iptables配置实例

iptables配置实例

iptables 基本命令使用举例一、链的基本操作
 1、清除所有的规则。
 1)清除预设表filter中所有规则链中的规则。
 # iptables -F
 2)清除预设表filter中使用者自定链中的规则。
 #iptables -X
 #iptables -Z
 2、设置链的默认策略。一般有两种方法。
 1)首先允许所有的包,然后再禁止有危险的包通过放火墙。
 #iptables -P INPUT ACCEPT
 #iptables -P OUTPUT ACCEPT
 #iptables -P FORWARD ACCEPT
 2)
首先禁止所有的包,然后根据需要的服务允许特定的包通过防火墙。
 #iptables -P INPUT DROP
 #iptables -P OUTPUT DROP
 #iptables -P FORWARD DROP
 3、列出表/链中的所有规则。默认只列出filter表。
 #iptables -L
 4、向链中添加规则。下面的语句用于开放网络接口:
 #iptables -A INPUT -i lo -j ACCEPT
 #iptables -A OUTPUT -o lo -j ACCEPT
 #iptables -A INPUT -i eth0 -j ACEPT
 #iptables -A OUTPUT -o eth1 -j ACCEPT
 #iptables -A FORWARD -i eth1 -j ACCEPT
 #iptables -A FORWARD -0 eth1 -j ACCEPT
注意:由于本地进程不会经过FORWARD链,因此回环接口lo只在INPUT和OUTPUT两个链上作用。
 5、使用者自定义链。#iptables -N custom#iptables -A custom -s  0/0 -d 0/0 -p icmp -j DROP#iptables -A INPUT -s 0/0 -d 0/0 -j

DROP
二、设置基本的规则匹配
 1、指定协议匹配。
 1)匹配指定协议。#iptables -A INPUT -p tcp
 2)匹配指定协议之外的所有协议。#iptables -A INPUT -p !tcp
 2、指定地址匹配。
 1)指定匹配的主机。#iptables -A INPUT -s 192.168.0.18
 2)指定匹配的网络。#iptables -A INPUT -s 192.168.2.0/24
 3)匹配指定主机之外的地址。#iptables -A FORWARD -s !192.168.0.19
 4)匹配指定网络之外的网络。#iptables -A FORWARD -s !  192.168.3.0/24
 3、指定网络接口匹配。
 1)指定单一的网络接口匹配。
 #iptables -A INPUT -i eth0
 #iptables -A FORWARD -o eth0
 2)指定同类型的网络接口匹配。#iptables -A FORWARD -o ppp+
 4、指定端口匹配。
 1)指定单一端口匹配。#iptables -A INPUT -p tcp �Csport www
 #iptables -A INPUT -p udp �Cdport 53
 2)匹配指定端口之外的端口。#iptables -A INPUT -p tcp �Cdport !22
 3)匹配端口范围。#iptables -A INPUT -p tcp �Csport 22:80
 4)匹配ICMP端口和ICMP类型。#iptables -A INOUT -p icmp �Cicimp-type 8
 5)指定ip碎片。每个网络接口都有一个MTU(最大传输单元),这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数

值时,系统会将其划分成更小的数据包(称为ip碎片)来传输,而接受方则对这些ip碎片再进行重组以还原整个包。这样会导致一个问题:当

系统将大数据包划分成ip碎片传输时,第一个碎片含有完整的包头信息(IP+TCP、UDP和ICMP),但是后续的碎片只有包头的部分信息(如源地

址、目的地址)。因此,检查后面的ip碎片的头部(象有TCP、UDP和ICMP一样)是不可能的。假如有这样的一条规则:
 #iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 �Cdport 80 -j  ACCEPT并且这时的FORWARD的policy为DROP时,系统只

会让第一个ip碎片通过,而余下的碎片因为包头信息不完整而无法通过。可以通过―fragment/-f  选项来指定第二个及以后的ip碎片解决上述

问题。
 #iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT注意现在有许多进行ip碎片攻击的实例,如DoS攻击,因此允许ip

