linux--下iptables配置詳解

1、linux下IPTABLES配置詳解開(kāi)始配置我們來(lái)配置一個(gè)filter表的防火墻.(1)查看本機(jī)關(guān)于IPTABLES的設(shè)置情況roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destinationChain RH-Firewall-1-INPUT (0

2、 references)target prot opt source destinationACCEPT all - /0 /0 ACCEPT icmp - /0 /0 icmp type 255 ACCEPT esp - /0 /0 ACCEPT ah - /0 /0 ACCEPT udp - /0 51 udp dpt:5353 ACCEPT udp - /0 /0 udp dpt:631 ACCEPT all - 0.

3、0.0.0/0 /0 state RELATED,ESTABLISHED ACCEPT tcp - /0 /0 state NEW tcp dpt:22 ACCEPT tcp - /0 /0 state NEW tcp dpt:80 ACCEPT tcp - /0 /0 state NEW tcp dpt:25 REJECT all - /0 /0 reject-with icmp-host-prohibited可以看出我在安裝linux時(shí),選擇了有防火墻,并且開(kāi)放了2

4、2,80,25端口.如果你在安裝linux時(shí)沒(méi)有選擇啟動(dòng)防火墻,是這樣的roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination 什么規(guī)則都沒(méi)有.(2)清除原有規(guī)則.不管你在安裝linux時(shí)是否啟動(dòng)了防火墻,如果你想配置屬于自己的防火

5、墻,那就清除現(xiàn)在filter的所有規(guī)則.roottp # iptables -F 清除預(yù)設(shè)表filter中的所有規(guī)則鏈的規(guī)則roottp # iptables -X 清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則roottp # iptables -Z /鏈的記數(shù)器清零。我們?cè)趤?lái)看一下roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPU

6、T (policy ACCEPT)target prot opt source destination什么都沒(méi)有了吧,和我們?cè)诎惭blinux時(shí)沒(méi)有啟動(dòng)防火墻是一樣的.(提前說(shuō)一句,這些配置就像用命令配置IP一樣,重起就會(huì)失去作用),怎么保存.roottp # /etc/rc.d/init.d/iptables save這樣就可以寫(xiě)到/etc/sysconfig/iptables文件里了.寫(xiě)入后記得把防火墻重起一下,才能起作用.roottp #/etc/init.d/iptables restart現(xiàn)在IPTABLES配置表里什么配置都沒(méi)有了,那我們開(kāi)始我們的配置吧(3)設(shè)定預(yù)設(shè)規(guī)則roottp

7、 # iptables -p INPUT DROProottp # iptables -p OUTPUT ACCEPTroottp # iptables -p FORWARD DROP上面的意思是,當(dāng)超出了IPTABLES里filter表里的兩個(gè)鏈規(guī)則(INPUT,FORWARD)時(shí),不在這兩個(gè)規(guī)則里的數(shù)據(jù)包怎么處理呢,那就是DROP(放棄).應(yīng)該說(shuō)這樣配置是很安全的.我們要控制流入數(shù)據(jù)包而對(duì)于OUTPUT鏈,也就是流出的包我們不用做太多限制,而是采取ACCEPT,也就是說(shuō),不在這個(gè)規(guī)則里的包怎么辦呢,那就是通過(guò).可以看出INPUT,FORWARD兩個(gè)鏈采用的是允許什么包通過(guò),而OUTPUT鏈

8、采用的是不允許什么包通過(guò).這樣設(shè)置還是挺合理的,當(dāng)然你也可以三個(gè)鏈都DROP,但這樣做我認(rèn)為是沒(méi)有必要的,而且要寫(xiě)的規(guī)則就會(huì)增加.但如果你只想要有限的幾個(gè)規(guī)則是,如只做WEB服務(wù)器.還是推薦三個(gè)鏈都是DROP.注:如果你是遠(yuǎn)程SSH登陸的話(huà),當(dāng)你輸入第一個(gè)命令回車(chē)的時(shí)候就應(yīng)該掉了.因?yàn)槟銢](méi)有設(shè)置任何規(guī)則.怎么辦,去本機(jī)操作唄!(4)添加規(guī)則.首先添加INPUT鏈,INPUT鏈的默認(rèn)規(guī)則是DROP,所以我們就寫(xiě)需要ACCETP(通過(guò))的鏈為了能采用遠(yuǎn)程SSH登陸,我們要開(kāi)啟22端口.roottp # iptables -A INPUT -p tcp -dport 22 -j ACCEPTroot

