CentOS下配置iptables防火墻

1、在Linux中設(shè)置防火墻，以 CentOS為例，打開(kāi)iptables 的配置文件：1. vi /etc/sysconfig/iptables2.通過(guò) /etc/init.d/iptables status命令查詢(xún)是否有打開(kāi) 80 端口，如果沒(méi)有可通過(guò)兩種方式處理：1. 修改 vi /etc/sysconfig/iptables命令添加使防火墻開(kāi)放 80 端口1. -A RH-Firewall-1-INPUT -m state -state NEW -m tcp -p tcp-dport 80 -j ACCEPT2.2. 關(guān)閉 /開(kāi)啟/重啟防火墻1. /etc/init.d/iptables s

2、top2.2. #start 開(kāi)啟4.3. #restart 重啟6.3. 永久性關(guān)閉防火墻1. chkconfig -level 35 iptables off2.2. /etc/init.d/iptables stop4.3. iptables -P INPUT DROP6.4. 打開(kāi)主動(dòng)模式 21 端口1. iptables -A INPUT -p tcp -dport 21 -j ACCEPT2.5. 打開(kāi)被動(dòng)模式 4915265534 之間的端口1. iptables -A INPUT -p tcp -dport 49152:65534 -j ACCEPT2.2. iptables

3、-A INPUT -i lo -j ACCEPT4.3. iptables -A INPUT -m state -state ESTABLISHED -j ACCEPT6.注意： 一定要給自己留好后路，留VNC 個(gè)管理端口和 SSh的管理端口需要注意的是，你必須根據(jù)自己服務(wù)器的情況來(lái)修改這個(gè)文件。 全部修改完之后重啟 iptables:service iptables restart你可以驗(yàn)證一下是否規(guī)則都已經(jīng)生效：iptables -Lcentos IPTables 配置方法如下 :一、需要的命令：查看配置情況 iptables -L -n記得保存 /etc/init.d/iptables

4、save添加 in put 記錄 iptables -A INPUT -p tcp- dport 22 -j ACCEPT添加 output 記錄 iptables -A OUTPUT -p tcp - sport 22 -j ACCEPT 一些軟件的默認(rèn)端口：ftp 用到端口是 20 21ssh 端口是 22http 端口是 80telnet 端口是 23rsync 端口是 873svn 端口 3690pop3 端口 110smtp 端口 25dns 端口 53mysql 端口 3306 nfs 端口 111 大概常用的就這些，其他的可查看具體軟件 1、查看本機(jī)關(guān)于 IPTABLES 的設(shè)置

5、情況 roottp # iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEP

6、T all /0 /0 ACCEPT icmp /0 /0 icmp type 255 ACCEPT esp /0 /0 ACCEPT ah /0 /0ACCEPT udp /0 51 udp dpt:5353ACCEPT udp /0 /0 udp dpt:631ACCEPT all /0 /0 state RELATED,ESTABLISHEDACCEPT tcp /0 0.0.

7、0.0/0 state NEW tcp dpt:22ACCEPT tcp /0 /0 state NEW tcp dpt:80ACCEPT tcp /0 /0 state NEW tcp dpt:25REJECT all /0 /0 reject-with icmp-host-prohibited 可以看出我在安裝 linux 時(shí), 選擇了有防火墻 ,并且開(kāi)放了 22,80,25 端口 .如果你在安裝 linux 時(shí)沒(méi)有選擇啟動(dòng)防火墻 , 是這樣的roottp # iptables -L -nChain INP

8、UT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination 什么規(guī)則都沒(méi)有 .2、清除原有規(guī)則 ., 那就清除現(xiàn)在不管你在安裝 linux 時(shí)是否啟動(dòng)了防火墻 , 如果你想配置屬于自己的防火墻 filter 的所有規(guī)則 .roottp # iptables -F清除預(yù)設(shè)表 filter 中的所有規(guī)則鏈的

9、規(guī)則roottp # iptables -X清除預(yù)設(shè)表 filter 中使用者自定鏈中的規(guī)則我們?cè)趤?lái)看一下roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么都沒(méi)有了吧 , 和我們?cè)诎惭b linux 時(shí)沒(méi)有啟動(dòng)防火墻是一樣的 .（

