Linux系统iptables防火墙怎么设置

安装iptables防火墙

如果没有安装iptables需要先安装,CentOS执行:

yum install iptables

Debian/Ubuntu执行:

apt-get install iptables

星期九所在的VPS上iptables设置为:

*nat
:PREROUTING ACCEPT [7978:1018059]
:POSTROUTING ACCEPT [9376:593102]
:OUTPUT ACCEPT [9376:593102]
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.217.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [449:152450]
:FORWARD DROP [52:3156]
:OUTPUT DROP [0:0]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 88 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 60.195.252.107 -i eth0 -p udp -m udp --dport 161 -j ACCEPT
-A INPUT -s 60.195.252.110 -i eth0 -p udp -m udp --dport 161 -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
其中仅开放了SSH的端口22,http的端口80,FTP的21、22,UDP的161,以及PPTP所使用的1723。LNMPA服务器可能需要注意开放88端口,因为军哥的一键安装包其后端Apache使用88端口。也可以将Nginx的端口改到88。另外此设置不接受ping的ICMP包。

iptables规则管理

列出当前iptables规则:

iptables -L -n --line-numbers

删除其中某一条规则(借助相应规则与行号),如:

iptables -D INPUT 6
iptables -D FORWARD 1
将分别删除INPUT里的第6条规则与FORWARD里的第一条规则。

iptables规则的保存与自启

设置好后,执行:

iptables-save > /etc/iptables.rules
将规则保存于/etc目录下的iptables.rules文件,然后在/etc/rc.local文件里添加随开机执行的命令:

vi /etc/rc.local
在“exit 0”的上面添入下面语句:

iptables-restore
清除iptables规则

执行:

iptables -F
iptables -X
iptables -Z

iptables从入门到精通

实验环境介绍:

本脚本环境为eth0外网,eth1内网;

#!/bin/sh

#外网网卡

EXT_IF="eth0"

FW_IP="61.137.85.21"

#内网网卡

INT_IF="eth1"

LAN_IP="192.168.0.1"

LAN_IP_RANGE="192.168.0.0/255.255.255.0"

#加载模块,一般已内建

#Module loading.

#echo "modprobe modules"

#modprode ip_tables

#modprode ip_nat_ftp

#modprode ip_conntrack

#modprobe ip_conntrack_ftp

#启用转发(forward)功能

echo "enabling IP FORWARDING......"

echo "1" > /proc/sys/net/ipv4/ip_forward

#规则初始化,设置默认都为drop

echo "enabling iptables rules"

#reset the default policies in the tables

#Iptables 命令参数

iptables -F

iptables -X

iptables -F -t mangle

iptables -X -t mangle

iptables -F -t nat

iptables -X -t nat

iptables -Z -t nat

#set policies

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

###-----------------------------------------------------------------###

#过虑蠕虫病毒

#444/445/69/135/139

###-----------------------------------------------------------------###

iptables -A FORWARD -p tcp --dport 4444 -j DROP

iptables -A FORWARD -p udp --dport 4444 -j DROP

iptables -A FORWARD -p tcp --dport 445 -j DROP

iptables -A FORWARD -p udp --dport 445 -j DROP

iptables -A FORWARD -p tcp --dport 69 -j DROP

iptables -A FORWARD -p udp --dport 69 -j DROP

iptables -A FORWARD -p tcp --dport 135 -j DROP

iptables -A FORWARD -p udp --dport 135 -j DROP

iptables -A FORWARD -p tcp --dport 139 -j DROP

iptables -A FORWARD -p udp --dport 139 -j DROP

#允许ping localhost,ping 192.168.0.1/2

#allow loopback access

iptables -A INPUT -p icmp -i lo -j ACCEPT

iptables -A OUTPUT -p icmp -o lo -j ACCEPT

#打开内对内连接

#iptables -A INPUT -i lo -j ACCEPT

#允许代理和内网客户机相互传输数据(包括ping)

