iptables,防火墙

[root@www ~]# iptables [-t tables] [-L] [-nv]选项与参数：
-t ：后面接 table ，例如 nat 或 filter ，若省略此项目，则使用默认的 filter
-L ：列出目前的 table 的规则
-n ：不进行 IP 与 HOSTNAME 的反查，显示讯息的速度会快很多！
-v ：列出更多的信息，包括通过该规则的封包总位数、相关的网络接口等范例：列出 filter table 三条链的规则[root@www ~]# iptables -L -nChain INPUT (policy ACCEPT)   <==针对 INPUT 链，且预设政策为可接受target  prot opt source     destination <==说明栏ACCEPT  all  --  0.0.0.0/0  0.0.0.0/0   state RELATED,ESTABLISHED <==第 1 条规则ACCEPT  icmp --  0.0.0.0/0  0.0.0.0/0                             <==第 2 条规则ACCEPT  all  --  0.0.0.0/0  0.0.0.0/0                             <==第 3 条规则ACCEPT  tcp  --  0.0.0.0/0  0.0.0.0/0   state NEW tcp dpt:22      <==以下类推REJECT  all  --  0.0.0.0/0  0.0.0.0/0   reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)  <==针对 FORWARD 链，且预设政策为可接受target  prot opt source     destinationREJECT  all  --  0.0.0.0/0  0.0.0.0/0   reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT)  <==针对 OUTPUT 链，且预设政策为可接受target  prot opt source     destination范例：列出 nat table 三条链的规则[root@www ~]# iptables -t nat -L -nChain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@www ~]# iptables-save [-t table]选项与参数：
-t ：可以仅针对某些表格来输出，例如仅针对 nat 或 filter 等等[root@www ~]# iptables-save# Generated by iptables-save v1.4.7 on Fri Jul 22 15:51:52 2011
*filter                      <==星号开头的指的是表格，这里为 filter:INPUT ACCEPT [0:0]          <==冒号开头的指的是链，三条内建的链:FORWARD ACCEPT [0:0]        <==三条内建链的政策都是 ACCEPT 啰！:OUTPUT ACCEPT [680:100461]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <==针对 INPUT 的规则-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT  <==这条很重要！针对本机内部接口开放！-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibited <==针对 FORWARD 的规则COMMIT
# Completed on Fri Jul 22 15:51:52 2011

[root@www ~]# iptables [-t tables] [-FXZ]选项与参数：
-F ：清除所有的已订定的规则；
-X ：杀掉所有使用者 "自定义" 的 chain (应该说的是 tables ）啰；
-Z ：将所有的 chain 的计数与流量统计都归零范例：清除本机防火墙 (filter) 的所有规则[root@www ~]# iptables -F[root@www ~]# iptables -X[root@www ~]# iptables -Z

[root@www ~]# iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]选项与参数：
-P ：定义政策( Policy )。注意，这个 P 为大写啊！
ACCEPT ：该封包可接受
DROP   ：该封包直接丢弃，不会让 client 端知道为何被丢弃。范例：将本机的 INPUT 设定为 DROP ，其他设定为 ACCEPT[root@www ~]# iptables -P INPUT   DROP[root@www ~]# iptables -P OUTPUT  ACCEPT[root@www ~]# iptables -P FORWARD ACCEPT[root@www ~]# iptables-save# Generated by iptables-save v1.4.7 on Fri Jul 22 15:56:34 2011
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Fri Jul 22 15:56:34 2011# 由于 INPUT 设定为 DROP 而又尚未有任何规则，所以上面的输出结果显示：
# 所有的封包都无法进入你的主机！是不通的防火墙设定！(网络联机是双向的)

[root@www ~]# iptables [-AI 链名] [-io 网络接口] [-p 协议] \> [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]选项与参数：
-AI 链名：针对某的链进行规则的 "插入" 或 "累加"
    -A ：新增加一条规则，该规则增加在原本规则的最后面。例如原本已经有四条规则，
         使用 -A 就可以加上第五条规则！
    -I ：插入一条规则。如果没有指定此规则的顺序，默认是插入变成第一条规则。
         例如原本有四条规则，使用 -I 则该规则变成第一条，而原本四条变成 2~5 号
    链 ：有 INPUT, OUTPUT, FORWARD 等，此链名称又与 -io 有关，请看底下。

-io 网络接口：设定封包进出的接口规范
    -i ：封包所进入的那个网络接口，例如 eth0, lo 等接口。需与 INPUT 链配合；
    -o ：封包所传出的那个网络接口，需与 OUTPUT 链配合；