9、tp # iptables -A OUTPUT -p tcp -sport 22 -j ACCEPT (注:這個(gè)規(guī)則,如果你把OUTPUT 設(shè)置成DROP的就要寫(xiě)上這一部,好多人都是望了寫(xiě)這一部規(guī)則導(dǎo)致,始終無(wú)法SSH.在遠(yuǎn)程一下,是不是好了.其他的端口也一樣,如果開(kāi)啟了web服務(wù)器,OUTPUT設(shè)置成DROP的話(huà),同樣也要添加一條鏈:roottp # iptables -A OUTPUT -p tcp -sport 80 -j ACCEPT ,其他同理.)如果做了WEB服務(wù)器,開(kāi)啟80端口.roottp # iptables -A INPUT -p tcp -dport 80 -j ACCE

10、PT如果做了郵件服務(wù)器,開(kāi)啟25,110端口.roottp # iptables -A INPUT -p tcp -dport 110 -j ACCEPTroottp # iptables -A INPUT -p tcp -dport 25 -j ACCEPT如果做了FTP服務(wù)器,開(kāi)啟21端口roottp # iptables -A INPUT -p tcp -dport 21 -j ACCEPTroottp # iptables -A INPUT -p tcp -dport 20 -j ACCEPT如果做了DNS服務(wù)器,開(kāi)啟53端口roottp # iptables -A INPUT -p

11、tcp -dport 53 -j ACCEPT如果你還做了其他的服務(wù)器,需要開(kāi)啟哪個(gè)端口,照寫(xiě)就行了.上面主要寫(xiě)的都是INPUT鏈,凡是不在上面的規(guī)則里的,都DROP允許icmp包通過(guò),也就是允許ping,roottp # iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設(shè)置成DROP的話(huà))roottp # iptables -A INPUT -p icmp -j ACCEPT (INPUT設(shè)置成DROP的話(huà))允許loopback!(不然會(huì)導(dǎo)致DNS無(wú)法正常關(guān)閉等問(wèn)題)IPTABLES -A INPUT -i lo -p all -j ACCEPT (如

12、果是INPUT DROP)IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)下面寫(xiě)OUTPUT鏈,OUTPUT鏈默認(rèn)規(guī)則是ACCEPT,所以我們就寫(xiě)需要DROP(放棄)的鏈.減少不安全的端口連接roottp # iptables -A OUTPUT -p tcp -sport 31337 -j DROProottp # iptables -A OUTPUT -p tcp -dport 31337 -j DROP有些特洛伊木馬會(huì)掃描端口31337到31340(即黑客語(yǔ)言中的 elite 端口)上的服務(wù)。既然合法服務(wù)都不使用這些非標(biāo)準(zhǔn)

13、端口來(lái)通信,阻塞這些端口能夠有效地減少你的網(wǎng)絡(luò)上可能被感染的機(jī)器和它們的遠(yuǎn)程主服務(wù)器進(jìn)行獨(dú)立通信的機(jī)會(huì)還有其他端口也一樣,像:31335、27444、27665、20034 NetBus、9704、137-139（smb）,2049(NFS)端口也應(yīng)被禁止,我在這寫(xiě)的也不全,有興趣的朋友應(yīng)該去查一下相關(guān)資料.當(dāng)然出入更安全的考慮你也可以包OUTPUT鏈設(shè)置成DROP,那你添加的規(guī)則就多一些,就像上邊添加允許SSH登陸一樣.照著寫(xiě)就行了.下面寫(xiě)一下更加細(xì)致的規(guī)則,就是限制到某臺(tái)機(jī)器如:我們只允許的機(jī)器進(jìn)行SSH連接roottp # iptables -A INPUT -s

14、 -p tcp -dport 22 -j ACCEPT如果要允許,或限制一段IP地址可用 /24 表示-255端的所有IP.24表示子網(wǎng)掩碼數(shù).但要記得把 /etc/sysconfig/iptables 里的這一行刪了.iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT 因?yàn)樗硎舅械刂范伎梢缘顷?或采用命令方式:roottp # iptables -D INPUT -p tcp -dport 22 -j ACCEPT然后保存,我再說(shuō)一邊,凡是采用命令的方式,只在當(dāng)時(shí)生效,如