#allow ping LAN

iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

iptables -A OUTPUT -p ALL -o $INT_IF -d $LAN_IP_RANGE -j ACCEPT

#允许外网的网卡与内网相互通讯.接受数据只接受响应封包,否则不予放行.发送数据没有限制.

iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

#拒绝外部使用内网进行欺骗

#deny local cheat

iptables -A INPUT -i $EXT_IF -s 192.168.0.0/16 -j DROP

iptables -A INPUT -i $EXT_IF -s 10.0.0.0/8 -j DROP

iptables -A INPUT -i $EXT_IF -s 172.16.0.0/12 -j DROP

iptables -A INPUT -i $EXT_IF -s 127.0.0.0/8 -j DROP

#从LAN进入防火墙主机的dhcp封包,不于放行,只有防火墙担任DHCP时才放行

#deny DHCP_packets from LAN

iptables -A INPUT -p udp -i $INT_IF --dport 67 --sport 68 -j DROP

###-----------------------------------------------------------------------------------###

#配置向外方向的TCP规则,其中 --state ESTABLISHED ,NEW参数指定要检查哪个状态。

#ESTABLISHED标志匹配属于已有的TCP连接的封包.

#NEW标志指定试图创建一条新的TCP连接的第一个封包,这条规则指明属于新建的和已建立的

#TCP连接的封包将会通过eth0端口向外发送.

###-----------------------------------------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -m state --state ESTABLISHED,NEW -j ACCEPT

###----------------------------------------------------------------------------------###

#配置封包从一个端口转发到另一个端口

###----------------------------------------------------------------------------------###

iptables -A FORWARD -i $INT_IF -j ACCEPT

# same to above 和上面的规则功能相同

#iptables -A FORWARD -i $EXT_IF -m state --state ESTABLISHED,RELATED -j ACCEPT

###-------------------------------------------------------------------------------------###

#检查到达外部网络接口的封包状态.属于已有TCP连接的封包都允许通过

# 从WAN到LAN的封包仅放行回应封包

###-------------------------------------------------------------------------------------###

iptables -A INPUT -i $EXT_IF -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

# 限制过滤规则的比对频率为每分钟平均流量三个封包(超过上限的封包将暂停比对),

#并将瞬间流量设定为一次最多处理三个封包(超过上限的封包将丢弃不予处理),

#这类封包通常是黑客用来进行阻断式攻击

iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packets died:"

###-------------------------------------------------------------------------###

#不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片

###-------------------------------------------------------------------------###

iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

###-------------------------------------------------------------------------###

#icmp包通过的控制,防止icmp黑客攻击

###-------------------------------------------------------------------------###

iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

###-------------------------------------------------------------------------###

# 防止DDOS

###-------------------------------------------------------------------------###

#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

###-------------------------------------------------------------------------###

# UDP包一律放行

# allow UDP

###-------------------------------------------------------------------------###

iptables -A FORWARD -p udp -d $LAN_IP_RANGE -i $EXT_IF -j ACCEPT

###-------------------------------------------------------------------------###

#根据mac屏蔽主机上网

###-------------------------------------------------------------------------###

#iptables -t nat -I PREROUTING -m mac --mac-source 4C:00:10:D8:57:F3 -j DROP

###-----------------------------------------------------###

# 开放内部主机可以telnet至外部主 telnet port 23

###-----------------------------------------------------###

#没必要打开23端口

#iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT

#iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT

###-----------------------------------------------------###

# 开放邮包转送通道 open SMTP port 25

###-----------------------------------------------------###

#以下是别人可以送信给你

iptables -A INPUT -i $EXT_IF -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT

iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

#以下是你可以送信给别人

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT

###-----------------------------------------------------###

# 开放对外离线下载信件的通道 POP3 port 110

###-----------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT

###-----------------------------------------------------###

# 开放浏览网页的通道 http port 80

###-----------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT

###-----------------------------------------------------###

# 开放查询外部网络的DNS主机 DNS port:53

###-----------------------------------------------------###

#第一次会用udp封包来查询

iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

#若有错误,会改用tcp包来查询

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

#开放这台主机上的DNS和外部的DNS主机互动查询:使用udp

iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

#开放这台主机上的DNS和外部的DNS主机互动查询:使用udp

iptables -A OUTPUT -o EXT_IF -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

