iptables配置实例

iptables配置实例

iptables 基本命令使用举例一、链的基本操作  1、清除所有的规则。  1）清除预设表filter中所有规则链中的规则。  # iptables -F  2）清除预设表filter中使用者自定链中的规则。  #iptables -X  #iptables -Z  2、设置链的默认策略。一般有两种方法。  1）首先允许所有的包，然后再禁止有危险的包通过放火墙。  #iptables -P INPUT ACCEPT  #iptables -P OUTPUT ACCEPT  #iptables -P FORWARD ACCEPT  2） 首先禁止所有的包，然后根据需要的服务允许特定的包通过防火墙。  #iptables -P INPUT DROP  #iptables -P OUTPUT DROP  #iptables -P FORWARD DROP  3、列出表/链中的所有规则。默认只列出filter表。  #iptables -L  4、向链中添加规则。下面的语句用于开放网络接口：  #iptables -A INPUT -i lo -j ACCEPT  #iptables -A OUTPUT -o lo -j ACCEPT  #iptables -A INPUT -i eth0 -j ACEPT  #iptables -A OUTPUT -o eth1 -j ACCEPT  #iptables -A FORWARD -i eth1 -j ACCEPT  #iptables -A FORWARD -0 eth1 -j ACCEPT 注意:由于本地进程不会经过FORWARD链，因此回环接口lo只在INPUT和OUTPUT两个链上作用。  5、使用者自定义链。#iptables -N custom#iptables -A custom -s  0/0 -d 0/0 -p icmp -j DROP#iptables -A INPUT -s 0/0 -d 0/0 -j DROP 二、设置基本的规则匹配  1、指定协议匹配。  1）匹配指定协议。#iptables -A INPUT -p tcp  2）匹配指定协议之外的所有协议。#iptables -A INPUT -p !tcp  2、指定地址匹配。  1）指定匹配的主机。#iptables -A INPUT -s 192.168.0.18  2）指定匹配的网络。#iptables -A INPUT -s 192.168.2.0/24  3）匹配指定主机之外的地址。#iptables -A FORWARD -s !192.168.0.19  4）匹配指定网络之外的网络。#iptables -A FORWARD -s !  192.168.3.0/24  3、指定网络接口匹配。  1）指定单一的网络接口匹配。  #iptables -A INPUT -i eth0  #iptables -A FORWARD -o eth0  2）指定同类型的网络接口匹配。#iptables -A FORWARD -o ppp+  4、指定端口匹配。  1）指定单一端口匹配。#iptables -A INPUT -p tcp �Csport www  #iptables -A INPUT -p udp �Cdport 53  2）匹配指定端口之外的端口。#iptables -A INPUT -p tcp �Cdport !22  3）匹配端口范围。#iptables -A INPUT -p tcp �Csport 22:80  4）匹配ICMP端口和ICMP类型。#iptables -A INOUT -p icmp �Cicimp-type 8  5）指定ip碎片。每个网络接口都有一个MTU（最大传输单元），这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数 值时，系统会将其划分成更小的数据包（称为ip碎片）来传输，而接受方则对这些ip碎片再进行重组以还原整个包。这样会导致一个问题：当 系统将大数据包划分成ip碎片传输时，第一个碎片含有完整的包头信息（IP+TCP、UDP和ICMP），但是后续的碎片只有包头的部分信息（如源地 址、目的地址）。因此，检查后面的ip碎片的头部（象有TCP、UDP和ICMP一样）是不可能的。假如有这样的一条规则：  #iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 �Cdport 80 -j  ACCEPT并且这时的FORWARD的policy为DROP时，系统只 会让第一个ip碎片通过，而余下的碎片因为包头信息不完整而无法通过。可以通过―fragment/-f  选项来指定第二个及以后的ip碎片解决上述 问题。  #iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT注意现在有许多进行ip碎片攻击的实例，如DoS攻击，因此允许ip 碎片通过是有安全隐患的，对于这一点可以采用iptables的匹配扩展来进行限制。 