10、 提前說(shuō)一句 , 這些配置 就像用命令配置 IP 一樣, 重起就會(huì)失去作用 ）, 怎么保存 .roottp # /etc/rc.d/init.d/iptables save這樣就可以寫(xiě)到 /etc/sysconfig/iptables 文件里了 . 寫(xiě)入后記得把防火墻重起一下 , 才能 起作用 .roottp # service iptables restart現(xiàn)在IPTABLES配置表里什么配置都沒(méi)有了，那我們開(kāi)始我們的配置吧。3、設(shè)定預(yù)設(shè)規(guī)則roottp # iptables -p INPUT DROProottp # iptables -p OUTPUT ACCEPTroottp # i

11、ptables -p FORWARD DROP上面的意思是,當(dāng)超出了 IPTABLES里filter 表里的兩個(gè)鏈規(guī)則 （INPUT,FORWARD時(shí),不在這 兩個(gè)規(guī)則里的數(shù)據(jù)包怎么處理呢，那就是DROP放棄）.應(yīng)該說(shuō)這樣配置是很安全的我們要 控制流入數(shù)據(jù)包而對(duì)于OUTPUT鏈,也就是流出的包我們不用做太多限制，而是采取ACCEPT,也就是說(shuō)，不在著個(gè)規(guī)則里的包怎么辦呢 , 那就是通過(guò) .可以看出INPUT,FORWAR兩個(gè)鏈采用的是允許什么包通過(guò)，而OUTPUT鏈采用的是不允許什么包通過(guò) .這樣設(shè)置還是挺合理的，當(dāng)然你也可以三個(gè)鏈都 DROP但這樣做我認(rèn)為是沒(méi)有必要的 ，而且 要寫(xiě)的規(guī)則就會(huì)

12、增加但如果你只想要有限的幾個(gè)規(guī)則是 ，如只做 WEB服務(wù)器.還是推薦三個(gè) 鏈都是 DROP.注：如果你是遠(yuǎn)程SSH登陸的話(huà)，當(dāng)你輸入第一個(gè)命令回車(chē)的時(shí)候就應(yīng)該掉了因?yàn)槟銢](méi)有設(shè)置任何規(guī)則 .怎么辦 ， 去本機(jī)操作唄 !4、添加規(guī)則 .首先添加INPUT鏈,INPUT鏈的默認(rèn)規(guī)則是 DROP所以我們就寫(xiě)需要 ACCETP通過(guò)）的鏈為了能采用遠(yuǎn)程 SSH登陸，我們要開(kāi)啟22端口 .roottp # iptables -A INPUT -p tcp-dport 22 -j ACCEPTroottp # iptables -A OUTPUT -p tcp- sport 22 -j ACCEPT （注：這

13、個(gè)規(guī)則,如果你把OUTPUT設(shè)置成DROP勺就要寫(xiě)上這一部，好多人都是望了寫(xiě)這一部規(guī)則導(dǎo)致，始終無(wú)法SSH.在遠(yuǎn)程一下 , 是不是好了 .其他的端口也一樣，如果開(kāi)啟了 web服務(wù)器OUTPUT設(shè)置成DRO啲話(huà)，同樣也要添加一條鏈：roottp # iptables -A OUTPUT -p tcp- sport 80 -j ACCEPT ,其他同理.）如果做了 WEB服務(wù)器，開(kāi)啟80端口 .roottp # iptables -A INPUT -p tcp- dport 80 -j ACCEPT如果做了郵件服務(wù)器 ， 開(kāi)啟 25，110 端口 .roottp # iptables -A INP

14、UT -ptcp-dport 110 -j ACCEPTroottp # iptables -A INPUT -ptcp-dport 25 -j ACCEPT如果做了 FTP服務(wù)器，開(kāi)啟21端口roottp # iptables -A INPUT -ptcp-dport 21 -j ACCEPTroottp # iptables -A INPUT -ptcp-dport 20 -j ACCEPT如果做了 DNS服務(wù)器，開(kāi)啟53端口roottp # iptables -A INPUT -p tcp- dport 53 -j ACCEPT如果你還做了其他的服務(wù)器 ，需要開(kāi)啟哪個(gè)端口 ，照寫(xiě)就行了

