CENTOSIPTables配置方法

1、文檔來源為 :從網絡收集整理 .word 版本可編輯 .歡迎下載支持CENTOS IPTables 配置方法需要的命令：查看配置情況 iptables -L -n記得保存 /etc/init.d/iptables save添加 in put 記錄 iptables -A INPUT -p tcp - dport 22 -j ACCEPT添加 output 記錄 iptables -A OUTPUT -p tcp - sport 22 -j ACCEPT一些軟件的默認端口：ftp 用到端口是 20 21ssh 端口是 22http 端口是 80telnet 端口是 23rsync 端口是 873

2、svn 端口 3690pop3 端口 110smtp 端口 25dns 端口 53mysql 端口 3306nfs 端口 111大概常用的就這些，其他的可查看具體軟件1、查看本機關于 IPTABLES 的設置情況roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt sou

3、rce destinationChain RH-Firewall-1-INPUT (0 references) target prot opt source destinationACCEPT all ACCEPT icmp icmp type 255ACCEPT espACCEPT ahACCEPT udp udp dpt:5353ACCEPT udp udp dpt:631ACCEPT all state RELATED,ESTABLISHEDACCEPT tcp state NEW tcp dpt:22ACCEPT tcp state NEW tcp dpt:80ACCEPT tcp s

4、tate NEW tcp dpt:25REJECT all reject-with icmp-host-prohibited可以看出我在安裝linux 時,選擇了有防火墻 ,并且開放了 22,80,25 端口.如果你在安裝 linux 時沒有選擇啟動防火墻 ,是這樣的roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (polic

5、y ACCEPT)target prot opt source destination 什么規(guī)則都沒有 .2、清除原有規(guī)則 .不管你在安裝 linux 時是否啟動了防火墻 ,如果你想配置屬于自己的防火墻 ,那就清除現在 filter 的所有規(guī)則 roottp # iptables -F 清除預設表 filter 中的所有規(guī)則鏈的規(guī)則roottp # iptables -X 清除預設表 filter 中使用者自定鏈中的規(guī)則 我們在來看一下roottp # iptables -L -nChain INPUT (policy ACCEPT) target prot opt source destin

6、ationChain FORWARD (policy ACCEPT) target prot opt source destinationChain OUTPUT （policy ACCEPT）target prot opt source destination什么都沒有了吧 ,和我們在安裝 linux 時沒有啟動防火墻是一樣的 .（提前說一句 , 這些配置就像用命令配置 IP 一樣 ,重起就會失去作用 ）,怎么保存 .roottp # /etc/rc.d/init.d/iptables save這樣就可以寫到 /etc/sysconfig/iptables 文件里了 .寫入后記得把防火墻重起

7、一下 ,才能起作用 .roottp # service iptables restart現在 IPTABLES 配置表里什么配置都沒有了 ,那我們開始我們的配置吧。3、設定預設規(guī)則roottp # iptables -p INPUT DROProottp # iptables -p OUTPUT ACCEPTroottp # iptables -p FORWARD DROP上面的意思是 ,當超出了 IPTABLES 里 filter 表里的兩個鏈規(guī)則 （INPUT,FORWARD） 時 ,不在這兩個規(guī)則里 的數據包怎么處理呢，那就是DROP（放棄）應該說這樣配置是很安全的我們要控制流入數據包

8、而對于 OUTPUT 鏈,也就是流出的包我們不用做太多限制,而是采取 ACCEPT, 也就是說 ,不在著個規(guī)則里的包怎么辦呢 ，那就是通過 .可以看出 INPUT，FORWARD 兩個鏈采用的是允許什么包通過，而 OUTPUT 鏈采用的是不允許什么包通過.這樣設置還是挺合理的，當然你也可以三個鏈都DROP,但這樣做我認為是沒有必要的，而且要寫的規(guī)則就會增加 .但如果你只想要有限的幾個規(guī)則是 ，如只做 WEB 服務器 .還是推薦三個鏈都是 DROP.注:如果你是遠程 SSH 登陸的話 ，當你輸入第一個命令回車的時候就應該掉了.因為你沒有設置任何規(guī)則 .怎么辦 ，去本機操作唄 !4、添加規(guī)則 .首

9、先添加INPUT鏈,INPUT鏈的默認規(guī)則是 DROP,所以我們就寫需要 ACCETP（通過）的鏈為了能采用遠程 SSH登陸，我們要開啟22端口 .roottp # iptables -A INPUT -p tcp - dport 22 -j ACCEPTroottp # iptables -A OUTPUT -p tcp - sport 22 -j ACCEPT （注:這個規(guī)則，如果你把 OUTPUT 設置成DROP的就要寫上這一部，好多人都是望了寫這一部規(guī)則導致，始終無法SSH.在遠程一下，是不是好了 其他的端口也一樣，如果開啟了 web服務器OUTPUT設置成DROP的話，同樣也要添加一

10、條鏈：roottp # iptables -A OUTPUT -p tcp - sport 80 -j ACCEPT ,其他同理.）如果做了 WEB 服務器,開啟 80端口.roottp # iptables -A INPUT -p tcp - dport 80 -j ACCEPT如果做了郵件服務器 ,開啟 25,110 端口 .roottp #iptables -A INPUT -p tcp-dport110 -j ACCEPTroottp #iptables -A INPUT -p tcp-dport25 -j ACCEPT如果做了 FTP 服務器 ,開啟 21 端口roottp #ipt