碎片通过是有安全隐患的,对于这一点可以采用iptables的匹配扩展来进行限制。
三、设置扩展的规则匹配(举例已忽略目标动作)
 1、多端口匹配。
 1)匹配多个源端口。#iptables -A INPUT -p tcp -m multiport  �Csport 22,53,80,1102)
匹配多个目的端口。#iptables -A INPUT -p tcp -m multiport  �Cdpoort 22,53,803)
匹配多端口(无论是源端口还是目的端口)#iptables  -A INPUT -p tcp -m multiport �Cport 22,53,80,1102、
指定TCP匹配扩展使用 �Ctcp-flags 选项可以根据tcp包的标志位进行过滤。
 #iptables -A INPUT -p tcp �Ctcp-flags SYN,FIN,ACK SYN
 #iptables -A FROWARD -p tcp �Ctcp-flags ALL SYN,ACK上实例中第一个表示SYN、ACK、FIN的标志都检查,但是只有SYN匹配。
第二个表示ALL(SYN,ACK,FIN,RST,URG,PSH)的标志都检查,但是只有设置了SYN和ACK的匹配。#iptables  -A FORWARD -p tcp �Csyn选

项―syn相当于”�Ctcp-flags SYN,RST,ACK SYN”的简写。
 3、limit速率匹配扩展。1)指定单位时间内允许通过的数据包个数,单位时间可以是/second、/minute、/hour、/day或使用第一个子母。

#iptables -A INPUT -m limit �Climit 300/hour
 2 )
指定触发事件的阀值。#iptables -A INPUT -m  limit �Climit-burst 10用来比对一次同时涌入的封包是否超过10个,超过此上限的包将直

接丢弃。
 3)同时指定速率限制和触发阀值。
 #iptables -A INPUT -p icmp -m limit �C-limit 3/m �Climit-burst 3
表示每分钟允许的最大包数量为限制速率(本例为3)加上当前的触发阀值burst数。任何情况下,都可保证3个数据包通过,触发阀值burst相

当于允许额外的包数量。
 4)基于状态的匹配扩展(连接跟踪)每个网络连接包括以下信息:源地址、目标地址、源端口、目的端口,称为套接字对(socket pairs);

协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的

表,比简单包过滤防火墙具有更大的安全性,命令格式如下:iptables -m state �C-state [!]state [,state,state,state]其中,state表是

一个逗号分割的列表,用来指定连接状态,4种:>NEW: 该包想要开始一个新的连接(重新连接或连接重定向)>RELATED:该包是属于某个已经

建立的连接所建立的新连接。举例:FTP的数据传输连接和控制连接之间就是RELATED关系。>ESTABLISHED:该包属于某个已经建立的连接。

>INVALID:该包不匹配于任何连接,通常这些包被DROP。例如:
(1)在INPUT链添加一条规则,匹配已经建立的连接或由已经建立的连接所建立

的新连接。即匹配所有的TCP回应包。#iptables -A INPUT -m state �Cstate  RELATED,ESTABLISHED
(2)在INPUT链链添加一条规则,匹配所

有从非eth0接口来的连接请求包。#iptables -A INPUT -m state  -�Cstate NEW -i !eth0又如,对于ftp连接可以使用下面的连接跟踪:
(1)被动(Passive)ftp连接模式。#iptables -A INPUT -p tcp �Csport  1024: �Cdport 1024: -m state �C-state ESTABLISHED -j

ACCEPT#iptables -A OUTPUT -p tcp �Csport 1024: �Cdport 1024: -mstate  -�Cstate ESTABLISHED,RELATED -j ACCEPT
(2)主动(Active)ftp连接模式#iptables -A INNPUT -p tcp �Csport  20 -m state �C-state ESTABLISHED,RELATED -j ACCEPT#iptables -A OUTPUT -p tcp

�COUTPUT -p tcp �Cdport 20 -m state �Cstate ESTABLISHED -j ACCEPT5)TOS匹配扩展。
四、设置目标扩展目标扩展由内核模块组成,而且

iptables的一个可选扩展提供了新的命令行选项





Iptables配置实例:

