Iptables防火墻配置詳解
iptables防火墻配置詳解
iptables簡介
iptables是基于內(nèi)核的防火墻,功能非常強大,iptables內(nèi)置了filter,nat和mangle三張表。
filter負責過濾數(shù)據(jù)包,包括的規(guī)則鏈有,input,output和forward;
nat則涉及到網(wǎng)絡地址轉(zhuǎn)換,包括的規(guī)則鏈有,prerouting,postrouting和output;
mangle表則主要應用在修改數(shù)據(jù)包內(nèi)容上,用來做流量整形的,默認的規(guī)則鏈有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING;
input匹配目的IP是本機的數(shù)據(jù)包,forward匹配流經(jīng)本機的數(shù)據(jù)包,prerouting用來修改目的地址用來做DNAT,postrouting用來修改源地址用來做SNAT。
iptables主要參數(shù)
-A 向規(guī)則鏈中添加一條規(guī)則,默認被添加到末尾
-T指定要操作的表,默認是filter
-D從規(guī)則鏈中刪除規(guī)則,可以指定序號或者匹配的規(guī)則來刪除
-R進行規(guī)則替換
-I插入一條規(guī)則,默認被插入到首部
-F清空所選的鏈,重啟后恢復
-N新建用戶自定義的規(guī)則鏈
-X刪除用戶自定義的規(guī)則鏈
-p用來指定協(xié)議可以是tcp,udp,icmp等也可以是數(shù)字的協(xié)議號,
-s指定源地址
-d指定目的地址
-i進入接口
-o流出接口
-j采取的動作,accept,drop,snat,dnat,masquerade
--sport源端口
--dport目的端口,端口必須和協(xié)議一起來配合使用
注意:所有鏈名必須大寫,表明必須小寫,動作必須大寫,匹配必須小寫。
#p#
iptable配置實例
iptable基本操作
iptables -L 列出iptables規(guī)則
iptables -F 清除iptables內(nèi)置規(guī)則
iptables -X 清除iptables自定義規(guī)則
設定默認規(guī)則
在iptables規(guī)則中沒有匹配到規(guī)則則使用默認規(guī)則進行處理
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
配置SSH規(guī)則
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 如果你把OUTPUT 設置成DROP,就需要加上這個規(guī)則,否則SSH還是不能登錄,因為SSH服務職能進不能出。
只允許192.168.0.3的機器進行SSH連接
iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
允許loopback回環(huán)通信
- IPTABLES -A INPUT -i lo -p all -j ACCEPT
- IPTABLES -A OUTPUT -o lo -p all -j ACCEPT
目的地址轉(zhuǎn)換,映射內(nèi)部地址
- iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to 192.168.0.2:80
- iptables -t nat -A PREROUTING -i ppp0 -p tcp --dprot 81 -j DNAT --to 192.168.0.1-192.168.0.10
源地址轉(zhuǎn)換,隱藏內(nèi)部地址
- iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
- iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
地址偽裝,動態(tài)ip的NAT
- iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
masquerade和snat的主要區(qū)別在于,snat是把源地址轉(zhuǎn)換為固定的IP地址或者是地址池,而masquerade在adsl等方式撥號上網(wǎng)時候非常有用,因為是撥號上網(wǎng)所以網(wǎng)卡的外網(wǎng)IP經(jīng)常變化,這樣在進行地址轉(zhuǎn)換的時候就要在每次都要修改轉(zhuǎn)換策略里面的ip,使用masquerade就很好的解決了這個問題,他會自己去探測外網(wǎng)卡獲得的ip地址然后自動進行地址轉(zhuǎn)換,這樣就算外網(wǎng)獲得的ip經(jīng)常變化也不用人工干預了。
開啟轉(zhuǎn)發(fā)功能
- iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 只允許已建連接及相關鏈接對內(nèi)轉(zhuǎn)發(fā)
- ptables -A FORWARD -i eth1 -o eh0 -j ACCEPT 允許對外轉(zhuǎn)發(fā)
過濾某個MAC
- iptables -A FORWARD -m mac --mac -source MAC地址 -j DROP
報文經(jīng)過路由后,數(shù)據(jù)包中原有的MAC信息會被替換,所以在路由后的iptables中使用mac匹配沒有意義。
數(shù)據(jù)包整流
- iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
- iptables -A FORWARD -d 192.168.0.1 -j DROP
多端口匹配
用以一次匹配多個端口
- iptables -A INPUT -p tcp -m muliport --dport s 21,22,25,80,110 -j ACCEPT
丟棄非法連接
- iptables -A INPUT -m state --state INVALID -j DROP
- iptables -A OUTPUT -m state --state INVALID -j DROP
- iptables-A FORWARD -m state --state INVALID -j DROP
存儲于恢復iptables規(guī)則
- iptables-save > somefile
- iptables-restore < somefile
【編輯推薦】
