iptables配置实例

1iptables配置实例2009-01-0611:53iptables基本命令使用举例一、链的基本操作1、清除所有的规则。1）清除预设表filter中所有规则链中的规则。#iptables-F2）清除预设表filter中使用者自定链中的规则。#iptables-X#iptables-Z2、设置链的默认策略。一般有两种方法。1）首先允许所有的包，然后再禁止有危险的包通过放火墙。#iptables-PINPUTACCEPT#iptables-POUTPUTACCEPT#iptables-PFORWARDACCEPT2）首先禁止所有的包，然后根据需要的服务允许特定的包通过防火墙。#iptables-PINPUTDROP#iptables-POUTPUTDROP#iptables-PFORWARDDROP3、列出表/链中的所有规则。默认只列出filter表。#iptables-L4、向链中添加规则。下面的语句用于开放网络接口：#iptables-AINPUT-ilo-jACCEPT#iptables-AOUTPUT-olo-jACCEPT#iptables-AINPUT-ieth0-jACEPT#iptables-AOUTPUT-oeth1-jACCEPT#iptables-AFORWARD-ieth1-jACCEPT#iptables-AFORWARD-0eth1-jACCEPT注意:由于本地进程不会经过FORWARD链，因此回环接口lo只在INPUT和OUTPUT两个链上作用。5、使用者自定义链。#iptables-Ncustom#iptables-Acustom-s0/0-d0/0-picmp-jDROP#iptables-AINPUT-s0/0-d0/0-jDROP二、设置基本的规则匹配1、指定协议匹配。1）匹配指定协议。#iptables-AINPUT-ptcp2）匹配指定协议之外的所有协议。#iptables-AINPUT-p!tcp2、指定地址匹配。1）指定匹配的主机。#iptables-AINPUT-s192.168.0.182）指定匹配的网络。#iptables-AINPUT-s192.168.2.0/243）匹配指定主机之外的地址。#iptables-AFORWARD-s!192.168.0.194）匹配指定网络之外的网络。#iptables-AFORWARD-s!192.168.3.0/243、指定网络接口匹配。21）指定单一的网络接口匹配。#iptables-AINPUT-ieth0#iptables-AFORWARD-oeth02）指定同类型的网络接口匹配。#iptables-AFORWARD-oppp+4、指定端口匹配。1）指定单一端口匹配。#iptables-AINPUT-ptcp–sport–dport532）匹配指定端口之外的端口。#iptables-AINPUT-ptcp–dport!223）匹配端口范围。#iptables-AINPUT-ptcp–sport22:804）匹配ICMP端口和ICMP类型。#iptables-AINOUT-picmp–icimp-type85）指定ip碎片。每个网络接口都有一个MTU（最大传输单元），这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数值时，系统会将其划分成更小的数据包（称为ip碎片）来传输，而接受方则对这些ip碎片再进行重组以还原整个包。这样会导致一个问题：当系统将大数据包划分成ip碎片传输时，第一个碎片含有完整的包头信息（IP+TCP、UDP和ICMP），但是后续的碎片只有包头的部分信息（如源地址、目的地址）。因此，检查后面的ip碎片的头部（象有TCP、UDP和ICMP一样）是不可能的。假如有这样的一条规则：#iptables-AFORWARD-ptcp-s192.168.1.0/24-d192.168.2.100–dport80-jACCEPT并且这时的FORWARD的policy为DROP时，系统只会让第一个ip碎片通过，而余下的碎片因为包头信息不完整而无法通过。可以通过—fragment/-f选项来指定第二个及以后的ip碎片解决上述问题。#iptables-AFORWARD-f-s192.168.1.0/24-d192.168.2.100-jACCEPT注意现在有许多进行ip碎片攻击的实例，如DoS攻击，因此允许ip碎片通过是有安全隐患的，对于这一点可以采用iptables的匹配扩展来进行限制。三、设置扩展的规则匹配（举例已忽略目标动作）1、多端口匹配。1）匹配多个源端口。#iptables-AINPUT-ptcp-mmultiport–sport22,53,80,1102）匹配多个目的端口。#iptables-AINPUT-ptcp-mmultiport–dpoort22,53,803）匹配多端口(无论是源端口还是目的端口）#iptables-AINPUT-ptcp-mmultiport–port22,53,80,1102、指定TCP匹配扩展使用–tcp-flags选项可以根据tcp包的标志位进行过滤。#iptables-AINPUT-ptcp–tcp-flagsSYN,FIN,ACKSYN#iptables-AFROWARD-ptcp–tcp-flagsALLSYN,ACK上实例中第一个表示SYN、ACK、FIN的标志都检查，但是只有SYN匹配。3第二个表示ALL（SYN，ACK，FIN，RST，URG，PSH）的标志都检查，但是只有设置了SYN和ACK的匹配。#iptables-AFORWARD-ptcp–syn选项—syn相当于”–tcp-flagsSYN,RST,ACKSYN”的简写。3、limit速率匹配扩展。1）指定单位时间内允许通过的数据包个数，单位时间可以是/second、/minute、/hour、/day或使用第一个子母。