Iptables配置的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配IPTABLES之前,只有本机能上网。

Rh8.0的“系统设置”中有个“安全级别”,它主要是针对本机来说的,不能用它来配置iptables。打开“安全级别”,把它配成“无防火墙”级别。

为了配置、测试方便,可以先用“KWrite”编个“脚本”,采用“复制”、“粘贴”方式,把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。

打开“其他”―“辅助设施”中的“KWrite”,将下面的样本输入或粘贴到里面(其中,eth0eth1分别是外、内网卡):

echo "Enable IPForwarding..."

echo 1>/proc/sys/net/ipv4/ip_forward

echo "Starting iptablesrules..."

/sbin/modprobe iptable_filter

/sbin/modprobe ip_tables

/sbin/modprobe iptable_nat

/sbin/modprobe ip_nat_ftp ;支持被动FTP

/sbin/modprobe ip_conntrack_ftp ;

/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING

/sbin/modprobe ip_nat_h323 ;

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -F POSTROUTING -t nat

iptables -F PREROUTING -t nat

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A INPUT -i eth0 -m state --stateESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -jACCEPT

iptables -A FORWARD -i eth0 -m state--state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s192.168.0.0/24 -j MASQUERADE

/etc/rc.d/init.d/iptables restart

iptables -L

再另存为一个文件放到桌面上,便于使用。

在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUTFORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。

其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。

每次修改完后,将整篇语句全部复制,再粘贴到“终端”,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。

最后将整篇语句全部复制,再粘贴到“/etc/rc.d/rc.local”文件后面,你的配置开机后也可以自动执行了。


内容来自: 脚本之家www.jb51.net




#touch /etc/rc.d/firewall
# chmod u+x /etc/rc.d/firewall
# echo "/etc/rc.d/firewall" >> /etc/rc.d/rc.local
# vi /etc/rc.d/firewall
#!/bin/bash
echo "1" /proc/sys/net/ipv4/ip_forward
INET_IFACE="eth1"
INET_IP="10.19.51.182"
LAN_IFACE="eth0"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
IPT="/sbin/iptables"
SERVER="192.168.0.100"
DNS="192.168.0.99"
HTTP="80"
MAIL_SMTP="25"
MAIL_POP3="110"
DNS_PORT="53"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
for TABLE in filter nat mangle ; do
$IPT -t $TABLE -F
$IPT -t $TABLE -X
done
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}') ; do
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done
$IPT -A INPUT -p tcp --sport $HTTP -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_25 -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_110 -j ACCEPT
$IPT -A INPUT -p tcp --sport $DNS_PORT -j ACCEPT
$IPT -N LOGDENY
$IPT -A LOGDENY -j LOG --log-prefix "iptables:"
$IPT -A LOGDENY -j DROP
$IPT -A INPUT -i ! lo -m state --state NEW,INVALID -j LOGDENY
#if [ "$INET_IFACE" = ppp0 ] ; then
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
#else
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
#fi
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.25 -j SNAT --to $INET_IP

$IPT -t net -A PRERROUTING -p tcp -d$INET_IP --dport $HTTP \
-j DNAT --to $SERVER:$HTTP
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_25 \
-j DNAT --to $SERVER:$MAIL_25
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_110 \
-j DNAT --to $SERVER:$MAIL_110
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $DNS_PORT \
-j DNAT --to $DNS:$DNS_PORT
:wq
#/etc/rc.d/firewall





一个使用iptables配置NAT的实例

2008-07-15 10:41

本文介绍如何在linux系统上使用iptables建立NAT, 我们可以把它做为一个网关, 从而局域网的多台机器可以使用一个公开的ip地址连接外网. 我使用的方法是重写通过NAT系统IP包的源地址和目标地址.

