2. 程式人生 > >Linux之iptables

Linux之iptables

阿新 發佈:2018-05-28
LINUX iptables

防火墻的主要類別有:
1、netfilter
2、tcp wrappers
3、proxy

Linux的數據包過濾軟件:iptables
//規則的順序非常重要

三張表:filter、nat、mangle
五條鏈:input、output、forward、prerouting、postrouting

規則的查看與清除

iptables [-t tables] [-L] [-nv]
-t:nat/filter
-L:列出當前的規則
-n:不進行IP的反查,顯示速度快
-v:列出更多的信息

iptables-save [-t tables]
#列出完整的防火墻規則

iptables [-t tables] [-FXZ]
-F:清除所有已制定的規則
-X:除掉所有用戶自定義的chain(tables)
-Z:清零所有chain的計數和流量統計

定義默認策略

iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]

語法:

[root@www ~]# iptables [-AI [INPUT|OUTPUT|FOREARD...]] [-io [eth0|eth1...]] > [-p [tcp|udp|icmp...]] [-s [sip|net]] [-d [dip|net]] -j [ACCEPT|DROP|REJECT|LOG]

--sport、--dport

[-m state] [--state 狀態]

[-m mac] [--mac-source xxx]

iptables設置腳本:
1、清除已有規則
2、制定默認策略
3、設置各項規則
4、保存

#!/bin/bash

# 請先輸入相關參數,不要輸入錯誤

EXTIF="eth0"  # 這個是可以來你上public ip 的網絡接口
INIF="eth1"   #內部LAN 的網絡連接,若無則寫成 INIF=""
INNET="192.168.100.0/24"   # 若無內網絡接口,請填寫 INNET=""
export EXTIF INIF INNEF 

# 第一部分,針對本機的防火墻設置

# 1 . 先設置好內核的網絡功能

echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4icmp_echo_ignore_broadcasts
for i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians}; do
    echo "1" > $i
done
for i in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,send_redirects}; do
    echo "0" > $i
done

# 2 . 清除規則、設置默認策略及開放 lo 與相關的設置值

PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin; export PATH
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FPRWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -nm state -state RELATED,ESTABLISHED -j ACCEPT

# 3 . 啟動額外的防火墻script模塊

if [ -f /usr/local/virus/iptables/iptables.deny ]; then
    sh /usr/local/virus/iptables/iptables.deny
fi 
if [ -f /usr/local/virus/iptables/iptables.allow ]; then 
    sh /usr/local/virus/iptables/iptables.allow
fi
if [ -f /usr/local/virus/iptables/iptables.http ]; then 
    sh  /usr/local/virus/iptables/iptables.http
fi

# 4 . 允許某些類型的 ICMP 數據包進入

AICMP ="0 3 3/4 11 12 14 16 18"
for tyicmp in $AICMP
do 
    iptables -A INPUT -i #EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT
done

# 5 . 允許某些服務的進入,,請依照自己的環境開啟

# iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65535 -j ACCEPT # FTP
# iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65535 -j ACCEPT # SSH
# iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65535 -j ACCEPT # SMTP
# iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65535 -j ACCEPT # DNS
# iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65535 -j ACCEPT # DNS
# iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65535 -j ACCEPT # WWW
# iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65535 -j ACCEPT # POP3
# iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65535 -j ACCEPT # HTTPS

# 第二部分,針對後端主機的防火墻設置

# 1 . 先加載一些有用的模塊

modules="ip_tables iptables_nat ip_nat_ftp ip_nat-irc ip_conntrack ip_conntrack_ftp ip_conntrack_irc"
for mod in $modules
do
    testmod=`lsmod | grep "^${mod} " | awk ‘{print $1}‘`
    if [ "$testmod" == "" ]; then
        modprobe $mod
    fi

# 2 . 清除 NAT table 的規則

iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# 3 . 若有內部接口的存在(雙網卡)開放成為路由器,且為IP分享器

if [ "$INIF" != "" ]; then
    iptables -A INPUT -i $INIF -j ACCEPT
    echo "1" > /proc/sys/net/ipv4/ip_forward
        if [ "$INIET" != "" ]; then 
            for innet in $INNET
            do
                iptables -r nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
            done
        fi
fi
# 如果你的 MSN 一直無法連接,或者是某些網站 OK 某些網站不 OK ,可能是 MTU 的問題,那可以將下面這行取消批註,來啟動 MTU 的範圍
iptables -A FORWARD -p tcp  -m tcp --tcp-flags STN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
# 4 . NAT 服務器後端的 LAN 內對外值服務器設置
iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 80 -j DNAT --tp-description 192.168.1.210:80   #WWW
# 5 . 特殊的功能,包括 windows 遠程桌面產生的規則,假設桌面主機為 1.2.3.4
# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --dport 6000 -j DNAT --to-description 192.168.100.10
# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --sport 3389 -j DNAT --to-description 192.168.100.20

# 6 . 最後將這些功能存儲下來

/etc/init.d/iptables save

Linux之iptables

相關推薦

Linuxiptables

LINUX iptables 防火墻的主要類別有:1、netfilter2、tcp wrappers3、proxy Linux的數據包過濾軟件:iptables//規則的順序非常重要 三張表:filter、nat、mangle五條鏈:input、output、forward、prerouting、po

Linuxiptables(四、網絡防火墻及NAT)

ipad entos centos 註意 put oca -s 網絡訪問 network 網絡防火墻 iptables/netfilter網絡防火墻: (1) 充當網關 (2) 使用filter表的FORWARD鏈 註意的問題: (1) 請求-響應報文均會經由

