iptables常用配置规则

防洪水***：
iptables -t nat -F Flood
iptables -t nat -I Flood -j DROP
iptables -t nat -I Flood -m limit --limit 3/hour --limit-burst 5 -j LOG --log-level 4 --log-prefix "Flood - dropped: "
iptables -t nat -I Flood -m limit --limit 20/second --limit-burst 10 -j RETURN
增加网络连接数至8000
sysctl -w net.ipv4.ip_conntrack_max=80000
禁止一些BT软件下载
iptables -A Filter -p tcp --dport 10000:60000 -j DROP
iptables -A Filter -p udp --dport 10000:60000 -j DROP
在防火墙上作IP和MAC绑定(只有符合IP和MAC的数据包才能通过)
iptables -A Filter -s 192.168.0.200 -m mac --mac-source 00:0A:E4:3D:A3:D7 -j ACCEPT
iptables -A Filter -j DROP
记录内网上网的日志
iptables -I FORWARD -j LOG -s 192.168.30.0/24 --log-prefix "<lanpc-log>"
指定IP范围作防火墙策略（Version 3.1.3）
iptables -A Filter -m iprange --src-range 192.168.6.10-192.168.6.20 -j ACCEPT
只允许外部具体的主机 Ping ××× 设备？     
你可以先在“外来访问”界面里将“接受回应要求(外来ping) ”的勾选去掉，然后在防火墙规则里面为外部接口添加具体的规则，添加请选择“自设防火墙规则附加在内置规则”
下面这条规则将允许x.x.x.x/y ping 通×××设备，x.x.x.x是网络或主机地址，y是子网掩码位数
iptables -I WanIn -p icmp --icmp-type 8 -s x.x.x.x/y -j ACCEPT
CYLAN ×××作为路由器的防火墙策略
cp /etc/1 /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -A FORWARD -s 192.168.11.200 -p icmp -j DROP
iptables -A FORWARD -s 192.168.11.250 -p icmp -j DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
映射ESP协议号50和AH协议号51到192.168.6.123
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -p 50 -j DNAT --to-destination 192.168.6.123
iptables -A ExtAcc -p 50 -d 192.168.6.123 -j ACCEPT
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -p 51 -j DNAT --to-destination 192.168.6.123
iptables -A ExtAcc -p 51 -d 192.168.6.123 -j ACCEPT
多条线路指定上网路由
iptables -t mangle -A PREROUTING  -s 192.168.6.0/24 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x16
iptables -t mangle -D PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
开放SMTP端口
iptables -I PFPrivWan -p tcp --dport 25 -j ACCEPT
开放POP3端口
iptables -I PFPrivWan -p tcp --dport 110 -j ACCEPT
QOS流量控制，下例规则是限制了两个主机的下载速度，192.168.6.18限制速度为128kbit, 192.168.6.200限制速度为256kbit.
tc qdisc add dev eth0 root handle 1: htb default 10
tc class add dev eth0 parent 1:1 classid 1:10 htb rate 1800kbit burst 6k prio 1
tc class add dev eth0 parent 1:1 classid 1:20 htb rate 128kbit burst 6k prio 2
tc class add dev eth0 parent 1:1 classid 1:30 htb rate 256kbit burst 6k prio 2
tc qdisc add dev eth0 parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev eth0 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev eth0 parent 1:30 handle 30: sfq perturb 10
tc filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip dst 192.168.6.18  flowid 1:20
tc filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip dst 192.168.6.200 flowid 1:30
对IPSEC作策略
iptables -I PrivFwd 1 -o ipsec0 -s 192.168.4.0/24  -m time --timestart 1:30 --timestop 6:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
iptables -I PrivFwd 2 -i ipsec0 -d 192.168.6.2  -j ACCEPT
iptables -I PrivFwd 3 -i ipsec0 -j DROP
在IPSEC隧道里对MAC作规则（本地）
iptables -I PrivFwd 1 -o ipsec0  -m mac --mac-source   00:C0:9F:7F:B1:33 -j DROP
限制对某个公网IP的IPSEC发启
iptables -A OUTPUT -d 202.33.44.5 -j DROP
限制某个公网IP的IPSEC接入(MAC)
iptables -I INPUT -s 202.33.44.5 -m mac --mac-source 00:11:15:00:08:37 -j DROP
只能收发邮件，别的都关闭
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37  -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37  -p udp --dport 53  -j  ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37  -p tcp --dport 25  -j  ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37  -p tcp --dport 110 -j  ACCEPT
NAT 策略
iptables -I PFWanPriv  -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j   DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j  DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