###------------------------------------------------------------------------###

#开放内部主机可以SSH至外部的主机 SSH port:22

###------------------------------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT

#以下是SSH protocol比较不同的地方

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT

###------------------------------------------------------------------------###

###开放内部网络,可以ftp至外部主机

###------------------------------------------------------------------------###

#以下是打开命令 channel 21

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT

#以下是打开资料 channel 20

iptables -A INPUT -i $EXT_IF -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT

iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT

#以下是打开 passive mode FTP 资料通道

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT

#-------------------------------------NAT------------------------------------------------

#透明代理设定:将WWW服务转向squid

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

###-------------------------------------------------------------------------###

#启动内部对外部转址:源网络地址转换SNAT

###-------------------------------------------------------------------------###

iptables -t nat -A POSTROUTING -o $EXT_IF -s $LAN_IP_RANGE -j SNAT --to $FW_IP

###-------------------------------------------------------------------------###

#启动外部对内部转址(设置内网WWWW服务器映射)DNAT

###-------------------------------------------------------------------------###

iptables -t nat -A PREROUTING -i $EXT_IF -p tcp -d $FW_IP --dport 80 -j DNAT --to 192.168.0.16:80

双线原理是一样的:

如果内网1[或者外网]是192.168.1.0/24

内网2[或者外网]是192.168.2.0/24

只要改相应部分就行了

#启动内部对外部转址:源网络地址转换SNAT

###-------------------------------------------------------------------------###

iptables -t nat -A POSTROUTING -o $EXT_IF -s 192.168.1.0/24 -j SNAT --to $FW_IP

iptables -t nat -A POSTROUTING -o $EXT_IF -s 192.168.2.0/24 -j SNAT --to $FW_IP

附上基础规则:

*filter
:INPUT ACCEPT [106:85568]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [188:168166]
:RH-Firewall-1-INPUT - [0:0]
#允许本地回环接口(即运行本机访问本机)
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
-A OUTPUT -j ACCEPT
#允许PPTP拨号翻墙
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
#仅特定主机访问Rsync数据同步服务
-A INPUT -s 8.8.8.8/32 -p tcp -m tcp --dport 873 -j ACCEPT
#仅特定主机访问WDCP管理系统
-A INPUT -s 6.6.6.6/32 -p tcp -m tcp --dport 8080 -j ACCEPT
#允许访问SSH
-A INPUT -p tcp -m tcp --dport 1622 -j ACCEPT
#允许访问FTP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
#允许访问网站服务
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#禁止所有未经允许的连接
-A INPUT -p tcp -j DROP
#注意:如果22端口未加入允许规则,SSH链接会直接断开。
#-A INPUT -j REJECT
#-A FORWARD -j REJECT
COMMIT

时间: 2024-09-16 02:47:45

Linux系统iptables防火墙怎么设置的相关文章

linux中iptables防火墙怎么设置

当新配置了一台linux的服务器时,如果需要配置iptables,一般按照以下命令进行配置: 一,安装并启动防火墙 [root@linux ~]# /etc/init.d/iptables start 当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig /iptables,我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了. 1.加载模块 /s

linux中iptables防火墙常规设置

当新配置了一台linux的服务器时,如果需要配置iptables,一般按照以下命令进行配置: 一,安装并启动防火墙 [root@linux ~]# /etc/init.d/iptables start 当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig/iptables,我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了. 1.加载模块 /sb

linux中iptables 防火墙简单设置

用vim打开/etc/sysconfig/iptables,我们先来看一下最终设置好apache80端口访问是什么样:  代码如下 复制代码 1.:RH-Firewall-1-INPUT - [0:0] 这里可以理解为定义了一个链RH-Firewall-1-INPUT  代码如下 复制代码 2.-A INPUT -j RH-Firewall-1-INPUT和-A FORWARD -j RH-Firewall-1-INPUT 这里是把INPUT和FORWARD的所有包都转发到RH-Firewall