三、设置扩展的规则匹配（举例已忽略目标动作）  1、多端口匹配。  1）匹配多个源端口。#iptables -A INPUT -p tcp -m multiport  �Csport 22,53,80,1102） 匹配多个目的端口。#iptables -A INPUT -p tcp -m multiport  �Cdpoort 22,53,803） 匹配多端口(无论是源端口还是目的端口）#iptables  -A INPUT -p tcp -m multiport �Cport 22,53,80,1102、 指定TCP匹配扩展使用 �Ctcp-flags 选项可以根据tcp包的标志位进行过滤。  #iptables -A INPUT -p tcp �Ctcp-flags SYN,FIN,ACK SYN  #iptables -A FROWARD -p tcp �Ctcp-flags ALL SYN,ACK上实例中第一个表示SYN、ACK、FIN的标志都检查，但是只有SYN匹配。 第二个表示ALL（SYN，ACK，FIN，RST，URG，PSH）的标志都检查，但是只有设置了SYN和ACK的匹配。#iptables  -A FORWARD -p tcp �Csyn选 项―syn相当于”�Ctcp-flags SYN,RST,ACK SYN”的简写。  3、limit速率匹配扩展。1）指定单位时间内允许通过的数据包个数，单位时间可以是/second、/minute、/hour、/day或使用第一个子母。 #iptables -A INPUT -m limit �Climit 300/hour  2 )指定触发事件的阀值。#iptables -A INPUT -m  limit �Climit-burst 10用来比对一次同时涌入的封包是否超过10个，超过此上限的包将直 接丢弃。  3）同时指定速率限制和触发阀值。  #iptables -A INPUT -p icmp -m limit �C-limit 3/m �Climit-burst 3 表示每分钟允许的最大包数量为限制速率（本例为3）加上当前的触发阀值burst数。任何情况下，都可保证3个数据包通过，触发阀值burst相 当于允许额外的包数量。  4）基于状态的匹配扩展（连接跟踪）每个网络连接包括以下信息：源地址、目标地址、源端口、目的端口，称为套接字对（socket pairs）； 协议类型、连接状态（TCP协议）和超时时间等。防火墙把这些信息称为状态（stateful）。状态包过滤防火墙能在内存中维护一个跟踪状态的 表，比简单包过滤防火墙具有更大的安全性，命令格式如下：iptables -m state �C-state [!]state [,state,state,state]其中，state表是 一个逗号分割的列表，用来指定连接状态，4种：>NEW: 该包想要开始一个新的连接（重新连接或连接重定向）>RELATED:该包是属于某个已经 建立的连接所建立的新连接。举例：FTP的数据传输连接和控制连接之间就是RELATED关系。>ESTABLISHED：该包属于某个已经建立的连接。 >INVALID:该包不匹配于任何连接，通常这些包被DROP。例如： （1）在INPUT链添加一条规则，匹配已经建立的连接或由已经建立的连接所建立 的新连接。即匹配所有的TCP回应包。#iptables -A INPUT -m state �Cstate  RELATED,ESTABLISHED （2）在INPUT链链添加一条规则，匹配所 有从非eth0接口来的连接请求包。#iptables -A INPUT -m state  -�Cstate NEW -i !eth0又如，对于ftp连接可以使用下面的连接跟踪： （1）被动（Passive）ftp连接模式。#iptables -A INPUT -p tcp �Csport  1024: �Cdport 1024: -m state �C-state ESTABLISHED -j ACCEPT#iptables -A OUTPUT -p tcp �Csport 1024: �Cdport 1024: -mstate  -�Cstate ESTABLISHED,RELATED -j ACCEPT （2）主动（Active）ftp连接模式#iptables -A INNPUT -p tcp �Csport  20 -m state �C-state ESTABLISHED,RELATED -j ACCEPT#iptables -A OUTPUT -p tcp �COUTPUT -p tcp �Cdport 20 -m state �Cstate ESTABLISHED -j ACCEPT5）TOS匹配扩展。 四、设置目标扩展目标扩展由内核模块组成，而且 iptables的一个可选扩展提供了新的命令行选项

