iptables

1. 请列举iptables的基本语法格式 ？

iptables [-t 表名] 命令选项 ［链名］ ［条件匹配］ ［-j 目标动作或跳转］
说明：表名、链名用于指定 iptables命令所操作的表和链，命令选项用于指定管理iptables规则的方式（比如：插入、增加、删除、查看等；条件匹配用于指定对符合什么样 条件的数据包进行处理；目标动作或跳转用于指定数据包的处理方式（比如允许通过、拒绝、丢弃、跳转（Jump）给其它链处理。

iptables命令的管理控制选项

-A 在指定链的末尾添加（append）一条新的规则
-D 删除（delete）指定链中的某一条规则，可以按规则序号和内容删除
-I 在指定链中插入（insert）一条新的规则，默认在第一行添加
-R 修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换
-L 列出（list）指定链中所有的规则进行查看
-E 重命名用户定义的链，不改变链本身
-F 清空（flush）
-N 新建（new-chain）一条用户自己定义的规则链
-X 删除指定表中用户自定义的规则链（delete-chain）
-P 设置指定链的默认策略（policy）
-Z 将所有表的所有链的字节和数据包计数器清零
-n 使用数字形式（numeric）显示输出结果
-v 查看规则表详细信息（verbose）的信息
-V 查看版本(version)
-h 获取帮助（help）

2. 解释iptables规则表之间的优先顺序 ？

Raw——mangle——nat——filter
规则链之间的优先顺序（分三种情况）：

第一种情况：入站数据流向
从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包 的目标主机是防火墙本机（比如说Internet用户访问防火墙主机中的web服务器的数据包），那么内核将其传给INPUT链进行处理（决定是否允许通 过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进行响应。

第二种情况：转发数据流向
来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网 关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地 址等）进行处理。

第三种情况：出站数据流向
防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据包的地址等）进行处理。
管理和设置iptables规则

3. 简述什么是iptables的规则表和链 ？

表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。
链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一 条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据 该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定 义的默认策略来处理数据包。

4. 简述iptables的规则链 ？

1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则（记住！所有的数据包进来的时侯都先由这个链处理）
5.POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

5. 简述iptables传输数据包的过程 ？

① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

6. 简述iptables的规则表 ？

iptables的规则表

1.filter表——三个链：INPUT、FORWARD、OUTPUT
作用：过滤数据包 内核模块：iptables_filter.
2.Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT
作用：用于网络地址转换（IP、端口） 内核模块：iptable_nat
3.Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它)
4.Raw表——两个链：OUTPUT、PREROUTING
作用：决定数据包是否被状态跟踪机制处理 内核模块：iptable_raw

7. 请描述 iptables 的常见生产应用场景 ？

主机防火墙（filter表的INPUT链）
局域网共享上网（nat表的POSTROUTING链），半个路由器，NAT功能
端口及IP（一对一）映射（nat表的PRETOUTING链），硬件防火墙的NAT功能

8. 简述iptables和firewalld的基本区别 ?

iptables和firewalld都有着同样的目的(包过滤)，但它们使用不同的方式。iptables与firewalld不同，在每次发生更改时都刷新整个规则集。通常iptables配置文件位于‘/etc/sysconfig/iptables‘，而firewalld的配置文件位于‘/etc/firewalld/‘。firewalld的配置文件是一组XML文件。以XML为基础进行配置的firewalld比iptables的配置更加容易，但是两者都可以完成同样的任务。例如，firewalld可以在自己的命令行界面以及基于XML的配置文件下使用iptables。

9. iptables是否支持time时间控制用户行为，如有请写出具体操作步骤？

支持。需要增加相关支持的内核补丁，并且要重新编译内核。
或者使用crontab配合iptables，首先：vi /deny.bat 输入/sbin/iptables -A OUTPUT -p tcp -s 192.168.1.0/24 --dport 80 -j DROP保存退出
打开crontab-e
输入：00 21＊　＊　＊ /bin/sh /deny.bat

10. 请用Iptables写出只允许10.1.8.179 访问本服务器的22端口 ？

/sbin/iptables -A input -p tcp -dport 22 -s 10.1.8.179 -j ACCEPT
/sbin/iptables -A input -p udp -dport 22 -s 10.1.8.179 -j ACCEPT
/sbin/iptables -P input -j DROP