11、ables -A INPUT -p tcp-dport21 -j ACCEPTroottp #iptables -A INPUT -p tcp-dport20 -j ACCEPT如果做了 DNS 服務器 ,開啟 53 端口roottp # iptables -A INPUT -p tcp - dport 53 -j ACCEPT如果你還做了其他的服務器 ,需要開啟哪個端口 ,照寫就行了 . 上面主要寫的都是 INPUT 鏈,凡是不在上面的規(guī)則里的 ,都 DROP 允許 icmp 包通過 ,也就是允許 ping,roottp # iptables -A OUTPUT -p icmp -j ACC

12、EPT （OUTPUT 設置成 DROP 的話）roottp # iptables -A INPUT -p icmp -j ACCEPT （INPUT 設置成 DROP 的話）允許 loopback!（ 不然會導致 DNS 無法正常關閉等問題 ）IPTABLES -A INPUT -i lo -p all -j ACCEPT （ 如果是 INPUT DROP）IPTABLES -A OUTPUT -o lo -p all -j ACCEPT（ 如果是 OUTPUT DROP）下面寫OUTPUT鏈OUTPUT鏈默認規(guī)則是 ACCEPT,所以我們就寫需要DROP（放棄）的鏈.減少不安全的端口連接r

13、oottp # iptables -A OUTPUT -p tcp- sport 31337 -j DROProottp # iptables -A OUTPUT -p tcp- dport 31337 -j DROP有些些特洛伊木馬會掃描端口 31337 到 31340（即黑客語言中的 elite 端口 ）上的服務。既然合法服務都不 使用這些非標準端口來通信,阻塞這些端口能夠有效地減少你的網絡上可能被感染的機器和它們的遠程主服務器進行獨立通信的機會還有其他端口也一樣 ，像:31335、27444、27665、20034 NetBus、9704、137-139 （ smb） ,2049（NFS

14、）端口也 應被禁止 ,我在這寫的也不全 ,有興趣的朋友應該去查一下相關資料.當然出入更安全的考慮你也可以包OUTPUT鏈設置成DROP,那你添加的規(guī)則就多一些，就像上邊添加允許 SSH 登陸一樣 .照著寫就行了 .下面寫一下更加細致的規(guī)則,就是限制到某臺機器如 :我們只允許roottp # iptables -A INPUT -s -p tcp - dport 22 -j ACCEPT如果要允許 ,或限制一段 IP 地址可用 表示24 表示子網掩碼數 .但要記得把 /etc/sysconfig/iptables 里的這一行刪了 .-A INPUT-p tcp -m tcp - dport 22

15、 -j ACCEPT 因為它表示所有地址都可以登陸.或采用命令方式 :roottp # iptables -D INPUT -p tcp - dport 22 -j ACCEPT然后保存 ,我再說一邊 ,反是采用命令的方式 ,只在當時生效 ,如果想要重起后也起作用,那就要保存 .寫入到/etc/sysconfig/iptables 文件里 .roottp # /etc/rc.d/init.d/iptables save這樣寫 ! 表示除了 其他的規(guī)則連接也一樣這么設置 .在下面就是 FORWARD鏈FORWARD鏈的默認規(guī)則是 DROP,所以我們就寫需要 ACCETP（通過）的鏈，對 正在轉發(fā)

16、鏈的監(jiān)控 .開啟轉發(fā)功能,（在做NAT時FORWARD默認規(guī)則是 DROP時必須做）roottp # iptables -A FORWARD -i eth0 -o ethl -m state - state RELATED,ESTABLISHED -j ACCEPTroottp # iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT丟棄壞的 TCP 包roottp #iptables -A FORWARD -p TCP !- syn -m state - state NEW -j DROP處理IP碎片數量，防止攻擊，允許每秒100個roottp #ipta

17、bles -A FORWARD -f -m limit - limit 100/s- limit-burst 100 -j ACCEPT設置 ICMP 包過濾,允許每秒 1 個包,限制觸發(fā)條件是 10個包.roottp #iptables -A FORWARD -p icmp -m limit - limit 1/s - limit-burst 10 -j ACCEPT我在前面只所以允許 ICMP 包通過 ,就是因為我在這里有限制。配置一個 NAT 表放火墻1 、查看本機關于 NAT 的設置情況roottp rc.d# iptables -t nat -LChain PREROUTING （p

18、olicy ACCEPT）target prot opt source destinationChain POSTROUTING （policy ACCEPT）target prot opt source destinationSNAT all anywhere to:Chain OUTPUT （policy ACCEPT）target prot opt source destination我的 NAT 已經配置好了的 （只是提供最簡單的代理上網功能,還沒有添加防火墻規(guī)則 ）.關于怎么配置 NAT,參考我的另一篇文章當然你如果還沒有配置 NAT 的話 ,你也不用清除規(guī)則 ,因為 NAT 在默認

19、情況下是什么都沒有的 如果你想清除 ,命令是roottp # iptables -F -t natroottp # iptables -X -t natroottp # iptables -Z -t nat2、添加規(guī)則添加基本的 NAT 地址轉換 ,（關于如何配置 NAT 可以看我的另一 篇文章 ）,添加規(guī)則 ,我們只添加 DROP 鏈 .因為默認鏈全是 ACCEPT.防止外網用內網 IP 欺騙roottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s-j DROProottp sysconfig# iptables -t nat -A

20、 PREROUTING -i eth0 -s-j DROProottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s-j DROP如果我們想 ,比如阻止 MSN,QQ,BT 等的話 ,需要找到它們所用的端口或者IP, （個人認為沒有太大必要 ）例：禁止與roottp # iptables -t nat -A PREROUTING -d -j DROP禁用 FTP（21） 端口roottp # iptables -t nat -A PREROUTING -p tcp - dport 21 -j DROP這樣寫范圍太大了 ,我們可以更精確的定義 .roottp # iptables -t nat -A