准备:
 CPU: PII
或更高
系统: 任何Linux版本
软件: Iptables
网卡: 2块

想法:
用你的广域网IP替换xx.xx.xx.xx
用你的局域网IP替换yy.yy.yy.yy
 (比如: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8)

WAN = eth0 有一个外网ip地址 xx.xx.xx.xx
 LAN = eth1 有一个内网ip地址  yy.yy.yy.yy/ 255.255.0.0

过程:
步骤#1. 添加2块网卡到你的Linux系统.
步骤#2. 确认你的网卡是否正确安装:

ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l
结果输出应为”2″

步骤#3. 配置eth0, 使用外网ip地址(基于ip的外部网络或互连网)

cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
 BOOTPROTO=none
 BROADCAST=xx.xx.xx.255 #
附加选项
 HWADDR=00:50:BA:88:72:D4 # 附加选项
 IPADDR=xx.xx.xx.xx
 NETMASK=255.255.255.0 # ISP提供
 NETWORK=xx.xx.xx.0 # 可选
 ONBOOT=yes
 TYPE=Ethernet
 USERCTL=no
 IPV6INIT=no
 PEERDNS=yes
 GATEWAY=xx.xx.xx.1 # ISP提供

步骤#4. 配置eth1, 使用局域网地址(内部网络)

cat /etc/sysconfig/network-scripts/ifcfg-eth1

BOOTPROTO=none
 PEERDNS=yes
 HWADDR=00:50:8B:CF:9C:05 # Optional
 TYPE=Ethernet
 IPV6INIT=no
 DEVICE=eth1
 NETMASK=255.255.0.0 # Specify based on your requirement
 BROADCAST=”"
 IPADDR=192.168.2.1 # Gateway of the LAN
 NETWORK=192.168.0.0 # Optional
 USERCTL=no
 ONBOOT=yes

步骤#5. 配置主机 (可选)
 cat /etc/hosts
 127.0.0.1 nat localhost.localdomain localhost

步骤#6. 配置网关
 cat /etc/sysconfig/network

NETWORKING=yes
 HOSTNAME=nat
 GATEWAY=xx.xx.xx.1 #
互连网或外网网关, ISP提供

步骤#6. 配置DNS
 cat /etc/resolv.conf

nameserver 203.145.184.13 # 主DNS服务器, ISP提供
 nameserver 202.56.250.5 # 第二个DNS服务器, ISP提供

步骤#8. 使用IP Tables配置NAT
 # 删除刷新缺省表如”filter”, 其它表如”nat”需清楚标明:
 iptables �Cflush # 刷新所有过滤规则和NAT表.
 iptables �Ctable nat �Cflush
 iptables �Cdelete-chain

#删除所有非缺省的规则链和nat表
 iptables �Ctable nat �Cdelete-chain

#建立IP转发和伪装
 iptables �Ctable nat �Cappend POSTROUTING �Cout-interface eth0 -j MASQUERADE
 iptables �Cappend FORWARD �Cin-interface eth1 -j ACCEPT

#打开内核的包转发功能
 echo 1 > /proc/sys/net/ipv4/ip_forward

#应用iptables配置
 service iptables restart

步骤#9. 测试
 # 用一台客户机ping网关
 ping 192.168.2.1

然后测试能否访问外网:
 ping google.com

内部网络客户端的配置
局部办公网络的所有计算机把网关设置为linux(系统)网关的内网ip地址.
 DNS设置为ISP提供的DNS.
 Windows’95,2000,XP上的配置:

选择 “开始” -> “设置”  -> “控制面版”
选择 “网络” 图标
选择 “配置”, 然后双击以太网络的”TCP/IP”部分(不是TCP/IP  -> 拨号适配器)
然后输入:
 “网关”: 使用linux系统的内网ip地址.(192.168.2.1)
 “DNS配置”: 使用IPS提供的DNS地址. (通常使用互连网地址)
 “IP地址”: ip地址(192.168.XXX.XXX  - 静态)和掩码(小的本地办公网络通常使用255.255.0.0).



你可能感兴趣的:(网络,接口,防火墙,filter)