Iptables配置实例:

Iptables配置的目的，一个是防止公网的入侵，一个是让内网的兄弟们上网。在没配IPTABLES之前，只有本机能上网。

Rh8.0的“系统设置”中有个“安全级别”，它主要是针对本机来说的，不能用它来配置iptables。打开“安全级别”，把它配成“无防火墙”级别。

为了配置、测试方便，可以先用“KWrite”编个“脚本”，采用“复制”、“粘贴”方式，把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。

打开“其他”―“辅助设施”中的“KWrite”，将下面的样本输入或粘贴到里面（其中，eth0、eth1分别是外、内网卡）：

echo "Enable IPForwarding..."

echo 1>/proc/sys/net/ipv4/ip_forward

echo "Starting iptablesrules..."

/sbin/modprobe iptable_filter

/sbin/modprobe ip_tables

/sbin/modprobe iptable_nat

/sbin/modprobe ip_nat_ftp ;支持被动FTP

/sbin/modprobe ip_conntrack_ftp ;

/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING

/sbin/modprobe ip_nat_h323 ;

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -F POSTROUTING -t nat

iptables -F PREROUTING -t nat

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A INPUT -i eth0 -m state --stateESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -jACCEPT

iptables -A FORWARD -i eth0 -m state--state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s192.168.0.0/24 -j MASQUERADE

/etc/rc.d/init.d/iptables restart

iptables -L

再另存为一个文件放到桌面上，便于使用。

在这个配置里面，INPUT和转发FORWARD功能的缺省值都是拒绝（DROP），这意味着在后面的INPUT和FORWARD语句中没有表明通过（ACCEPT）的都将被拒之门外。这是一个最好的安全模式，经过使用赛门铁克的在线测试，所有公网端口都是隐藏的。注意，所有内网端口都是打开的，本机对内没有安全可言。

其它的语句我就不多说了，最后一句是显示配置执行后的链路结果。

每次修改完后，将整篇语句全部复制，再粘贴到“终端”，它将自动配置、启动、显示一次。反复修改、测试，直到达到你的要求。

最后将整篇语句全部复制，再粘贴到“/etc/rc.d/rc.local”文件后面，你的配置开机后也可以自动执行了。

内容来自: 脚本之家www.jb51.net

#touch /etc/rc.d/firewall
# chmod u+x /etc/rc.d/firewall
# echo "/etc/rc.d/firewall" >> /etc/rc.d/rc.local
# vi /etc/rc.d/firewall
#!/bin/bash
echo "1" /proc/sys/net/ipv4/ip_forward
INET_IFACE="eth1"
INET_IP="10.19.51.182"
LAN_IFACE="eth0"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
IPT="/sbin/iptables"
SERVER="192.168.0.100"
DNS="192.168.0.99"
HTTP="80"
MAIL_SMTP="25"
MAIL_POP3="110"
DNS_PORT="53"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
for TABLE in filter nat mangle ; do
$IPT -t $TABLE -F
$IPT -t $TABLE -X
done
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}') ; do
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done
$IPT -A INPUT -p tcp --sport $HTTP -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_25 -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_110 -j ACCEPT
$IPT -A INPUT -p tcp --sport $DNS_PORT -j ACCEPT
$IPT -N LOGDENY
$IPT -A LOGDENY -j LOG --log-prefix "iptables:"
$IPT -A LOGDENY -j DROP
$IPT -A INPUT -i ! lo -m state --state NEW,INVALID -j LOGDENY
#if [ "$INET_IFACE" = ppp0 ] ; then
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
#else
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
#fi
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.25 -j SNAT --to $INET_IP

$IPT -t net -A PRERROUTING -p tcp -d$INET_IP --dport $HTTP \
-j DNAT --to $SERVER:$HTTP
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_25 \
-j DNAT --to $SERVER:$MAIL_25
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_110 \
-j DNAT --to $SERVER:$MAIL_110
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $DNS_PORT \
-j DNAT --to $DNS:$DNS_PORT
:wq
#/etc/rc.d/firewall

