iptables靜態(tài)防火墻教程

1、iptables 中的指令，均需區(qū)分大小寫。 ipchains 和 iptables 在語法上的主要的差異，注意如下 1. 在 ipchains 中，諸如 input 鏈，是使用小寫的 chains 名，在 iptables 中，要改用大寫 INPUT。 2. 在 iptables 中，要指定規(guī)則是欲作用在那一個規(guī)則表上(使用 -t 來指定，如 -t nat)，若不指定，則預設是作用在 filter 這個表。 3. 在 ipchains 中， -i 是指介面(interface)，但在 iptables 中，-i 則是指進入的方向，且多了 -o，代表出去的方向。 4. 在 iptables 中

2、，來源 port 要使用關鍵字 -sport 或 -source-port 5. 在 iptables 中，目的 port 要使用關鍵字 -dport 或 -destination-port 6. 在 iptables 中，"丟棄" 的處置動作，不再使用 DENY 這個 target，改用 DROP。 7. 在 ipchains 的記錄檔功能 -l，已改為目標 -j LOG，并可指定記錄檔的標題。 8. 在 ipchains 中的旗標 -y，在 iptables 中可用 -syn 或 -tcp-flag SYN,ACK,FIN SYN 9. 在 iptables 中，imc

3、p messages 型態(tài)，要加上關鍵字 -icmp-type，如 iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP -icmp-type 8 -d any/0 -j ACCEPT iptables 使用時的樣板 在設定 iptables 的封包過濾規(guī)則時，有幾個樣板的動作，若先熟牽缶涂勺孕刑子茫來死嗤疲蕓斕兀涂梢越胝飧鎏斕刂小?/P> 觀察目前的設定 作法如下 iptables -L -n iptablse -t nat -L -n 定義變數(shù) FW_IP="" 打開核心 forward 功能 作法如下

4、#-# # 打開 forward 功能 #-# echo "1" > /proc/sys/net/ipv4/ip_forward 清除所有的規(guī)則 一開始要先清除所有的規(guī)則，重新開始，以免舊有的規(guī)則影響新的設定。作法如下 #-# # 清除先前的設定 #-# # 清除預設表 filter 中，所有規(guī)則鏈中的規(guī)則 iptables -F # 清除預設表 filter 中，使用者自訂鏈中的規(guī)則 iptables -X # 清除mangle表中，所有規(guī)則鏈中的規(guī)則 iptables -F -t mangle # 清除mangle表中，使用者自訂鏈中的規(guī)則 iptables -t

5、 mangle -X # 清除nat表中，所有規(guī)則鏈中的規(guī)則 iptables -F -t nat # 清除nat表中，使用者自訂鏈中的規(guī)則 iptables -t nat -X 選定預設的政策 接著，要選定各個不同的規(guī)則鏈，預設的政策為何。作法如下 預設全部丟棄 #-# # 設定 filter table 的預設政策 #-# iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP 或者預設全部接受 #-# # 設定 filter table 的預設政策 #-# iptables -P INPUT ACCE

6、PT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 各個規(guī)則鏈的預設政策可獨立自主的設定，不必受其它鏈的影響。 以下練習，若目標為 DROP，則 policy 請設為 ACCEPT；若目標為 ACCEPT，則 policy 請設為 DROP，如此方可看出效果。 開放某一個介面 作法如下 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT 注IPFW 或 Netfilter 的封包流向，local process 不會經(jīng)過 FORWARD Chain，

7、 因此 lo 只在 INPUT 及 OUTPUT 二個 chain 作用。 iptables -A INPUT -i eth1 -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT IP 偽裝 使內部網(wǎng)路的封包經(jīng)過偽裝之后，使用對外的 eth0 網(wǎng)卡當作代表號，對外連線。作法如下 #-# # 啟動內部對外轉址 #-# iptables -t nat -A POSTROUTING -o eth0 -s 17

8、/16 -j SNAT -to-source $FW_IP 上述指令意指把 /16 這個網(wǎng)段，偽裝成 $FW_IP 出去。 虛擬主機 利用轉址、轉 port 的方式，使外部網(wǎng)路的封包，可以到達內部網(wǎng)路中的伺服主機，俗稱虛擬主機。這種方式可保護伺服主機大部份的 port 不被外界存取，只開放公開服務的通道(如 Web Server port 80)，因此安全性甚高。 作法如下 #-# # 啟動外部對內部轉址 #-# # 凡對 $FW_IP:80 連線者, 則轉址至 :80 iptables -t nat -A PREROUTING -i