15、果想要重起后也起作用,那就要保存.寫(xiě)入到/etc/sysconfig/iptables文件里.roottp # /etc/rc.d/init.d/iptables save這樣寫(xiě) ! 表示除了的ip地址其他的規(guī)則連接也一樣這么設(shè)置.在下面就是FORWARD鏈,FORWARD鏈的默認(rèn)規(guī)則是DROP,所以我們就寫(xiě)需要ACCETP(通過(guò))的鏈,對(duì)正在轉(zhuǎn)發(fā)鏈的監(jiān)控.開(kāi)啟轉(zhuǎn)發(fā)功能,(在做NAT時(shí),FORWARD默認(rèn)規(guī)則是DROP時(shí),必須做)roottp # iptables -A FORWARD -i eth0 -o eth1 -m state -state

16、RELATED,ESTABLISHED -j ACCEPTroottp # iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT丟棄壞的TCP包roottp #iptables -A FORWARD -p TCP ! -syn -m state -state NEW -j DROP處理IP碎片數(shù)量,防止攻擊,允許每秒100個(gè)roottp #iptables -A FORWARD -f -m limit -limit 100/s -limit-burst 100 -j ACCEPT設(shè)置ICMP包過(guò)濾,允許每秒1個(gè)包,限制觸發(fā)條件是10個(gè)包.roottp #ip

17、tables -A FORWARD -p icmp -m limit -limit 1/s -limit-burst 10 -j ACCEPT我在前面只所以允許ICMP包通過(guò),就是因?yàn)槲以谶@里有限制.二,配置一個(gè)NAT表防火墻1,查看本機(jī)關(guān)于NAT的設(shè)置情況roottp rc.d# iptables -t nat LChain PREROUTING (policy ACCEPT)target prot opt source destinationChain POSTROUTING (policy ACCEPT)target prot opt source destinationSNAT all

18、 - /24 anywhere to:35Chain OUTPUT (policy ACCEPT)target prot opt source destination我的NAT已經(jīng)配置好了的(只是提供最簡(jiǎn)單的代理上網(wǎng)功能,還沒(méi)有添加防火墻規(guī)則).關(guān)于怎么配置NAT,參考我的另一篇文章當(dāng)然你如果還沒(méi)有配置NAT的話(huà),你也不用清除規(guī)則,因?yàn)镹AT在默認(rèn)情況下是什么都沒(méi)有的如果你想清除,命令是roottp # iptables -F -t natroottp # iptables -X -t natroottp # iptables -Z -t nat2

19、,添加規(guī)則 添加基本的NAT地址轉(zhuǎn)換,(關(guān)于如何配置NAT可以看我的另一篇文章),添加規(guī)則,我們只添加DROP鏈.因?yàn)槟J(rèn)鏈全是ACCEPT.防止外網(wǎng)用內(nèi)網(wǎng)IP欺騙roottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s /8 -j DROProottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s /12 -j DROProottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s 19

20、/16 -j DROP如果我們想,比如阻止MSN,QQ,BT等的話(huà),需要找到它們所用的端口或者IP,(個(gè)人認(rèn)為沒(méi)有太大必要)例：禁止與53的所有連接roottp # iptables -t nat -A PREROUTING -d 53 -j DROP禁用FTP(21)端口roottp # iptables -t nat -A PREROUTING -p tcp -dport 21 -j DROP這樣寫(xiě)范圍太大了,我們可以更精確的定義.roottp # iptables -t nat -A PREROUTING -p tcp -

21、dport 21 -d 53 -j DROP這樣只禁用53地址的FTP連接,其他連接還可以.如web(80端口)連接.按照我寫(xiě)的,你只要找到QQ,MSN等其他軟件的IP地址,和端口,以及基于什么協(xié)議,只要照著寫(xiě)就行了.最后：3.drop非法連接roottp # iptables -A INPUT -m state -state INVALID -j DROProottp # iptables -A OUTPUT -m state -state INVALID -j DROProottp # iptables-A FORWARD -m state