Linuxiptables(六、rich規則)

允許 permanent -- 生效 基本 最大 ipv6 strong tables 其它規則 當基本firewalld語法規則不能滿足要求時,可以使用以下更復雜的規則 rich-rules 富規則,功能強,表達性語言 Direct configuration

linuxiptables應用詳解

iptables應用主要包括主機防火牆和網路防火牆 主機防火牆詳解(服務範圍當前主機):         iptables其規則主要作用在“匹配條件”上,具體為各種模組 icmp模組 --icmp-type     

linuxiptables 基礎詳解

一、簡介        iptables是Linux系統上的防火牆,是一個包過濾型的防火牆,能夠根據事先定義好的檢查規則對進出本機或者本地網路的報文進行匹配檢查,並對於能夠被規則匹配的報文作出相應的處理動作。iptables有五個內建規則鏈(名稱需大寫),

linuxiptables中PREROUTING與POSTROUTING關係

PREROUTING 和 POSTROUTING 的簡單關係 源地址傳送資料--> {PREROUTING-->路由規則-->POSTROUTING} -->目的地址接收到資料 當你使用:iptables -t nat -A PREROUTING -i eth1 -d 1

LinuxIptables防火牆相關概念和基本操作

iptables概念 一、 iptables的前身叫ipfirewall(核心1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在核心當中的,對資料包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進核心當中,這樣規則才能

Embeded linux移植iptables

trace link 分享 http 條件 技術分享 tin sha required 一、內核環境: linux-3.4.35 -*- Networking support --->   Networking options --->     [*] Ne

Linux防火墻iptables參數

iptablesiptables命令參數1、清理參數[[email protected]~]# /etc/init.d/iptables start 啟動iptables[[email protected]~]# /etc/init.d/iptables status 查看iptables

Linux防火墻iptables

filter iptables 防火墻 簡 述 Linux的防火墻主要工作在網絡層,針對TCP/IP數據包實施過濾和限制,屬於典型的包過濾防火墻(或稱為網絡層防火墻)。Linux系統的防火墻體系基於內核編碼實現,具有非常穩定的性能和極高的效率。 Netfilter與iptables的關系 Net

Linux 使用iptables作為防火墻

linux服務 轉發 nat表 oss sta round 興趣 sysctl margin 上面左邊是我的個人微信,如需進一步溝通,請加微信。 右邊是我的公眾號“Openstack私有雲”,如有興趣,請關註。 近期朋友一個防火墻故障,在緊急情況下,將外網專線插

Linux C++ 區域網訪問外網ip、埠iptables配置

第一步:安裝iptables yum install -y iptables yum install -y iptables-services 第二步:配置埠對映 1.將所有網段轉發至路由機公網ip(動態): iptables -t nat -A POSTROUTING -o e

linux中的防火牆iptables

1、相關概念: 規則:其實就是管理員預設定的的條件,規則儲存在核心空間的資訊過濾表中,這些規則分別指定了源地址,目的地址,傳輸協議及服務型別等所有待檢查資料包的特徵和目標。當資料包與規則不匹配時,將該

【原創】Linux基礎iptables

target port tab tor 之前 con 一個 設置 man iptables 1.4.21 官方:https://www.netfilter.org/projects/iptables/index.html iptables is the user

安卓app限制上網——Linux防火牆Iptables新手教程

首先我們要弄明白,防火牆將怎麼對待 這些資料包。這些資料包會經過一些相應的規則鏈,比如要進入你的計算機的資料包會首先進入INPUT鏈,從我們的計算機發出的資料包會經過 OUTPUT鏈,如果一臺計算機做一個網路的閘道器(處於內網和外網兩個網路連線的兩臺計算機,這兩臺計算機之

Linux防火牆iptables入門

一、防火牆的概念   什麼是防火牆?防火牆是一臺或一組裝置,用以在網路間實施訪問控制策略;事實上一個防火牆能夠包含OSI模型中的很多層,並且可能會涉及進行資料包過濾的裝置,它可以實施資料包檢查和過濾,在更高的層次中對某應用程式實現某一策略,或做更多類似的事情。防火牆的功能主要是隔離功能,工作在網路或主機邊緣,

Linux防火牆iptables常用擴充套件匹配條件(一)

  上一篇博文講了iptables的基本匹配條件和隱式匹配條件,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12269717.html;今天在來說說iptabels的一些常用的顯示擴充套件匹配條件,所謂顯示擴充套件匹配條件?顯示擴充套件匹配條件就是我們需要用到一些擴充

Linux防火牆iptables常用擴充套件匹配條件(二)

  上一篇博文我們講到了iptables的一些常用的擴充套件匹配模組以及擴充套件模組的一些選項的說明,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12273755.html;今天再來說說剩下的幾個比較長用的擴充套件模組。   1、limit,此模組主要是基於收發報文段

Linux防火牆iptables常用擴充套件處理動作

  前文我們講了iptables的擴充套件匹配,一些常用的擴充套件模組以及它的專有選項的使用和說明,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12285152.html;今天我們來說說iptables的處理動作;iptables的處理動作分基本處理動作和擴充套件處理

linuxSQL語句簡明教程---主鍵,外來鍵

兩個 drop 表格 教程 ref double last http 舉例 主鍵 (Primary Key) 中的每一筆資料都是表格中的唯一值。換言之。它是用來獨一無二地確認一個表格中的每一行資料。主鍵能夠是原本資料內的一個欄位。或是一個人造欄位 (與原本資料沒有關系的