9、 eth0 -p tcp -d $FW_IP -dport 80 -j DNAT -to-destination :80 開放內部主機可以 telnet 至外部的主機 開放內部網(wǎng)路，可以 telnet 至外部主機。 作法如下(預設 policy 為 DROP) #-# # open 外部主機 telnet port 23 #-# iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP -sport 1024:65535 -d any/0 -dport 23 -j ACCEPT iptables -A INPUT -i eth0 -p tc

10、p ! -syn -s any/0 -sport 23 -d $FW_IP -dport 1024:65535 -j ACCEPT 開放郵包轉遞通道 開放任意的郵件主機送信包給你的 Mail Server，而你的 Mail Server 也可以送信包過去。 作法如下(預設 policy 為 DROP) #-# # open SMTP port 25 #-# # 以下是別人可以送信給你 iptables -A INPUT -i eth0 -p tcp -s any/0 -sport 1024:65535 -d $FW_IP -dport 25 -j ACCEPT iptables -A OUTP

11、UT -o eth0 -p tcp ! -syn -s $FW_IP -sport 25 -d any/0 -dport 1024:65535 -j ACCEPT # 以下是你可以送信給別人 iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP -sport 1024:65535 -d any/0 -dport 25 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -syn -s any/0 -sport 25 -d $FW_IP -dport 1024:65525 -j ACCEPT 開放對外離線下載信件的通道 開放

12、內部網(wǎng)路可以對外部網(wǎng)路的 POP3 server 取信件。 作法如下(預設 policy 為 DROP) #-# # open 對外部主機的 POP3 port 110 #-# iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP -sport 1024:65535 -d any/0 -dport 110 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -syn -s any/0 -sport 110 -d $FW_IP -dport 1024:65535 -j ACCEPT 開放觀看網(wǎng)頁的通道 開放內部網(wǎng)路可以觀看外

13、部網(wǎng)路的網(wǎng)站。 作法如下(預設 policy 為 DROP) #-# # open 對外部主機的 HTTP port 80 #-# iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP -sport 1024:65535 -d any/0 -dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -syn -s any/0 -sport 80 -d $FW_IP -dport 1024:65535 -j ACCEPT 開放查詢外部網(wǎng)路的 DNS 主機 開放內部網(wǎng)路，可以查詢外部網(wǎng)路任何一臺 DNS 主機。 作

14、法如下(預設 policy 為 DROP) #-# # open DNS port 53 #-# # 第一次會用 udp 封包來查詢 iptables -A OUTPUT -o eth0 -p udp -s $FW_IP -sport 1024:65535 -d any/0 -dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p udp -s any/0 -sport 53 -d $FW_IP -dport 1024:65535 -j ACCEPT # 若有錯誤，會改用 tcp 封包來查詢 iptables -A OUTPUT -o eth0 -p t

15、cp -s $FW_IP -sport 1024:65535 -d any/0 -dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -syn -s any/0 -sport 53 -d $FW_IP -dport 1024:65535 -j ACCEPT # 開放這臺主機上的 DNS 和外部的 DNS 主機互動查詢使用 udp iptables -A OUTPUT -o eth0 -p udp -s $FW_IP -sport 53 -d any/0 -dport 53 -j ACCEPT iptables -A INPUT -i et

16、h0 -p udp -s any/0 -sport 53 -d $FW_IP -dport 53 -j ACCEPT # 開放這臺主機上的 DNS 和外部的 DNS 主機互動查詢使用 tcp iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP -sport 53 -d any/0 -dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 -sport 53 -d $FW_IP -dport 53 -j ACCEPT 開放內部主機可以 ssh 至外部的主機 開放內部網(wǎng)路，可以 ssh

17、至外部主機。 作法如下(預設 policy 為 DROP) #-# # open 外部主機 ssh port 22 #-# iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP -sport 1024:65535 -d any/0 -dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -syn -s any/0 -sport 22 -d $FW_IP -dport 1024:65535 -j ACCEPT # 以下是 ssh protocol 比較不同的地方 iptables -A OUTPUT -o e

18、th0 -p tcp -s $FW_IP -sport 1020:1023 -d any/0 -dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -syn -s any/0 -sport 22 -d $FW_IP -dport 1020:1023 -j ACCEPT 開放內部主機可以 ftp 至外部的主機 開放內部網(wǎng)路，可以 ftp 至外部主機。 作法如下(預設 policy 為 DROP) #-# # open 對外部主機 ftp port 21 #-# # 以下是打開命令 channel 21 iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP -sport 1024:65535 -d any/0 -dport 21 -j ACCEPT iptables -A INPUT -i eth0 -p tcp ! -syn -s any/0 -sport 21 -d $FW_IP -dport 1024:65535 -j ACCEPT # 以下是打開資料 channel 20 i