22、-state INVALID -j DROP允許所有已經(jīng)建立的和相關(guān)的連接roottp # iptables-A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPTroottp # iptables-A OUTPUT -m state -state ESTABLISHED,RELATED -j ACCEPTroottp # /etc/rc.d/init.d/iptables save這樣就可以寫(xiě)到/etc/sysconfig/iptables文件里了.寫(xiě)入后記得把防火墻重起一下,才能起作用roottp # /etc/init.d/iptabl

23、es restart別忘了保存，不行就寫(xiě)一部保存一次你可以一邊保存，一邊做實(shí)驗(yàn)，看看是否達(dá)到你的要求#iptables詳解一：前言 防火墻，其實(shí)說(shuō)白了講，就是用于實(shí)現(xiàn)Linux下訪(fǎng)問(wèn)控制的功能的，它分為硬件的或者軟件的防火墻兩種。無(wú)論是在哪個(gè)網(wǎng)絡(luò)中，防火墻工作的地方一定是在網(wǎng)絡(luò)的邊緣。而我們的任務(wù)就是需要去定義到底防火墻如何工作，這就是防火墻的策略，規(guī)則，以達(dá)到讓它對(duì)出入網(wǎng)絡(luò)的IP、數(shù)據(jù)進(jìn)行檢測(cè)。 目前市面上比較常見(jiàn)的有3、4層的防火墻，叫網(wǎng)絡(luò)層的防火墻，還有7層的防火墻，其實(shí)是代理層的網(wǎng)關(guān)。 對(duì)于TCP/IP的七層模型來(lái)講，我們知道第三層是網(wǎng)絡(luò)層，三層的防火墻會(huì)在這層對(duì)源地址和目標(biāo)地址進(jìn)行檢

24、測(cè)。但是對(duì)于七層的防火墻，不管你源端口或者目標(biāo)端口，源地址或者目標(biāo)地址是什么，都將對(duì)你所有的東西進(jìn)行檢查。所以，對(duì)于設(shè)計(jì)原理來(lái)講，七層防火墻更加安全，但是這卻帶來(lái)了效率更低。所以市面上通常的防火墻方案，都是兩者結(jié)合的。而又由于我們都需要從防火墻所控制的這個(gè)口來(lái)訪(fǎng)問(wèn)，所以防火墻的工作效率就成了用戶(hù)能夠訪(fǎng)問(wèn)數(shù)據(jù)多少的一個(gè)最重要的控制，配置的不好甚至有可能成為流量的瓶頸。 二：iptables 的歷史以及工作原理1.iptables的發(fā)展: iptables的前身叫ipfirewall （內(nèi)核1.x時(shí)代）,這是一個(gè)作者從freeBSD上移植過(guò)來(lái)的，能夠工作在內(nèi)核當(dāng)中的，對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)的一款簡(jiǎn)易訪(fǎng)問(wèn)

25、控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規(guī)則都放進(jìn)內(nèi)核當(dāng)中，這樣規(guī)則才能夠運(yùn)行起來(lái)，而放進(jìn)內(nèi)核，這個(gè)做法一般是極其困難的)。當(dāng)內(nèi)核發(fā)展到2.x系列的時(shí)候，軟件更名為ipchains，它可以定義多條規(guī)則，將他們串起來(lái)，共同發(fā)揮作用，而現(xiàn)在，它叫做iptables，可以將規(guī)則組成一個(gè)列表，實(shí)現(xiàn)絕對(duì)詳細(xì)的訪(fǎng)問(wèn)控制功能。 他們都是工作在用戶(hù)空間中，定義規(guī)則的工具，本身并不算是防火墻。它們定義的規(guī)則，可以讓在內(nèi)核空間當(dāng)中的netfilter來(lái)讀取，并且實(shí)現(xiàn)讓防火墻工作。而放入內(nèi)核的地方必須要是特定的位置，必須是tcp/ip的協(xié)議棧經(jīng)過(guò)的地方。而這個(gè)tcp/ip協(xié)議棧必須經(jīng)過(guò)的地