使用Linux系统Iptables防火墙

Linux 的内置firewall机制,是通过kernel中的netfilter模块实现的(www.netfilter.ort).Linux kernel使用netfilter对进出的数据包进行过滤,netfilter由三个规则表组成,每个表又有许多内建的链组成.通过使用iptables命令可以对这些表链进行操作,如添加.删除和列出规则等. 一.Netfilter规则表-filter nat mangle filter,用于路由网络数据包.是默认的,也就是说如果没有指定-t参数,当创建一条新规则

Linux系统网卡绑定的设置方法

 Linux系统网卡绑定的设置方法   简介 端口绑定就是将多个物理网卡绑定为一个逻辑网卡;根据模式不同可以网卡绑定的作用可分为提升吞吐量和热备份两个主要作用,一般都是提升吞吐量.另外需要bonding内核模块的支持. 配置 挂载模块 修改模块挂载配置文件vim /etc/modprobe.conf alias bond0 bonding options bond0 mode=balance-alb miimon=100 use_carrier=0 修改网卡参数 添加bond0配置vim /et

Linux系统下Telnet的设置方法

  Linux系统下Telnet的设置方法 Linux系统下Telnet服务的配置步骤: 一.安装Telnet软件包(通常要两个) 1. Telnet-clIEnt (或 Telnet),这个软件包提供的是 Telnet 客户端程序; 2. Telnet-server ,这个软件包提供的是 Telnet 服务器端程序; 安装之前先检测是否这些软件包已安装,方法如下: [root@echo root]#rpm –q Telnet或[root@wljs root]#rpm –q Telnet-cli

sharly浅谈虚拟主机linux系统下的安全设置

美国虚拟主机大都使用Linux操作系统,因此当用户在使用美国虚拟主机的时候,Linux系统的安全问题就成为了使用者最为关心的问题,毕竟谁都希望自己操作的是一个稳定又安全的系统. 什么是Linux呢?Liunx的官方定义:"Linux是一种UNIX操作系统的克隆,它(的内核)由Linux Torvalds以及网络上组织松散的黑客队伍一起从零开始编写而成.LINUX的目标是保持和POSIX的兼容."众所周知,Linux是一种开放源代 码的操作系统,由于它的自由开放性和技术先进性,顺应了广大

linux系统中查看己设置iptables规则

iptables是一个强大的Linux防火墙,使用频率极高.本文介绍如何查看iptables规则设置. 1.iptables -L 查看filter表的iptables规则,包括所有的链.filter表包含INPUT.OUTPUT.FORWARD三个规则链. 说明:-L是--list的简写,作用是列出规则. 2.iptables -L [-t 表名] 只查看某个表的中的规则. 说明:表名一个有三个:filter,nat,mangle,如果没有指定表名,则默认查看filter表的规则列表(就相当于

linux中iptables防火墙劫持并拦截DNS查询53端口实现转向

企业内网中经常会有这样的需求,比如说业务服务器的IP地址为192.168.6.25,大家也就习惯于访问这个地址了,运维也很厚道的将某个域名解析到这个IP地址,这样大家也就不必记住繁琐的IP地址,同时运维也很方便的将业务服务器由192.168.6.25的主机迁移到192.168.6.26的主机而无需通知客户端更改地址,这也是域名发挥的作用,好了,现在问题来了:-) 客户说我们企业很小,不想另外购买域名,好吧,每年五十几块也是一笔费用,而且购买域名后还需要有人维护,比如要记得续费什么的,略麻烦.同样