Linux下iptables防火牆設定詳解

目錄

1. iptables命令及引數介紹
2. 設定Filter表防火牆
3. 設定NAT表防火牆

1. iptables命令及引數介紹

iptables常用命令：

• iptables -A 將一個規則新增到鏈末尾
• iptables -D 將指定的鏈中刪除規則
• iptables -F 將指定的鏈中刪除所有規則
• iptables -I 將在指定鏈的指定編號位置插入一個規則
• iptables -L 列出指定鏈中所有規則
• iptables -t nat -L 列出所有NAT鏈中所有規則
• iptables -N 建立使用者定義鏈
• iptables -X 刪除使用者定義鏈
• iptables -P 修改鏈的預設設定，如將iptables -P INPUT DROP (將INPUT鏈設定為DROP)

常見設定引數介紹：

• --dport 指定目標TCP/IP埠 如 –dport 80
• --sport 指定源TCP/IP埠 如 –sport 80
• -p tcp 指定協定為tcp
• -p icmp 指定協定為ICMP
• -p udp 指定協定為UDP
• -j DROP 拒絕
• -j ACCEPT 允許
• -j REJECT 拒絕並向發出訊息的計算機發一個訊息
• -j LOG 在/var/log/messages中登記分組匹配的記錄
• -m mac –mac 係結MAC地址
• -m limit –limit 1/s 1/m 設定時間策列
• -s 10.10.0.0或10.10.0.0/16 指定源地址或地址段
• -d 10.10.0.0或10.10.0.0/16 指定目標地址或地址段
• -s ! 10.10.0.0 指定源地址以外的

iptables組態檔

組態檔位置： /etc/sysconfig/iptables

iptables服務命令

-- 啟動服務
# /etc/init.d/iptables start 
# service iptables start

-- 停止服務
# /etc/init.d/iptables stop
# service iptables stop

-- 重新啟動服務
# /etc/init.d/iptables restart
# service iptables restart

-- 儲存設定
# /etc/init.d/iptables save
# service iptables save

2. 設定Filter表防火牆

1. 檢視iptables的設定資訊

   # iptables -L -n

2. 清除原有防火牆規則

   • 清除預設表filter中的所有規則鏈的規則

   # iptables -F

   • 清除預設表filter中使用者自定鏈中的規則

   # iptables -X

   • 儲存防火牆設定

   # /etc/init.d/iptables save
   或
   # service iptables save

3. 設定預設規則

   -- 請求接入包丟棄
   [root@home ~]# iptables -p INPUT DROP
   -- 接受響應封包
   [root@home ~]# iptables -p OUTPUT ACCEPT
   -- 轉發封包丟棄 
   [root@home ~]# iptables -p FORWARD DROP

4. 新增防火牆規則

   首先新增INPUT鏈,INPUT鏈的預設規則是DROP,所以我們就寫需要ACCETP(通過)的鏈。

   • 開啟SSH伺服器端口

   [root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   [root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

   註:如果在預設設定把OUTPUT設定成DROP策略的話，就需要設定OUTPUT規則，否則無法進行SSH連線。

   • 開啟Web伺服器端口

   [root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
   [root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

   • 開啟郵件服務的25、110埠

   [root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
   [root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

   • 開啟FTP服務的21埠

   [root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
   [root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

   • 開啟DNS服務的53埠

   [root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

   • 設定icmp服務

   [root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設定成DROP的話)
   [root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT    (INPUT設定成DROP的話)

   • 允許loopback

   不然會導致DNS無法正常關閉等問題

   [root@tp ~]# IPTABLES -A INPUT -i lo -p all -j ACCEPT 
   (如果是INPUT DROP)
   [root@tp ~]# IPTABLES -A OUTPUT -o lo -p all -j ACCEPT
   (如果是OUTPUT DROP)

   • 減少不安全的埠連線

   [root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
   [root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

   說明：有些特洛伊木馬會掃描埠31337到31340(即駭客語言中的 elite 埠)上的服務。既然合法服務都不使用這些非標準埠來通訊,阻塞這些埠能夠有效地減少你的網路上可能被感染的機器和它們的遠端主伺服器進行獨立通訊的機會。此外，其他埠也一樣,像:31335、27444、27665、20034 NetBus、9704、137-139（smb）,2049(NFS)埠也應被禁止。

   • 只允許某台主機或某個網段進行SSH連線

   只允許192.168.0.3的機器進行SSH連線

   [root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

   如果允許或限制一段IP地址可用192.168.0.0/24表示192.168.0.1-255端的所有IP, 24表示子網掩碼數。

   [root@tp ~]# iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

   注意：指定某個主機或者某個網段進行SSH連線，需要在iptables組態檔中的-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
   刪除，因為它表示所有地址都可以登陸.

   如果只允許除了192.168.0.3的主機外都能進行SSH連線

   [root@tp ~]# iptables -A INPUT -s ! 192.168.0.3 -p tcp --dport 22 -j ACCEPT

   • 開啟轉發功能

   在做NAT網路設定時,FORWARD預設規則是DROP時,必須開啟封包轉發功能

   [root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
   [root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT

   • 丟棄壞的TCP包

   [root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

   • 處理IP碎片數量，防止DDOS攻擊，允許每秒100個

   [root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

   • 設定ICMP包過濾, 允許每秒1個包, 限制觸發條件是10個包

   [root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

   • DROP非法連線

   [root@tp ~]# iptables -A INPUT   -m state --state INVALID -j DROP
   [root@tp ~]# iptables -A OUTPUT  -m state --state INVALID -j DROP
   [root@tp ~]# iptables -A FORWARD -m state --state INVALID -j DROP

   • 允許所有已經建立的和相關的連線

   [root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   [root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   [root@tp ~]# /etc/rc.d/init.d/iptables save

3. 設定NAT表防火牆

1. 檢視本機關於NAT的設定情況

   [root@tp rc.d]# iptables -t nat -L

2. 清除NAT規則

   [root@tp ~]# iptables -F -t nat
   [root@tp ~]# iptables -X -t nat
   [root@tp ~]# iptables -Z -t nat

3. 新增規則

   新增基本的NAT地址轉換，新增規則時，我們只新增DROP鏈，因為預設鏈全是ACCEPT。

   • 防止外網用內網IP欺騙

   [root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
   [root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
   [root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP

   • 禁止與211.101.46.253的所有連線

   [root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP

   • 禁用FTP(21)埠

   [root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP

   只禁用211.101.46.253地址的FTP連線,其他連線可以進行。

   [root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP