这台主机上的 DNS 和外部的 DNS 主机互动查询∶使用 udp iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT # 开放这台主机上的 DNS 和外部的 DNS 主机互动查询∶使用 tcp iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT 开放内部主机可以 ssh 至外部的主机开放内部网路，可以 ssh 至外部主机。作法如下∶(预设 policy 为 DROP) ###-----------------------------------------------------### # open 外部主机 ssh port 22 ###-----------------------------------------------------### iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT # 以下是 ssh protocol 比较不同的地方 iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT 开放内部主机可以 ftp 至外部的主机开放内部网路，可以 ftp 至外部主机。作法如下∶(预设 policy 为 DROP) ###-----------------------------------------------------### # open 对外部主机 ftp port 21 ###-----------------------------------------------------### # 以下是打开命令 channel 21 iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT # 以下是打开资料 channel 20 iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT # 以下是打开 passive mode FTP 资料通道 iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT 开放 ping 可以对外 ping 任何一台主机。作法如下∶(预设 policy 为 DROP) iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT iptables -A INPUT -i eth0 -p icm -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT

查看回复

3．增加规则本例中的规则将会阻止来自某一

作者:xiaowuhello

3．增加规则本例中的规则将会阻止来自某一特定IP范围内的数据包，因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动：

# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP

也可以很轻易地阻止所有流向攻击者IP地址的数据包，该命令稍有不同：

# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP

注意这里的A选项，如前所述，使用它说明是给现有的链添加规则。 4．删除规则网络上的恶意攻击者总是在变化的，因此需要不断改变IP。假设一个网上攻击者转移到新的IP地址，而其老的IP地址被分配给一些清白的用户，那么这时这些用户的数据包将无法通过你的网络。这种情况下，可以使用带-D选项的命令来删除现有的规则：

# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP

5．缺省的策略创建一个具有很好灵活性、可以抵御各种意外事件的规则需要大量的时间。对于那些没有时间这样做的人，最基本的原则是“先拒绝所有的数据包，然后再允许需要的”。下面来为每一个链设置缺省的规则：

# iptables -P INPUT DROP# iptables -P FORWARD DROP# iptables -P OUTPUT ACCEPT

这里选项-P用于设置链的策略，只有三个内建的链才有策略。这些策略可以让信息毫无限制地流出，但不允许信息流入。很多时候需要接收外部信息，则可使用以下命令：

# iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT

6．SYN的使用不能关闭所有端口，也不能只指定某些端口处于打开状态，那么怎样才能设置一个有效的规则，既可以允许普通用户正常通过，又可以阻止恶意攻击者访问网络呢？刚开始使用iptables的人可以充分利用syn标识来阻止那些未经授权的访问。iptables只检测数据包的报头，事实上，除iptables以外，很多其它有用的数据包分析都是基于报头的。比如，在进行Web冲浪时，一个请求从你的PC发送至其它地方的Web服务器上，该服务器会响应请求并发回一个数据包，同时得到你系统上的一个临时端口。与响应请求不同的是，服务器并不关心所传送的内容。可以利用这种特点来设置规则，让它阻止所有没有经过你系统授权的TCP连接：

# iptables -t filter -A INPUT -i eth0 -p tcp --syn -j DROP

这里的-i指的是网卡，-p则是指协议，--syn则表示带有syn标识设置的TCP数据包。SYN用于初始化一个TCP连接，如果自己机器上没有运行任何服务器，别人也就不会向你发送SYN数据包。 7．有状态的数据包的检测前边的例子把每一个数据包看成是独立的，而不是相互关联的，依靠的是数据包的头信息。iptables会检查数据包的源和目的IP地址、源和目的端口、流入数据包的顺序号、TCP先后顺序的信息及头标记（SYN、ACK、FIN、RST等）的状态，即它会跟踪整个连接会话，从而使整个过滤过程是相互关联的。 8．共享一个Internet连接网络地址翻译和IP伪装都可以实现多台主机共享一个Internet连接，这个局域网可以是Linux和Windows系统组成的多系统局域网。假设现在有一台机器，配有两个网卡，其中eth0为“公共”网卡，eth1为“私有”网卡，即eth0被分配了一个静态的、可路由的IP地址，而eth1被分配了一个私有的、不能路由的IP，该IP是属于该局域网子网的。要实现上述功能，需要向nat和filter表中添加一些链：