11. 使用iptables 写一条规则：把来源IP为192.168.1.101访问本机80端口的包直接拒绝 ？

iptables -I INPUT -s 192.168.1.101 -p tcp --dport 80 -j REJECT

12. 请写出iptables命令实现以下的目标 ？
    请写出iptables命令防止一个ip的连接大于10，服务器ip为172.18.0.108 ？

iptables -I FORWARD -d 172.18.0.108 -p tcp --dport 80 -m connlimit --connlimit-above 10 -j REJECT

13. 简述iptables防火墙处理数据包的四种方式 ？

ACCEPT 允许数据包通过
DROP 直接丢弃数据包，不给任何回应信息
REJECT 拒绝数据包通过，必要时会给数据发送端一个响应的信息。
LOG在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则

14. 如何保存与恢复iptables防火墙规则 ？

ptables-save把规则保存到文件中，再由目录rc.d下的脚本（/etc/rc.d/init.d/iptables）自动装载
使用命令iptables-save来保存规则。一般用
iptables-save > /etc/sysconfig/iptables
生成保存规则的文件 /etc/sysconfig/iptables，
也可以用
service iptables save
它能把规则自动保存在/etc/sysconfig/iptables中。
当计算机启动时，rc.d下的脚本将用命令iptables-restore调用这个文件，从而就自动恢复了规则。
删除INPUT链的第一条规则

15. 如何拒绝进入防火墙的所有ICMP协议数据包 ？

iptables -I INPUT -p icmp -j REJECT

16. 如何允许防火墙转发除ICMP协议以外的所有数据包？

ptables -A FORWARD -p ! icmp -j ACCEPT
说明：使用“！”可以将条件取反

17. 如何拒绝转发来自192.168.1.10主机的数据，允许转发来自192.168.0.0/24网段的数据 ？

iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
说明：注意要把拒绝的放在前面不然就不起作用了啊。

18. 如何丢弃从外网接口（eth1）进入防火墙本机的源地址为私网地址的数据包 ？

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

19. 编写规则实现封堵网段（192.168.1.0/24），两小时后解封 ？

iptables -I INPUT -s 10.20.30.0/24 -j DROP
iptables -I FORWARD -s 10.20.30.0/24 -j DROP
at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1
说明：这个策略咱们借助crond计划任务来完成，就再好不过了。
[1] Stopped at now 2 hours

20. 如何实现只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机？

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
说明：这个用法比较适合对设备进行远程管理时使用，比如位于分公司中的SQL服务器需要被总公司的管理员管理时

21. 如何实现允许本机开放从TCP端口20-1024提供的应用服务？

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

22. 如何实现允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包 ？

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

23. 如何实现禁止其他主机ping防火墙主机，但是允许从防火墙上ping其他主机 ？

iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

24. 如何禁止转发来自MAC地址为00：0C：29：27：55：3F的和主机的数据包 ？

iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
说明：iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址

25. 如何实现允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280？

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
说明：这里用“-m multiport –dport”来指定目的端口及范围

26. 如何禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包 ？

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
说明：此处用“-m –iprange –src-range”指定IP范围

27. 如何禁止转发与正常TCP连接无关的非—syn请求数据包？

ptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
说明：“-m state”表示数据包的连接状态，“NEW”表示与任何连接无关的

28. 如何实现拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包？

ptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
说明：“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包，“RELATED”表示与已建立的连接有相关性的，比如FTP数据连接等。

29. 如何实现禁止来自10.0.0.188 ip地址访问80端口的请求？

iptables -A INPUT -p tcp --dport 80 -j DROP

30. 如何使在命令行执行的iptables规则永久生效？

iptables save >>/etc/sysconfig/iptables

31. 实现把访问10.0.0.3:80的请求转到172.16.1.17:80 ？

iptables -t nat -A PREROUTING -d 10.0.0.3 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.6:80

32. 实现172.16.1.0/24段所有主机通过124.32.54.26外网IP共享上网 ？

在124.32.54.26的主机上配置NAT表的POSTROUTING链
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 124.32.54.26
在172网段的每一台主机，都需要配置默认网关为124.32.54.26主机的同一网段的网卡的IP

