iptables配置实例
iptables 基本命令使用举例一、链的基本操作 DROP 值时,系统会将其划分成更小的数据包(称为ip碎片)来传输,而接受方则对这些ip碎片再进行重组以还原整个包。这样会导致一个问题:当 系统将大数据包划分成ip碎片传输时,第一个碎片含有完整的包头信息(IP+TCP、UDP和ICMP),但是后续的碎片只有包头的部分信息(如源地 址、目的地址)。因此,检查后面的ip碎片的头部(象有TCP、UDP和ICMP一样)是不可能的。假如有这样的一条规则: 会让第一个ip碎片通过,而余下的碎片因为包头信息不完整而无法通过。可以通过—fragment/-f 选项来指定第二个及以后的ip碎片解决上述 问题。 碎片通过是有安全隐患的,对于这一点可以采用iptables的匹配扩展来进行限制。 项—syn相当于”–tcp-flags SYN,RST,ACK SYN”的简写。 #iptables -A INPUT -m limit –limit 300/hour 接丢弃。 当于允许额外的包数量。 协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的 表,比简单包过滤防火墙具有更大的安全性,命令格式如下:iptables -m state –-state [!]state [,state,state,state]其中,state表是 一个逗号分割的列表,用来指定连接状态,4种:>NEW: 该包想要开始一个新的连接(重新连接或连接重定向)>RELATED:该包是属于某个已经 建立的连接所建立的新连接。举例:FTP的数据传输连接和控制连接之间就是RELATED关系。>ESTABLISHED:该包属于某个已经建立的连接。 >INVALID:该包不匹配于任何连接,通常这些包被DROP。例如: 的新连接。即匹配所有的TCP回应包。#iptables -A INPUT -m state –state RELATED,ESTABLISHED 有从非eth0接口来的连接请求包。#iptables -A INPUT -m state -–state NEW -i !eth0又如,对于ftp连接可以使用下面的连接跟踪: ACCEPT#iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -mstate -–state ESTABLISHED,RELATED -j ACCEPT –OUTPUT -p tcp –dport 20 -m state –state ESTABLISHED -j ACCEPT5)TOS匹配扩展。 iptables的一个可选扩展提供了新的命令行选项 |
Iptables配置实例:
Iptables配置的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配IPTABLES之前,只有本机能上网。
Rh8.0的“系统设置”中有个“安全级别”,它主要是针对本机来说的,不能用它来配置iptables。打开“安全级别”,把它配成“无防火墙”级别。
为了配置、测试方便,可以先用“KWrite”编个“脚本”,采用“复制”、“粘贴”方式,把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。
打开“其他”—“辅助设施”中的“KWrite”,将下面的样本输入或粘贴到里面(其中,eth0、eth1分别是外、内网卡):
echo "Enable IPForwarding..."
echo 1>/proc/sys/net/ipv4/ip_forward
echo "Starting iptablesrules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp ;支持被动FTP
/sbin/modprobe ip_conntrack_ftp ;
/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING
/sbin/modprobe ip_nat_h323 ;
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --stateESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -jACCEPT
iptables -A FORWARD -i eth0 -m state--state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s192.168.0.0/24 -j MASQUERADE
/etc/rc.d/init.d/iptables restart
iptables -L
再另存为一个文件放到桌面上,便于使用。
在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUT和FORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。
其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。
每次修改完后,将整篇语句全部复制,再粘贴到“终端”,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。
最后将整篇语句全部复制,再粘贴到“/etc/rc.d/rc.local”文件后面,你的配置开机后也可以自动执行了。
内容来自: 脚本之家www.jb51.net
#touch /etc/rc.d/firewall
# chmod u+x /etc/rc.d/firewall
# echo "/etc/rc.d/firewall" >> /etc/rc.d/rc.local
# vi /etc/rc.d/firewall
#!/bin/bash
echo "1" /proc/sys/net/ipv4/ip_forward
INET_IFACE="eth1"
INET_IP="10.19.51.182"
LAN_IFACE="eth0"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
IPT="/sbin/iptables"
SERVER="192.168.0.100"
DNS="192.168.0.99"
HTTP="80"
MAIL_SMTP="25"
MAIL_POP3="110"
DNS_PORT="53"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
for TABLE in filter nat mangle ; do
$IPT -t $TABLE -F
$IPT -t $TABLE -X
done
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}') ; do
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done
$IPT -A INPUT -p tcp --sport $HTTP -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_25 -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_110 -j ACCEPT
$IPT -A INPUT -p tcp --sport $DNS_PORT -j ACCEPT
$IPT -N LOGDENY
$IPT -A LOGDENY -j LOG --log-prefix "iptables:"
$IPT -A LOGDENY -j DROP
$IPT -A INPUT -i ! lo -m state --state NEW,INVALID -j LOGDENY
#if [ "$INET_IFACE" = ppp0 ] ; then
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
#else
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
#fi
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.25 -j SNAT --to $INET_IP
$IPT -t net -A PRERROUTING -p tcp -d$INET_IP --dport $HTTP \
-j DNAT --to $SERVER:$HTTP
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_25 \
-j DNAT --to $SERVER:$MAIL_25
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_110 \
-j DNAT --to $SERVER:$MAIL_110
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $DNS_PORT \
-j DNAT --to $DNS:$DNS_PORT
:wq
#/etc/rc.d/firewall
一个使用iptables配置NAT的实例
2008-07-15 10:41
本文介绍如何在linux系统上使用iptables建立NAT, 我们可以把它做为一个网关, 从而局域网的多台机器可以使用一个公开的ip地址连接外网. 我使用的方法是重写通过NAT系统IP包的源地址和目标地址.