26、方，可以實(shí)現(xiàn)讀取規(guī)則的地方就叫做 netfilter.(網(wǎng)絡(luò)過(guò)濾器) 作者一共在內(nèi)核空間中選擇了5個(gè)位置， 1.內(nèi)核空間中：從一個(gè)網(wǎng)絡(luò)接口進(jìn)來(lái)，到另一個(gè)網(wǎng)絡(luò)接口去的 2.數(shù)據(jù)包從內(nèi)核流入用戶(hù)空間的 3.數(shù)據(jù)包從用戶(hù)空間流出的 4.進(jìn)入/離開(kāi)本機(jī)的外網(wǎng)接口 5.進(jìn)入/離開(kāi)本機(jī)的內(nèi)網(wǎng)接口 2.iptables的工作機(jī)制 從上面的發(fā)展我們知道了作者選擇了5個(gè)位置，來(lái)作為控制的地方，但是你有沒(méi)有發(fā)現(xiàn)，其實(shí)前三個(gè)位置已經(jīng)基本上能將路徑徹底封鎖了，但是為什么已經(jīng)在進(jìn)出的口設(shè)置了關(guān)卡之后還要在內(nèi)部卡呢？ 由于數(shù)據(jù)包尚未進(jìn)行路由決策，還不知道數(shù)據(jù)要走向哪里，所以在進(jìn)出口是沒(méi)辦法實(shí)現(xiàn)數(shù)據(jù)過(guò)濾的。所以要在內(nèi)核空間

27、里設(shè)置轉(zhuǎn)發(fā)的關(guān)卡，進(jìn)入用戶(hù)空間的關(guān)卡，從用戶(hù)空間出去的關(guān)卡。那么，既然他們沒(méi)什么用，那我們?yōu)槭裁催€要放置他們呢？因?yàn)槲覀冊(cè)谧鯪AT和DNAT的時(shí)候，目標(biāo)地址轉(zhuǎn)換必須在路由之前轉(zhuǎn)換。所以我們必須在外網(wǎng)而后內(nèi)網(wǎng)的接口處進(jìn)行設(shè)置關(guān)卡。 這五個(gè)位置也被稱(chēng)為五個(gè)鉤子函數(shù)（hook functions）,也叫五個(gè)規(guī)則鏈。 1.PREROUTING (路由前) 2.INPUT (數(shù)據(jù)包流入口) 3.FORWARD (轉(zhuǎn)發(fā)管卡) 4.OUTPUT(數(shù)據(jù)包出口) 5.POSTROUTING（路由后） 這是NetFilter規(guī)定的五個(gè)規(guī)則鏈，任何一個(gè)數(shù)據(jù)包，只要經(jīng)過(guò)本機(jī)，必將經(jīng)過(guò)這五個(gè)鏈中的其中一個(gè)鏈。 3.防火

28、墻的策略 防火墻策略一般分為兩種，一種叫“通”策略，一種叫“堵”策略，通策略，默認(rèn)門(mén)是關(guān)著的，必須要定義誰(shuí)能進(jìn)。堵策略則是，大門(mén)是洞開(kāi)的，但是你必須有身份認(rèn)證，否則不能進(jìn)。所以我們要定義，讓進(jìn)來(lái)的進(jìn)來(lái)，讓出去的出去，所以通，是要全通，而堵，則是要選擇。當(dāng)我們定義的策略的時(shí)候，要分別定義多條功能，其中：定義數(shù)據(jù)包中允許或者不允許的策略，filter過(guò)濾的功能，而定義地址轉(zhuǎn)換的功能的則是nat選項(xiàng)。為了讓這些功能交替工作，我們制定出了“表”這個(gè)定義，來(lái)定義、區(qū)分各種不同的工作功能和處理方式。 我們現(xiàn)在用的比較多個(gè)功能有3個(gè)： 1.filter 定義允許或者不允許的 2.nat 定義地址轉(zhuǎn)換的 3.

29、mangle功能:修改報(bào)文原數(shù)據(jù) 我們修改報(bào)文原數(shù)據(jù)就是來(lái)修改TTL的。能夠?qū)崿F(xiàn)將數(shù)據(jù)包的元數(shù)據(jù)拆開(kāi)，在里面做標(biāo)記/修改內(nèi)容的。而防火墻標(biāo)記，其實(shí)就是靠mangle來(lái)實(shí)現(xiàn)的。 小擴(kuò)展: 對(duì)于filter來(lái)講一般只能做在3個(gè)鏈上：INPUT ，F(xiàn)ORWARD ，OUTPUT 對(duì)于nat來(lái)講一般也只能做在3個(gè)鏈上：PREROUTING ，OUTPUT ，POSTROUTING 而mangle則是5個(gè)鏈都可以做：PREROUTING，INPUT，F(xiàn)ORWARD，OUTPUT，POSTROUTING iptables/netfilter（這款軟件）是工作在用戶(hù)空間的，它可以讓規(guī)則進(jìn)行生效的，本身不是一

