iptables配置实例
2009-01-06 11:53
iptables 基本命令使用举例一、链的基本操作 DROP 值时,系统会将其划分成更小的数据包(称为ip碎片)来传输,而接受方则对这些ip碎片再进行重组以还原整个包。这样会导致一个问题:当 系统将大数据包划分成ip碎片传输时,第一个碎片含有完整的包头信息(IP+TCP、UDP和ICMP),但是后续的碎片只有包头的部分信息(如源地 址、目的地址)。因此,检查后面的ip碎片的头部(象有TCP、UDP和ICMP一样)是不可能的。假如有这样的一条规则: 会让第一个ip碎片通过,而余下的碎片因为包头信息不完整而无法通过。可以通过—fragment/-f 选项来指定第二个及以后的ip碎片解决上述 问题。 碎片通过是有安全隐患的,对于这一点可以采用iptables的匹配扩展来进行限制。 项—syn相当于”–tcp-flags SYN,RST,ACK SYN”的简写。 #iptables -A INPUT -m limit –limit 300/hour 接丢弃。 当于允许额外的包数量。 协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的 表,比简单包过滤防火墙具有更大的安全性,命令格式如下:iptables -m state –-state [!]state [,state,state,state]其中,state表是 一个逗号分割的列表,用来指定连接状态,4种:>NEW: 该包想要开始一个新的连接(重新连接或连接重定向)>RELATED:该包是属于某个已经 建立的连接所建立的新连接。举例:FTP的数据传输连接和控制连接之间就是RELATED关系。>ESTABLISHED:该包属于某个已经建立的连接。 >INVALID:该包不匹配于任何连接,通常这些包被DROP。例如: 的新连接。即匹配所有的TCP回应包。#iptables -A INPUT -m state –state RELATED,ESTABLISHED 有从非eth0接口来的连接请求包。#iptables -A INPUT -m state -–state NEW -i !eth0又如,对于ftp连接可以使用下面的连接跟踪: ACCEPT#iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -mstate -–state ESTABLISHED,RELATED -j ACCEPT –OUTPUT -p tcp –dport 20 -m state –state ESTABLISHED -j ACCEPT5)TOS匹配扩展。 iptables的一个可选扩展提供了新的命令行选项 |
Iptables配置实例:
Iptables配置的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配IPTABLES之前,只有本机能上网。
Rh8.0的“系统设置”中有个“安全级别” ,它主要是针对本机来说的,不能用它来配置iptables。打开“安全级别”,把它配成“无防火墙”级别。
为了配置、测试方便,可以先用“KWrite”编个“脚本”,采用“复制”、“粘贴”方式,把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。
打开“其他”—“辅助设施”中的“KWrite”,将下面的样本输入或粘贴到里面(其中,eth0、eth1分别是外、内网卡):
echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp ;支持被动FTP
/sbin/modprobe ip_conntrack_ftp ;
/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING
/sbin/modprobe ip_nat_h323 ;
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
/etc/rc.d/init.d/iptables restart
iptables -L
再另存为一个文件放到桌面上,便于使用。
在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUT和FORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。
其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。
每次修改完后,将整篇语句全部复制,再粘贴到“终端”,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。
最后将整篇语句全部复制,再粘贴到“/etc/rc.d/rc.local”文件后面,你的配置开机后也可以自动执行了。
内容来自: 脚本之家 www.jb51.net
# touch /etc/rc.d/firewall
# chmod u+x /etc/rc.d/firewall
# echo "/etc/rc.d/firewall" >> /etc/rc.d/rc.local
# vi /etc/rc.d/firewall
#!/bin/bash
echo "1" /proc/sys/net/ipv4/ip_forward
INET_IFACE="eth1"
INET_IP="10.19.51.182"
LAN_IFACE="eth0"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
IPT="/sbin/iptables"
SERVER="192.168.0.100"
DNS="192.168.0.99"
HTTP="80"
MAIL_SMTP="25"
MAIL_POP3="110"
DNS_PORT="53"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
for TABLE in filter nat mangle ; do
$IPT -t $TABLE -F
$IPT -t $TABLE -X
done
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}') ; do
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done
$IPT -A INPUT -p tcp --sport $HTTP -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_25 -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_110 -j ACCEPT
$IPT -A INPUT -p tcp --sport $DNS_PORT -j ACCEPT
$IPT -N LOGDENY
$IPT -A LOGDENY -j LOG --log-prefix "iptables:"
$IPT -A LOGDENY -j DROP
$IPT -A INPUT -i ! lo -m state --state NEW,INVALID -j LOGDENY
#if [ "$INET_IFACE" = ppp0 ] ; then
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
#else
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
#fi
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.25 -j SNAT --to $INET_IP
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $HTTP \
-j DNAT --to $SERVER:$HTTP
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_25 \
-j DNAT --to $SERVER:$MAIL_25
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_110 \
-j DNAT --to $SERVER:$MAIL_110
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $DNS_PORT \
-j DNAT --to $DNS:$DNS_PORT
:wq
#/etc/rc.d/firewall
一个使用iptables配置NAT的实例
2008-07-15 10:41
本文介绍如何在linux系统上使用iptables建立NAT, 我们可以把它做为一个网关, 从而局域网的多台机器可以使用一个公开的ip地址连接外网. 我使用的方法是重写通过NAT系统IP包的源地址和目标地址. 准备: 想法: WAN = eth0 有一个外网ip地址 xx.xx.xx.xx 过程: ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l 步骤#3. 配置eth0, 使用外网ip地址(基于ip的外部网络或互连网) cat /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 步骤#4. 配置eth1, 使用局域网地址(内部网络) cat /etc/sysconfig/network-scripts/ifcfg-eth1 BOOTPROTO=none 步骤#5. 配置主机 (可选) 步骤#6. 配置网关 NETWORKING=yes 步骤#6. 配置DNS nameserver 203.145.184.13 # 主DNS服务器, ISP提供 步骤#8. 使用IP Tables配置NAT #删除所有非缺省的规则链和nat表 #建立IP转发和伪装 #打开内核的包转发功能 #应用iptables配置 步骤#9. 测试 然后测试能否访问外网: 内部网络客户端的配置 选择 “开始” -> “设置” -> “控制面版” |