准备:
CPU: PII或更高
系统: 任何Linux版本
软件: Iptables
网卡: 2块
想法:
用你的广域网IP替换xx.xx.xx.xx
用你的局域网IP替换yy.yy.yy.yy
(比如: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8)
WAN = eth0 有一个外网ip地址 xx.xx.xx.xx
LAN = eth1 有一个内网ip地址 yy.yy.yy.yy/ 255.255.0.0
过程:
步骤#1. 添加2块网卡到你的Linux系统.
步骤#2. 确认你的网卡是否正确安装:
ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l
结果输出应为”2″
步骤#3. 配置eth0, 使用外网ip地址(基于ip的外部网络或互连网)
cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
BROADCAST=xx.xx.xx.255 # 附加选项
HWADDR=00:50:BA:88:72:D4 # 附加选项
IPADDR=xx.xx.xx.xx
NETMASK=255.255.255.0 # ISP提供
NETWORK=xx.xx.xx.0 # 可选
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
IPV6INIT=no
PEERDNS=yes
GATEWAY=xx.xx.xx.1 # ISP提供
步骤#4. 配置eth1, 使用局域网地址(内部网络)
cat /etc/sysconfig/network-scripts/ifcfg-eth1
BOOTPROTO=none
PEERDNS=yes
HWADDR=00:50:8B:CF:9C:05 # Optional
TYPE=Ethernet
IPV6INIT=no
DEVICE=eth1
NETMASK=255.255.0.0 # Specify based on your requirement
BROADCAST=”"
IPADDR=192.168.2.1 # Gateway of the LAN
NETWORK=192.168.0.0 # Optional
USERCTL=no
ONBOOT=yes
步骤#5. 配置主机 (可选)
cat /etc/hosts
127.0.0.1 nat localhost.localdomain localhost
步骤#6. 配置网关
cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=nat
GATEWAY=xx.xx.xx.1 # 互连网或外网网关, ISP提供
步骤#6. 配置DNS
cat /etc/resolv.conf
nameserver 203.145.184.13 # 主DNS服务器, ISP提供
nameserver 202.56.250.5 # 第二个DNS服务器, ISP提供
步骤#8. 使用IP Tables配置NAT
# 删除刷新缺省表如”filter”, 其它表如”nat”需清楚标明:
iptables –flush # 刷新所有过滤规则和NAT表.
iptables –table nat –flush
iptables –delete-chain
#删除所有非缺省的规则链和nat表
iptables –table nat –delete-chain
#建立IP转发和伪装
iptables –table nat –append POSTROUTING –out-interface eth0 -j MASQUERADE
iptables –append FORWARD –in-interface eth1 -j ACCEPT
#打开内核的包转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
#应用iptables配置
service iptables restart
步骤#9. 测试
# 用一台客户机ping网关
ping 192.168.2.1
然后测试能否访问外网:
ping google.com
内部网络客户端的配置
局部办公网络的所有计算机把网关设置为linux(系统)网关的内网ip地址.
DNS设置为ISP提供的DNS.
Windows’95,2000,XP上的配置:
选择 “开始” -> “设置” -> “控制面版”
选择 “网络” 图标
选择 “配置”, 然后双击以太网络的”TCP/IP”部分(不是TCP/IP -> 拨号适配器)
然后输入:
“网关”: 使用linux系统的内网ip地址.(192.168.2.1)
“DNS配置”: 使用IPS提供的DNS地址. (通常使用互连网地址)
“IP地址”: ip地址(192.168.XXX.XXX - 静态)和掩码(小的本地办公网络通常使用255.255.0.0).