30、種服務(wù)，而且規(guī)則是立即生效的。而我們iptables現(xiàn)在被做成了一個(gè)服務(wù)，可以進(jìn)行啟動(dòng)，停止的。啟動(dòng)，則將規(guī)則直接生效，停止，則將規(guī)則撤銷(xiāo)。 iptables還支持自己定義鏈。但是自己定義的鏈，必須是跟某種特定的鏈關(guān)聯(lián)起來(lái)的。在一個(gè)關(guān)卡設(shè)定，指定當(dāng)有數(shù)據(jù)的時(shí)候?qū)ｉT(mén)去找某個(gè)特定的鏈來(lái)處理，當(dāng)那個(gè)鏈處理完之后，再返回。接著在特定的鏈中繼續(xù)檢查。注意：規(guī)則的次序非常關(guān)鍵，誰(shuí)的規(guī)則越嚴(yán)格，應(yīng)該放的越靠前，而檢查規(guī)則的時(shí)候，是按照從上往下的方式進(jìn)行檢查的。 三規(guī)則的寫(xiě)法: iptables定義規(guī)則的方式比較復(fù)雜: 格式：iptables -t table COMMAND chain CRETIRIA -

31、j ACTION -t table ：3個(gè)filter nat mangle COMMAND：定義如何對(duì)規(guī)則進(jìn)行管理 chain：指定你接下來(lái)的規(guī)則到底是在哪個(gè)鏈上操作的，當(dāng)定義策略的時(shí)候，是可以省略的 CRETIRIA:指定匹配標(biāo)準(zhǔn) -j ACTION :指定如何進(jìn)行處理 比如：不允許/24的進(jìn)行訪(fǎng)問(wèn)。 iptables -t filter -A INPUT -s /16 -p udp -dport 53 -j DROP 當(dāng)然你如果想拒絕的更徹底： iptables -t filter -R INPUT 1 -s /16 -p ud

32、p -dport 53 -j REJECT iptables -L -n -v #查看定義規(guī)則的詳細(xì)信息 四：詳解COMMAND:1.鏈管理命令（這都是立即生效的） -P :設(shè)置默認(rèn)策略的（設(shè)定默認(rèn)門(mén)是關(guān)著的還是開(kāi)著的） 默認(rèn)策略一般只有兩種 iptables -P INPUT (DROP|ACCEPT) 默認(rèn)是關(guān)的/默認(rèn)是開(kāi)的 比如： iptables -P INPUT DROP 這就把默認(rèn)規(guī)則給拒絕了。并且沒(méi)有定義哪個(gè)動(dòng)作，所以關(guān)于外界連接的所有規(guī)則包括Xshell連接之類(lèi)的，遠(yuǎn)程連接都被拒絕了。 -F: FLASH，清空規(guī)則鏈的(注意每個(gè)鏈的管理權(quán)限) iptables -t nat -

33、F PREROUTING iptables -t nat -F 清空nat表的所有鏈 -N:NEW 支持用戶(hù)新建一個(gè)鏈 iptables -N inbound_tcp_web 表示附在tcp表上用于檢查web的。 -X: 用于刪除用戶(hù)自定義的空鏈 使用方法跟-N相同，但是在刪除之前必須要將里面的鏈給清空昂了 -E：用來(lái)Rename chain主要是用來(lái)給用戶(hù)自定義的鏈重命名 -E oldname newname -Z：清空鏈，及鏈中默認(rèn)規(guī)則的計(jì)數(shù)器的（有兩個(gè)計(jì)數(shù)器，被匹配到多少個(gè)數(shù)據(jù)包，多少個(gè)字節(jié)） iptables -Z :清空 2.規(guī)則管理命令 -A：追加，在當(dāng)前鏈的最后新增一個(gè)規(guī)則 -I