FTP服务器的NAT
iptables -I PFWanPriv  -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
只允许访问指定网址
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.3322.org -j ACCEPT
iptables -A Filter -d img.cn99.com -j ACCEPT
iptables -A Filter -j DROP
开放一个IP的一些端口，其它都封闭
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d  www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -j DROP
多个端口
iptables -A Filter -p tcp -m multiport --destination-port  22,53,80,110 -s 192.168.20.3 -j REJECT
连续端口
iptables -A Filter -p tcp -m multiport --source-port      22,53,80,110 -s 192.168.20.3 -j REJECT
iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT
指定时间上网
iptables -A Filter -s 10.10.10.253 -m time --timestart 6:00 --timestop 11:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
iptables -A Filter -m time --timestart 12:00 --timestop 13:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
iptables -A Filter -m time --timestart 17:30 --timestop 8:30 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
禁止多个端口服务
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT
将WAN 口NAT到PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
将WAN口8000端口NAT到192。168。100。200的80端口
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
MAIL服务器要转的端口
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25  -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
只允许PING 202。96。134。133,别的服务都禁止
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -j DROP
禁用BT配置
iptables -A Filter -p tcp -dport 11000:60000 -j DROP
禁用QQ防火墙配置
iptables -A Filter -p udp --dport ! 53  -j DROP
iptables -A Filter -d 218.17.209.0/24   -j DROP
iptables -A Filter -d 218.18.95.0/24    -j DROP
iptables -A Filter -d 61.144.238.0/24   -j DROP
iptables -A Filter -d 202.104.129.0/24   -j DROP
iptables -A Filter -d 58.60.14.0/24   -j DROP
iptables -A Filter -d 219.133.0.0/16 -j DROP
iptables -A Filter -d 58.251.63.0/24 -j DROP
iptables -A Filter -d 202.96.170.0/24 -j DROP
iptables -A Filter -d 58.61.33.0/24 -j DROP
禁用QQ_ TM
iptables -A Filter -d 221.236.11.0/24 -j DROP
iptables -A Filter -d 218.85.138.0/24 -j DROP
基于MAC，只能收发邮件，其它都拒绝。
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j  ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j  ACCEPT
禁用MSN配置
iptables -A Filter -p udp  --dport 9  -j DROP
iptables -A Filter -p tcp  --dport   1863 -j DROP
iptables -A Filter -p tcp  --dport   80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp  --dport   80 -d 207.46.110.0/24 -j DROP
只允许PING 202。96。134。133 其它公网IP都不许PING 。
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP
禁止某个MAC地址访问internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
禁止某个IP地址的PING:
iptables -A   Filter   -p  icmp   -s   192.168.0.1   -j  DROP
禁止某个IP地址服务：
iptables -A   Filter  -p    tcp  -s  192.168.0.1 --dport 80  -j  DROP
iptables -A   Filter  -p    udp  -s  192.168.0.1 --dport 53  -j  DROP
只允许某些服务，其他都拒绝(2条规则)
iptables  -A   Filter  -p  tcp  -s  192.168.0.1  --dport  1000  -j  ACCEPT
iptables  -A   Filter  -j  DROP
禁止某个IP地址的某个端口服务
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
禁止某个MAC地址的某个端口服务
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8  --dport 80 -j DROP
禁止某个MAC地址访问internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
禁止某个IP地址的PING:
iptables -A   Filter   -p  icmp   -s   192.168.0.1   -j  DROP
在日志里标记主机日志
iptables -I INPUT -j LOG -p tcp --syn -s 192.168.5.200 --log-prefix "//zgs---log //: "

转载请注明原文地址：http://www.server110.com/linux/201308/775.html

转载于:https://blog.51cto.com/milenovo/1729219