33. 请写出查看 iptables 当前所有规则的命令？

iptables -nL [ --line-num ]【】表示可选项

34. 写一个防火墙配置脚本，只允许远程主机访问本机的 80 端口？

iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许80端口访问
iptables -P INPUT DROP #默认拒绝所有服务、端口访问

35. 实现PC-D可以经过linux网关B上网，上因特网浏览网页等 ？

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.8
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE ç伪装。

36. 实现外部用户A通过访问Linux网关B：10.0.0.8 即可以访问到内部 Server 172.16.1.51:80提供的web服务？

iptables -t nat -A PREROUTING -d 10.0.0.8 -p tcp --dport 800 -j DNAT --to-destination 172.16.1.61:80

37. 请描述如何配置一个专业的安全的 WEB 服务器主机防火墙（最佳实践）？

#!/bin/bash
IPT=/sbin/iptables

#Remove any existing rules
$IPT -F
$IPT -X
$IPT -Z

#setting default firewall policy
$IPT --policy OUTPUT ACCEPT
$IPT --policy FORWARD DROP
$IPT -P INPUT DROP

#setting for loopback interface
$IPT -A INPUT -i lo -j ACCEPT

#setting access rules
#one,ip access rules,allow all the ips of
$IPT -A INPUT -s 202.81.17.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 202.81.18.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
$IPT -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT

#icmp
$IPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

#others RELATED
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

/etc/init.d/iptables save
#iptables-save >/etc/sysconfig/iptables

38. 怎样检测并且确保iptables服务正在运行?

您可以在终端中运行下面的命令来检测iptables的状态。
　　#service status iptables [On CentOS 6/5]
　　#systemctl status iptables [On CentOS 7]
　　如果iptables没有在运行，可以使用下面的语句
　　---------------- 在CentOS 6/5下 ----------------
　　#chkconfig --level 35 iptables on
　　#service iptables start
　　---------------- 在CentOS 7下 ----------------
　　#systemctl enable iptables
　　#systemctl start iptables
　　我们还可以检测iptables的模块是否被加载：
　　#lsmod | grep ip_tables

39. 怎么检查iptables中当前定义的规则呢?

当前的规则可以简单的用下面的命令查看：
　　#iptables -L
　　示例输出
　　Chain INPUT (policy ACCEPT)
　　target prot opt source destination
　　ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED
　　ACCEPT icmp – anywhere anywhere
　　ACCEPT all – anywhere anywhere
　　ACCEPT tcp – anywhere anywhere state NEW tcp dpt:ssh
　　REJECT all – anywhere anywhere reject-with icmp-host-prohibited
　　Chain FORWARD (policy ACCEPT)
　　target prot opt source destination
　　REJECT all – anywhere anywhere reject-with icmp-host-prohibited
　　Chain OUTPUT (policy ACCEPT)
　　target prot opt source destination

40. 怎样刷新所有的iptables规则或者特定的链呢?

您可以使用下面的命令来刷新一个特定的链。
#iptables --flush OUTPUT
要刷新所有的规则，可以用：
#iptables --flush

41. 请在iptables中添加一条规则，接受所有从一 ？个信任的IP地址(例如，192.168.0.7)过来的包

上面的场景可以通过运行下面的命令来完成。
#iptables -A INPUT -s 192.168.0.7 -j ACCEPT
我们还可以在源IP中使用标准的斜线和子网掩码：
#iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT
#iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT

42. 怎样在iptables中添加规则以ACCEPT，REJECT，DENY和DROP ssh的服务?

ssh运行在22端口，那也是ssh的默认端口，我们可以在iptables中添加规则来ACCEPT ssh的tcp包(在22号端口上)。
　　#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
　　REJECT ssh服务(22号端口)的tcp包。
　　#iptables -A INPUT -p tcp --dport 22 -j REJECT
　　DENY ssh服务(22号端口)的tcp包。
　　#iptables -A INPUT -p tcp --dport 22 -j DENY
　　DROP ssh服务(22号端口)的tcp包。
　　#iptables -A INPUT -p tcp --dport 22 -j DROP