34、 num : 插入，把當(dāng)前規(guī)則插入為第幾條。 -I 3 :插入為第三條 -R num：Replays替換/修改第幾條規(guī)則 格式：iptables -R 3 -D num：刪除，明確指定刪除第幾條規(guī)則 3.查看管理命令 “-L” 附加子命令 -n：以數(shù)字的方式顯示ip，它會(huì)將ip直接顯示出來(lái)，如果不加-n，則會(huì)將ip反向解析成主機(jī)名。 -v：顯示詳細(xì)信息 -vv -vvv :越多越詳細(xì) -x：在計(jì)數(shù)器上顯示精確值，不做單位換算 -line-numbers : 顯示規(guī)則的行號(hào) -t nat：顯示所有的關(guān)卡的信息 五：詳解匹配標(biāo)準(zhǔn)1.通用匹配：源地址目標(biāo)地址的匹配 -s：指定作為源地址匹配，這里不能

35、指定主機(jī)名稱(chēng)，必須是IP IP | IP/MASK | / 而且地址可以取反，加一個(gè)“!”表示除了哪個(gè)IP之外 -d：表示匹配目標(biāo)地址 -p：用于匹配協(xié)議的（這里的協(xié)議通常有3種，TCP/UDP/ICMP） -i eth0：從這塊網(wǎng)卡流入的數(shù)據(jù) 流入一般用在INPUT和PREROUTING上 -o eth0：從這塊網(wǎng)卡流出的數(shù)據(jù) 流出一般在OUTPUT和POSTROUTING上 2.擴(kuò)展匹配2.1隱含擴(kuò)展：對(duì)協(xié)議的擴(kuò)展 -p tcp :TCP協(xié)議的擴(kuò)展。一般有三種擴(kuò)展 -dport XX-XX：指定目標(biāo)端口,不能指定多個(gè)非連續(xù)端口,只能指定單個(gè)端口，比如 -dpor

36、t 21 或者 -dport 21-23 (此時(shí)表示21,22,23) -sport：指定源端口 -tcp-fiags：TCP的標(biāo)志位（SYN,ACK，F(xiàn)IN,PSH，RST,URG） 對(duì)于它，一般要跟兩個(gè)參數(shù)： 1.檢查的標(biāo)志位 2.必須為1的標(biāo)志位 -tcpflags syn,ack,fin,rst syn = -syn 表示檢查這4個(gè)位，這4個(gè)位中syn必須為1，其他的必須為0。所以這個(gè)意思就是用于檢測(cè)三次握手的第一次包的。對(duì)于這種專(zhuān)門(mén)匹配第一包的SYN為1的包，還有一種簡(jiǎn)寫(xiě)方式，叫做-syn -p udp：UDP協(xié)議的擴(kuò)展 -dport -sport -p icmp：icmp數(shù)據(jù)報(bào)文的

37、擴(kuò)展 -icmp-type： echo-request(請(qǐng)求回顯)，一般用8 來(lái)表示 所以 -icmp-type 8 匹配請(qǐng)求回顯數(shù)據(jù)包 echo-reply （響應(yīng)的數(shù)據(jù)包）一般用0來(lái)表示 2.2顯式擴(kuò)展（-m） 擴(kuò)展各種模塊 -m multiport：表示啟用多端口擴(kuò)展 之后我們就可以啟用比如 -dports 21,23,80 六：詳解-j ACTION 常用的ACTION： DROP：悄悄丟棄 一般我們多用DROP來(lái)隱藏我們的身份，以及隱藏我們的鏈表 REJECT：明示拒絕 ACCEPT：接受 custom_chain：轉(zhuǎn)向一個(gè)自定義的鏈 DNAT SNAT MASQUERADE：源地址

38、偽裝 REDIRECT：重定向：主要用于實(shí)現(xiàn)端口重定向 MARK：打防火墻標(biāo)記的 RETURN：返回 在自定義鏈執(zhí)行完畢后使用返回，來(lái)返回原規(guī)則鏈。 練習(xí)題1： 只要是來(lái)自于/16網(wǎng)段的都允許訪(fǎng)問(wèn)我本機(jī)的的SSHD服務(wù) 分析：首先肯定是在允許表中定義的。因?yàn)椴恍枰鯪AT地址轉(zhuǎn)換之類(lèi)的，然后查看我們SSHD服務(wù)，在22號(hào)端口上，處理機(jī)制是接受，對(duì)于這個(gè)表，需要有一來(lái)一回兩個(gè)規(guī)則，如果我們?cè)试S也好，拒絕也好，對(duì)于訪(fǎng)問(wèn)本機(jī)服務(wù)，我們最好是定義在INPUT鏈上，而OUTPUT再予以定義就好。(會(huì)話(huà)的初始端先定義)，所以加規(guī)則就是： 定義進(jìn)來(lái)的： iptab