-p 协定：设定此规则适用于哪种封包格式
   主要的封包格式有： tcp, udp, icmp 及 all 。

-s 来源 IP/网域：设定此规则之封包的来源项目，可指定单纯的 IP 或包括网域，例如：
   IP  ：192.168.0.100
   网域：192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。
   若规范为『不许』时，则加上 ! 即可，例如：
   -s ! 192.168.100.0/24 表示不许 192.168.100.0/24 之封包来源；

-d 目标 IP/网域：同 -s ，只不过这里指的是目标的 IP 或网域。

-j ：后面接动作，主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)

范例：只要是来自内网的 (192.168.100.0/24) 的封包通通接受[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j ACCEPT# 由于是内网就接受，因此也可以称之为『信任网域』啰。范例：只要是来自 192.168.100.10 就接受，但 192.168.100.230 这个恶意来源就丢弃[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.10 -j ACCEPT[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.230 -j DROP# 针对单一 IP 来源，可视为信任主机或者是不信任的恶意来源喔！[root@www ~]# iptables-save# Generated by iptables-save v1.4.7 on Fri Jul 22 16:00:43 2011
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [17:1724]
-A INPUT -i lo -j ACCEPT-A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT-A INPUT -s 192.168.100.10/32 -i eth1 -j ACCEPT-A INPUT -s 192.168.100.230/32 -i eth1 -j DROPCOMMIT
# Completed on Fri Jul 22 16:00:43 2011

[root@www ~]# iptables -A INPUT -s 192.168.2.200 -j LOG[root@www ~]# iptables -L -ntarget prot opt source         destinationLOG    all  --  192.168.2.200  0.0.0.0/0   LOG flags 0 level 4

[root@www ~]# iptables [-AI 链] [-io 网络接口] [-p tcp,udp] \> [-s 来源IP/网域] [--sport 埠口范围] \> [-d 目标IP/网域] [--dport 埠口范围] -j [ACCEPT|DROP|REJECT]选项与参数：
--sport 埠口范围：限制来源的端口号码，端口号码可以是连续的，例如 1024:65535
--dport 埠口范围：限制目标的端口号码。

范例：想要联机进入本机 port 21 的封包都抵挡掉：[root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP范例：想连到我这部主机的网芳 (upd port 137,138 tcp port 139,445) 就放行[root@www ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT[root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT[root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT

[root@www ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 \> --sport 1024:65534 --dport ssh -j DROP

[root@www ~]# iptables -A INPUT -i eth0 --dport 21 -j DROPiptables v1.4.7: unknown option `--dport'
Try `iptables -h' or 'iptables --help' for more information.

范例：将来自任何地方来源 port 1:1023 的主动联机到本机端的 1:1023 联机丢弃[root@www ~]# iptables -A INPUT -i eth0 -p tcp --sport 1:1023 \> --dport 1:1023 --syn -j DROP

[root@www ~]# iptables -A INPUT [-m state] [--state 状态]选项与参数：
-m ：一些 iptables 的外挂模块，主要常见的有：
     state ：状态模块
     mac   ：网络卡硬件地址 (hardware address)
--state ：一些封包的状态，主要有：
     INVALID    ：无效的封包，例如数据破损的封包状态
     ESTABLISHED：已经联机成功的联机状态；
     NEW        ：想要新建立联机的封包状态；
     RELATED    ：这个最常用！表示这个封包是与我们主机发送出去的封包有关范例：只要已建立或相关封包就予以通过，只要是不合法封包就丢弃[root@www ~]# iptables -A INPUT -m state \> --state RELATED,ESTABLISHED -j ACCEPT[root@www ~]# iptables -A INPUT -m state --state INVALID -j DROP

范例：针对局域网络内的 aa:bb:cc:dd:ee:ff 主机开放其联机[root@www ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff \> -j ACCEPT选项与参数：
--mac-source ：就是来源主机的 MAC 啦！

[root@www ~]# iptables -A INPUT [-p icmp] [--icmp-type 类型] -j ACCEPT选项与参数：
--icmp-type ：后面必须要接 ICMP 的封包类型，也可以使用代号，
              例如 8  代表 echo request 的意思。范例：让 0,3,4,11,12,14,16,18 的 ICMP type 可以进入本机：[root@www ~]# vi somefile#!/bin/bash
icmp_type="0 3 4 11 12 14 16 18"
for typeicmp in $icmp_type
do
   iptables -A INPUT -i eth0 -p icmp --icmp-type $typeicmp -j ACCEPT
done

[root@www ~]# sh  somefile

[root@www ~]# vim bin/firewall.sh#!/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH

# 1. 清除规则
iptables -F
iptables -X
iptables -Z

# 2. 设定政策
iptables -P   INPUT DROP
iptables -P  OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# 3~5. 制订各项规则
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT

# 6. 写入防火墙规则配置文件
/etc/init.d/iptables save[root@www ~]# sh bin/firewall.shiptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]