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE# iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT# iptables -t filter -A FORWARD -i eth1 -o eth0 -j ACCEPT

这显示了有状态的数据包检测的价值。请注意，这里是如何实现流入数据包只有在属于一个已经存在的连接时才被允许，而所有来自局域网内流向外的数据包则都允许通过。第一条规则让所有流出的信息看起来都是来自防火墙机器的，而并不会显示出防火墙后面还有一个局域网。下面的命令为FORWARD和POSTROUTING链设置缺省的策略，在使用伪装时，有一个缺省的POSTROUTING DROP策略非常重要，否则就可能有心怀恶意的用户突破网关后伪装自己的身份。

# iptables -t filter -P FORWARD DROP# iptables -t nat -P POSTROUTING DROP

下面的命令为拨号连接设置，它可以动态地分配IP地址：

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

9．运行服务器时的情况有时也会把服务器放置在防火墙后面，这时iptables就需要知道从哪儿通过数据包，设置如下所示：

# iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j DNAT -to 192.168.0.10:80# iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 25 -j DNAT -to 192.168.0.11:25

10．规则的保存到现在为止，所有的例子都是在命令行中进行的。在测试新的规则时，这是一种很好的方式，但一旦测试结果令人满意，就可以将它们保存为脚本。可以使用 iptables-save 命令来实现：

$ iptables-save > iptables-script

信息包过滤表中的所有规则都被保存在文件iptables-script中。无论何时再次引导系统，都可以使用iptables-restore命令将规则集从该脚本文件恢复到信息包过滤表。恢复命令如下所示：

$ iptables-restore iptables-script

如果愿意在每次引导系统时自动恢复该规则集，则可以将上面指定的这条命令放到任何一个初始化Shell脚本中。下面的例子并不是一个完整的脚本，它只是描述了如何使用变量及提供了一些附加的规则样例。

#!/bin/sh#为变量赋值IPTABLES=/sbin/iptablesLAN_NET="192.168.1.0/24"IFACE= "eth0"LO_IFACE="lo"LO_IP="127.0.0.1"#加载所需的内核/sbin/modprobe ip_conntrack/sbin/modprobe iptable_nat#缺省情况下，IP转发都处于不可用状态，将其设置为可用状态：echo "1" > /proc/sys/net/ipv4/ip_forward#使IP的动态分配功能可用echo "1" > /proc/sys/net/ipv4/ip_dynaddr#每次重启这个脚本时，最好清除以前所设的规则$IPTABLES -P INPUT DROP$IPTABLES -F INPUT$IPTABLES -P OUTPUT ACCEPT$IPTABLES -F OUTPUT$IPTABLES -P FORWARD DROP$IPTABLES -F FORWARD$IPTABLES -F -t nat#只允许在LAN中使用SSH连接$IPTABLES -A INPUT -s LAN_NET -p tcp --destination-port ssh -j ACCEPT#允许loopback!$IPTABLES -A INPUT -i lo -p all -j ACCEPT$IPTABLES -A OUTPUT -o lo -p all -j ACCEPT#丢弃那些流入的宣称是来自本地机器的数据包#丢弃那些流出的不是出自本地机的数据包$IPTABLES -A INPUT -i $IFACE -s $LAN_NET -j DROP$IPTABLES -A OUTPUT -o $IFACE -s ! $LAN_NET -j DROP#限制一些流出的信息$IPTABLES -A OUTPUT -o eth0 -p tcp -dport 31337 -j DROP$IPTABLES -A OUTPUT -o eth0 -p tcp -sport 31337 -j DROP#此外，31335、27444、27665、20034 NetBus、9704、137-139（smb）端口也应被禁止。

查看回复