#iptables-AINPUT-mlimit–limit300/hour2)指定触发事件的阀值。#iptables-AINPUT-mlimit–limit-burst10用来比对一次同时涌入的封包是否超过10个，超过此上限的包将直接丢弃。3）同时指定速率限制和触发阀值。#iptables-AINPUT-picmp-mlimit–-limit3/m–limit-burst3表示每分钟允许的最大包数量为限制速率（本例为3）加上当前的触发阀值burst数。任何情况下，都可保证3个数据包通过，触发阀值burst相当于允许额外的包数量。4）基于状态的匹配扩展（连接跟踪）每个网络连接包括以下信息：源地址、目标地址、源端口、目的端口，称为套接字对（socketpairs）；协议类型、连接状态（TCP协议）和超时时间等。防火墙把这些信息称为状态（stateful）。状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单包过滤防火墙具有更大的安全性，命令格式如下：iptables-mstate–-state[!]state[,state,state,state]其中，state表是一个逗号分割的列表，用来指定连接状态，4种：NEW:该包想要开始一个新的连接（重新连接或连接重定向）RELATED:该包是属于某个已经建立的连接所建立的新连接。举例：FTP的数据传输连接和控制连接之间就是RELATED关系。ESTABLISHED：该包属于某个已经建立的连接。INVALID:该包不匹配于任何连接，通常这些包被DROP。例如：（1）在INPUT链添加一条规则，匹配已经建立的连接或由已经建立的连接所建立的新连接。即匹配所有的TCP回应包。#iptables-AINPUT-mstate–stateRELATED,ESTABLISHED（2）在INPUT链链添加一条规则，匹配所有从非eth0接口来的连接请求包。#iptables-AINPUT-mstate-–stateNEW-i!eth0又如，对于ftp连接可以使用下面的连接跟踪：（1）被动（Passive）ftp连接模式。#iptables-AINPUT-ptcp–sport1024:4–dport1024:-mstate–-stateESTABLISHED-jACCEPT#iptables-AOUTPUT-ptcp–sport1024:–dport1024:-mstate-–stateESTABLISHED,RELATED-jACCEPT（2）主动（Active）ftp连接模式#iptables-AINNPUT-ptcp–sport20-mstate–-stateESTABLISHED,RELATED-jACCEPT#iptables-AOUTPUT-ptcp–OUTPUT-ptcp–dport20-mstate–stateESTABLISHED-jACCEPT5）TOS匹配扩展。四、设置目标扩展目标扩展由内核模块组成，而且iptables的一个可选扩展提供了新的命令行选项Iptables配置实例:Iptables配置的目的，一个是防止公网的入侵，一个是让内网的兄弟们上网。在没配IPTABLES之前，只有本机能上网。Rh8.0的“系统设置”中有个“安全级别”，它主要是针对本机来说的，不能用它来配置iptables。打开“安全级别”，把它配成“无防火墙”级别。为了配置、测试方便，可以先用“KWrite”编个“脚本”，采用“复制”、“粘贴”方式，把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。打开“其他”—“辅助设施”中的“KWrite”，将下面的样本输入或粘贴到里面（其中，eth0、eth1分别是外、内网卡）：echoEnableIPForwarding...echo1/proc/sys/net/ipv4/ip_forwardechoStartingiptablesrules.../sbin/modprobeiptable_filter/sbin/modprobeip_tables/sbin/modprobeiptable_nat/sbin/modprobeip_nat_ftp;支持被动FTP/sbin/modprobeip_conntrack_ftp;/sbin/modprobeip_conntrack_h323;支持NETMEETING/sbin/modprobeip_nat_h323;iptables-FINPUTiptables-FFORWARDiptables-FOUTPUTiptables-FPOSTROUTING-tnatiptables-FPREROUTING-tnatiptables-PINPUTDROPiptables-PFORWARDDROPiptables-POUTPUTACCEPTiptables-AINPUT-ilo-jACCEPT5iptables-AINPUT-ieth1-jACCEPTiptables-AINPUT-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AFORWARD-s192.168.0.0/24-jACCEPTiptables-AFORWARD-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-tnat-APOSTROUTING-oeth0-s192.168.0.0/24-jMASQUERADE/etc/rc.d/init.d/iptablesrestartiptables-L再另存为一个文件放到桌面上，便于使用。在这个配置里面，INPUT和转发FORWARD功能的缺省值都是拒绝（DROP），这意味着在后面的INPUT和FORWARD语句中没有表明通过（ACCEPT）的都将被拒之门外。这是一个最好的安全模式，经过使用赛门铁克的在线测试，所有公网端口都是隐藏的。注意，所有内网端口都是打开的，本机对内没有安全可言