1、iptables 的基本用法说明
保存.写入到/etc/sysconfig/iptables文件里
iptables-save >/etc/sysconfig/iptables
/etc/rc.d/init.d/iptables save
service iptables save
iptables -L -n
iptables –t nat –L :显示nat表的中的设置
iptables -F 清除预设表filter中的所有规则链的规则
iptables -X 清除预设表filter中使用者自定链中的规则
-D删除链里面的某一条规则:
iptables -L
iptables –D INPUT 3 删除INPUT链上的第3条规则。
插入规则 iptables -I 插入到第一行,成为第一个规则
iptables-save >/etc/sysconfig/iptables
设定链的规则
iptables -p INPUT DROP
iptables -p OUTPUT ACCEPT
iptables -p FORWARD DROP
开启22端口.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
邮件服务器,开启25,110端口.
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
允许icmp包通过,也就是允许ping,
iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
只是良好的链接状态才接受
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
开启内网所有端口
iptables -A INPUT -d 10.0.0.0/16 -j ACCEPT
多端口配置
iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 -j ACCEPT
配置回环
iptables–A INPUT –i lo –j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
-s IP地址或者网段 匹配源IP地址或者网段 -d是匹配目的地址ip段,用法同-s
-s 192.168.0.1/24 ,如果是除这个网段之外的所有则为:! -s 192.168.0.1/24
丢弃坏的TCP包
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP (! --syn就是syn=0的包,正常的一个包是1)
处理IP碎片数量,防止攻击,允许每秒100个 (100/m,就是每分钟100个)
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
设置Iptables FORWORD规则:
首先要开启转发功能:编辑/etc/sysctl.conf文件
net.ipv4.ip_forward = 1
sysctl -p 执行一下
做网关转发上网(路由功能)
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -o eth0 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 10.0.0.230 -m mac --mac-source 00:00:BA:A5:7D:12 -i eth0 -j DROP
禁止访问制的的网站
iptables -A FORWARD -d www.baidu.com -j DROP
禁止机器上网
iptables -A FORWARD -s 10.0.0.0/24 -j DROP
禁止内网机器使用ftp协议下载
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 21 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 23 -j DROP
通过dnat访问内网的网站
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
禁止外网的机器ping,但内网的不限制(eth1是外网网卡)
iptables -A INPUT -i eth1 -p icmp -j DROP
访问10.0.0.3主机的3389端口
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.3:3389
封掉QQ等聊天工具,通过不让他查询dns服务器,获取不到ip地址来做到
iptables -A FORWARD -i eth0 -p udp --dport 53 -m string --algo bm --string "tencent" -j DROP
iptables -A FORWARD -i eth0 -p udp --dport 53 -m string --algo bm --string "TENCENT" -j DROP
限制打开含有qq.com的页面,也就封了webQQ的页面
iptables -A FORWARD -i eth0 -m string --algo bm --string "qq.com" -j DROP
2、使用实例
前提:INPUT OUTPUT FORWARD 都为DROP
作为客户机的iptables基本设置:
dns ping lo ssh
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #其他主机ssh连接过来
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT # 本机ssh其他机器
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT #open dns port is udp 53
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT #其他主机ssh连接过来
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT # 本机ssh其他机器
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT #open dns port is udp 53
做为一个服务器端的配置
ssh dns www ftp email
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 开启80端口
-A INPUT -s 10.0.0.102 -p tcp -m tcp --dport 80 -j DROP 禁止10.0.0.102访问80端口
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -s 10.0.0.102 -p tcp -m tcp --sport 80 -j DROP
以上这种方法配置后,10.0.0.102可以继续访问,原因是
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT和
-A INPUT -s 10.0.0.102 -p tcp -m tcp --dport 80 -j DROP是同一类规程,当iptables是同一类规程是
它是从上到下匹配的。匹配到以后他就不向下匹配了所以上面一条起作用了,下面的没起作用。
只要把-A INPUT -s 10.0.0.102 -p tcp -m tcp --dport 80 -j DROP放到
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT上面就行了
Nat共享上网 eth0:内网网卡,eth1:外网网卡
首先要开启转发功能
-A FORWARD -s 10.0.12.100 -m mac --mac-source 00:0A:EB:FE:BE:9f -i eth0 -j ACCEPT ip地址和mac地址捆绑
-A FORWARD -d 10.0.12.100 -m limit --limit 7/s --limit-burst 7 -i eth1 -j ACCEPT 限制下载、上网速度
然后配置nat表的postrouting
iptables -t nat -A POSTROUTING -s 10.0.12.100 -j SNAT --to-source 122.224.70.246(静态的配置方法)
iptables -t nat -A POSTROUTING -s 10.0.12.100 -o eth0(ppp0) -j MASQUERADE(动态的用)
/bin/sh /usr/local/mysql/bin/mysqld_safe --user=mysql
/usr/local/www/bin/httpd -k start
升级内核和iptables的方法:
http://hi.baidu.com/tr106/blog/item/b8aed92dc1875b3d359bf7cb.html
256
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
