Linux下iptables防火墻配置詳解

目錄

  1. iptables命令及參數介紹
  2. 配置Filter表防火墻
  3. 配置NAT表防火墻

1. iptables命令及參數介紹

iptables常用命令:

  • iptables -A 將一個規則添加到鏈末尾
  • iptables -D 將指定的鏈中刪除規則
  • iptables -F 將指定的鏈中刪除所有規則
  • iptables -I 將在指定鏈的指定編號位置插入一個規則
  • iptables -L 列出指定鏈中所有規則
  • iptables -t nat -L 列出所有NAT鏈中所有規則
  • iptables -N 建立用戶定義鏈
  • iptables -X 刪除用戶定義鏈
  • iptables -P 修改鏈的默認設置,如將iptables -P INPUT DROP (將INPUT鏈設置為DROP)

常見設置參數介紹:

  • --dport 指定目標TCP/IP端口 如 –dport 80
  • --sport 指定源TCP/IP端口 如 –sport 80
  • -p tcp 指定協議為tcp
  • -p icmp 指定協議為ICMP
  • -p udp 指定協議為UDP
  • -j DROP 拒絕
  • -j ACCEPT 允許
  • -j REJECT 拒絕并向發出消息的計算機發一個消息
  • -j LOG 在/var/log/messages中登記分組匹配的記錄
  • -m mac –mac 綁定MAC地址
  • -m limit –limit 1/s 1/m 設置時間策列
  • -s 10.10.0.0或10.10.0.0/16 指定源地址或地址段
  • -d 10.10.0.0或10.10.0.0/16 指定目標地址或地址段
  • -s ! 10.10.0.0 指定源地址以外的

iptables配置文件

配置文件位置: /etc/sysconfig/iptables

iptables服務命令

-- 啟動服務
# /etc/init.d/iptables start 
# service iptables start

-- 停止服務
# /etc/init.d/iptables stop
# service iptables stop

-- 重啟服務
# /etc/init.d/iptables restart
# service iptables restart

-- 保存設置
# /etc/init.d/iptables save
# service iptables save

2. 配置Filter表防火墻

  1. 查看iptables的配置信息
# iptables -L -n
  1. 清除原有防火墻規則
  • 清除預設表filter中的所有規則鏈的規則
# iptables -F
  • 清除預設表filter中使用者自定鏈中的規則
# iptables -X
  • 保存防火墻設置
# /etc/init.d/iptables save
或
# service iptables save
  1. 設定預設規則
-- 請求接入包丟棄
[root@home ~]# iptables -p INPUT DROP
-- 接受響應數據包
[root@home ~]# iptables -p OUTPUT ACCEPT
-- 轉發數據包丟棄 
[root@home ~]# iptables -p FORWARD DROP
  1. 添加防火墻規則

首先添加INPUT鏈,INPUT鏈的默認規則是DROP,所以我們就寫需要ACCETP(通過)的鏈。

  • 開啟SSH服務端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

注:如果在預設設置把OUTPUT設置成DROP策略的話,就需要設置OUTPUT規則,否則無法進行SSH連接。

  • 開啟Web服務端口
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • 開啟郵件服務的25、110端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
  • 開啟FTP服務的21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
  • 開啟DNS服務的53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
  • 設置icmp服務
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT    (INPUT設置成DROP的話)
  • 允許loopback

不然會導致DNS無法正常關閉等問題

[root@tp ~]# IPTABLES -A INPUT -i lo -p all -j ACCEPT 
(如果是INPUT DROP)
[root@tp ~]# IPTABLES -A OUTPUT -o lo -p all -j ACCEPT
(如果是OUTPUT DROP)
  • 減少不安全的端口連接
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

說明:有些特洛伊木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務。既然合法服務都不使用這些非標準端口來通信,阻塞這些端口能夠有效地減少你的網絡上可能被感染的機器和它們的遠程主服務器進行獨立通信的機會。此外,其他端口也一樣,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也應被禁止。

  • 只允許某臺主機或某個網段進行SSH連接

只允許192.168.0.3的機器進行SSH連接

[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

如果允許或限制一段IP地址可用192.168.0.0/24表示192.168.0.1-255端的所有IP, 24表示子網掩碼數。

[root@tp ~]# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

注意:指定某個主機或者某個網段進行SSH連接,需要在iptables配置文件中的-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
刪除,因為它表示所有地址都可以登陸.

如果只允許除了192.168.0.3的主機外都能進行SSH連接

[root@tp ~]# iptables -A INPUT -s ! 192.168.0.3 -p tcp --dport 22 -j ACCEPT
  • 開啟轉發功能

在做NAT網絡配置時,FORWARD默認規則是DROP時,必須開啟數據包轉發功能

[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
  • 丟棄壞的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
  • 處理IP碎片數量,防止DDOS攻擊,允許每秒100個
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
  • 設置ICMP包過濾, 允許每秒1個包, 限制觸發條件是10個包
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
  • DROP非法連接
[root@tp ~]# iptables -A INPUT   -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT  -m state --state INVALID -j DROP
[root@tp ~]# iptables -A FORWARD -m state --state INVALID -j DROP
  • 允許所有已經建立的和相關的連接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save

3. 配置NAT表防火墻

  1. 查看本機關于NAT的設置情況
[root@tp rc.d]# iptables -t nat -L
  1. 清除NAT規則
[root@tp ~]# iptables -F -t nat
[root@tp ~]# iptables -X -t nat
[root@tp ~]# iptables -Z -t nat
  1. 添加規則

添加基本的NAT地址轉換,添加規則時,我們只添加DROP鏈,因為默認鏈全是ACCEPT。

  • 防止外網用內網IP欺騙
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
  • 禁止與211.101.46.253的所有連接
[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
  • 禁用FTP(21)端口
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP

只禁用211.101.46.253地址的FTP連接,其他連接可以進行。

[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容