一个使用iptables配置NAT的实例

2008-07-15 10:41

本文介绍如何在linux系统上使用iptables建立NAT, 我们可以把它做为一个网关, 从而局域网的多台机器可以使用一个公开的ip地址连接外网. 我使用的方法是重写通过NAT系统IP包的源地址和目标地址. 准备:  CPU: PII或更高 系统: 任何Linux版本 软件: Iptables 网卡: 2块 想法: 用你的广域网IP替换xx.xx.xx.xx 用你的局域网IP替换yy.yy.yy.yy  (比如: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) WAN = eth0 有一个外网ip地址 xx.xx.xx.xx  LAN = eth1 有一个内网ip地址  yy.yy.yy.yy/ 255.255.0.0 过程: 步骤#1. 添加2块网卡到你的Linux系统. 步骤#2. 确认你的网卡是否正确安装: ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l 结果输出应为”2″ 步骤#3. 配置eth0, 使用外网ip地址(基于ip的外部网络或互连网) cat /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0  BOOTPROTO=none  BROADCAST=xx.xx.xx.255 # 附加选项  HWADDR=00:50:BA:88:72:D4 # 附加选项  IPADDR=xx.xx.xx.xx  NETMASK=255.255.255.0 # ISP提供  NETWORK=xx.xx.xx.0 # 可选  ONBOOT=yes  TYPE=Ethernet  USERCTL=no  IPV6INIT=no  PEERDNS=yes  GATEWAY=xx.xx.xx.1 # ISP提供 步骤#4. 配置eth1, 使用局域网地址(内部网络) cat /etc/sysconfig/network-scripts/ifcfg-eth1 BOOTPROTO=none  PEERDNS=yes  HWADDR=00:50:8B:CF:9C:05 # Optional  TYPE=Ethernet  IPV6INIT=no  DEVICE=eth1  NETMASK=255.255.0.0 # Specify based on your requirement  BROADCAST=”"  IPADDR=192.168.2.1 # Gateway of the LAN  NETWORK=192.168.0.0 # Optional  USERCTL=no  ONBOOT=yes 步骤#5. 配置主机 (可选)  cat /etc/hosts  127.0.0.1 nat localhost.localdomain localhost 步骤#6. 配置网关  cat /etc/sysconfig/network NETWORKING=yes  HOSTNAME=nat  GATEWAY=xx.xx.xx.1 # 互连网或外网网关, ISP提供 步骤#6. 配置DNS  cat /etc/resolv.conf nameserver 203.145.184.13 # 主DNS服务器, ISP提供  nameserver 202.56.250.5 # 第二个DNS服务器, ISP提供 步骤#8. 使用IP Tables配置NAT  # 删除刷新缺省表如”filter”, 其它表如”nat”需清楚标明:  iptables �Cflush # 刷新所有过滤规则和NAT表.  iptables �Ctable nat �Cflush  iptables �Cdelete-chain #删除所有非缺省的规则链和nat表  iptables �Ctable nat �Cdelete-chain #建立IP转发和伪装  iptables �Ctable nat �Cappend POSTROUTING �Cout-interface eth0 -j MASQUERADE  iptables �Cappend FORWARD �Cin-interface eth1 -j ACCEPT #打开内核的包转发功能  echo 1 > /proc/sys/net/ipv4/ip_forward #应用iptables配置  service iptables restart 步骤#9. 测试  # 用一台客户机ping网关  ping 192.168.2.1 然后测试能否访问外网:  ping google.com 内部网络客户端的配置 局部办公网络的所有计算机把网关设置为linux(系统)网关的内网ip地址.  DNS设置为ISP提供的DNS.  Windows’95,2000,XP上的配置: 选择 “开始” -> “设置”  -> “控制面版” 选择 “网络” 图标 选择 “配置”, 然后双击以太网络的”TCP/IP”部分(不是TCP/IP  -> 拨号适配器) 然后输入:  “网关”: 使用linux系统的内网ip地址.(192.168.2.1)  “DNS配置”: 使用IPS提供的DNS地址. (通常使用互连网地址)  “IP地址”: ip地址(192.168.XXX.XXX  - 静态)和掩码(小的本地办公网络通常使用255.255.0.0).