39、les -t filter -A INPUT -s /16 -d -p tcp -dport 22 -j ACCEPT 定義出去的： iptables -t filter -A OUTPUT -s -d /16 -p tcp -dport 22 -j ACCEPT 將默認(rèn)策略改成DROP: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP 七：狀態(tài)檢測(cè)： 是一種顯式擴(kuò)展，用于檢測(cè)會(huì)話(huà)之間的連接關(guān)系的，有了檢測(cè)我

40、們可以實(shí)現(xiàn)會(huì)話(huà)間功能的擴(kuò)展 什么是狀態(tài)檢測(cè)？對(duì)于整個(gè)TCP協(xié)議來(lái)講，它是一個(gè)有連接的協(xié)議，三次握手中，第一次握手，我們就叫NEW連接，而從第二次握手以后的，ack都為1，這是正常的數(shù)據(jù)傳輸，和tcp的第二次第三次握手，叫做已建立的連接（ESTABLISHED）,還有一種狀態(tài)，比較詭異的，比如：SYN=1 ACK=1 RST=1,對(duì)于這種我們無(wú)法識(shí)別的，我們都稱(chēng)之為INVALID無(wú)法識(shí)別的。還有第四種，F(xiàn)TP這種古老的擁有的特征，每個(gè)端口都是獨(dú)立的，21號(hào)和20號(hào)端口都是一去一回，他們之間是有關(guān)系的，這種關(guān)系我們稱(chēng)之為RELATED。 所以我們的狀態(tài)一共有四種： NEW ESTABLISHED

41、RELATED INVALID 所以我們對(duì)于剛才的練習(xí)題，可以增加狀態(tài)檢測(cè)。比如進(jìn)來(lái)的只允許狀態(tài)為NEW和ESTABLISHED的進(jìn)來(lái)，出去只允許ESTABLISHED的狀態(tài)出去，這就可以將比較常見(jiàn)的反彈式木馬有很好的控制機(jī)制。 對(duì)于練習(xí)題的擴(kuò)展： 進(jìn)來(lái)的拒絕出去的允許，進(jìn)來(lái)的只允許ESTABLISHED進(jìn)來(lái)，出去只允許ESTABLISHED出去。默認(rèn)規(guī)則都使用拒絕 iptables -L -n -line-number ：查看之前的規(guī)則位于第幾行 改寫(xiě)INPUT iptables -R INPUT 2 -s /16 -d -p tcp -dpor

42、t 22 -m state -state NEW,ESTABLISHED -j ACCEPT iptables -R OUTPUT 1 -m state -state ESTABLISHED -j ACCEPT 此時(shí)如果想再放行一個(gè)80端口如何放行呢？ iptables -A INPUT -d -p tcp -dport 80 -m state -state NEW,ESTABLISHED -j ACCEPT iptables -R INPUT 1 -d -p udp -dport 53 -j ACCEPT 練習(xí)題2：假如我們?cè)试S自己ping

43、別人，但是別人ping自己ping不通如何實(shí)現(xiàn)呢？分析：對(duì)于ping這個(gè)協(xié)議，進(jìn)來(lái)的為8（ping），出去的為0(響應(yīng)).我們?yōu)榱诉_(dá)到目的，需要8出去,允許0進(jìn)來(lái) 在出去的端口上：iptables -A OUTPUT -p icmp -icmp-type 8 -j ACCEPT在進(jìn)來(lái)的端口上：iptables -A INPUT -p icmp -icmp-type 0 -j ACCEPT 小擴(kuò)展：對(duì)于比較特殊，我們需要明確定義它 iptables -A INPUT -s -d -j ACCEPT iptables -A OUTPUT -s -d -j ACCEPT 八：SNAT和DNAT的實(shí)現(xiàn) 由于我們現(xiàn)在IP地址十分緊俏，已經(jīng)分配完了，這就導(dǎo)致我們必須要進(jìn)行地址轉(zhuǎn)換，來(lái)節(jié)約我們僅剩的一點(diǎn)IP資源。那么通過(guò)iptables如何實(shí)現(xiàn)NAT的地址轉(zhuǎn)換呢？1.S