15、.上面主要寫(xiě)的都是INPUT鏈，凡是不在上面的規(guī)則里的，都DROP允許 icmp 包通過(guò) ， 也就是允許 ping，roottp # iptables -A OUTPUT -p icmp -j ACCEPT （OUTPUT設(shè)置成 DROP的話(huà)）roottp # iptables -A INPUT -p icmp -j ACCEPT （INPUT設(shè)置成 DROP的話(huà)）允許loopback!（不然會(huì)導(dǎo)致DNS無(wú)法正常關(guān)閉等問(wèn)題）IPTABLES -A INPUT -i lo -p all -j ACCEPT （如果是 INPUT DROP）IPTABLES -A OUTPUT -o lo -p a

16、ll -j ACCEPT（如果是 OUTPUT DROP）下面寫(xiě)OUTPUT鏈OUTPUT鏈默認(rèn)規(guī)則是 ACCEPT所以我們就寫(xiě)需要 DROP放棄 ）的鏈.、減少不安全的端口連接roottp # iptables -A OUTPUT -p tcp-sport 31337 -j DROProottp # iptables -A OUTPUT -p tcp- dport 31337 -j DROP有些些特洛伊木馬會(huì)掃描端口 31337 到 31340（ 即黑客語(yǔ)言中的 elite 端口）上的服務(wù)。既 然合法服務(wù)都不使用這些非標(biāo)準(zhǔn)端口來(lái)通信 , 阻塞這些端口能夠有效地減少你的網(wǎng)絡(luò)上可能 被感染的機(jī)器

17、和它們的遠(yuǎn)程主服務(wù)器進(jìn)行獨(dú)立通信的機(jī)會(huì)還有其他端口也一樣 ,像:31335 、27444、27665、20034 NetBus、9704、137-139（smb）,2049（NFS） 端口也應(yīng)被禁止 , 我在這寫(xiě)的也不全 , 有興趣的朋友應(yīng)該去查一下相關(guān)資料 .當(dāng)然出入更安全的考慮你也可以包OUTPUT!設(shè)置成DROP那你添加的規(guī)則就多一些，就像上邊添加允許SSH登陸一樣照著寫(xiě)就行了 .下面寫(xiě)一下更加細(xì)致的規(guī)則 ， 就是限制到某臺(tái)機(jī)器如：我們只允許 的機(jī)器進(jìn)行SSH連接roottp # iptables -A INPUT -s -p tcp- dp

18、ort 22 -j ACCEPT如果要允許 ， 或限制一段 IP 地址可用 /24 表示 -255 端的所有 IP.24 表示子網(wǎng)掩碼數(shù) . 但要記得把 /etc/sysconfig/iptables里的這一行刪了 .-A INPUT -p tcp -m tcp - dport 22 -j ACCEPT因?yàn)樗硎舅械刂范伎梢缘顷懟虿捎妹罘绞?：roottp # iptables -D INPUT -p tcp- dport 22 -j ACCEPT然后保存 ，我再說(shuō)一邊 ，反是采用命令的方式 ，只在當(dāng)時(shí)生效 ，如果想要重起后也起作用 ，那就 要保

19、存 . 寫(xiě)入到 /etc/sysconfig/iptables 文件里 .roottp # /etc/rc.d/init.d/iptables save這樣寫(xiě) ! 表示除了 的 ip 地址其他的規(guī)則連接也一樣這么設(shè)置 .在下面就是FORWAR鏈,FORWAR鏈的默認(rèn)規(guī)則是 DROP所以我們就寫(xiě)需要 ACCETP通過(guò)）的 鏈， 對(duì)正在轉(zhuǎn)發(fā)鏈的監(jiān)控 .開(kāi)啟轉(zhuǎn)發(fā)功能,（在做NAT時(shí),FORWAR默認(rèn)規(guī)則是DROP時(shí),必須做）roottp # iptables -A FORWARD -i ethO -o ethl -m state- stateRELATE

20、D,ESTABLISHED -j ACCEPTroottp # iptables -A FORWARD -i eth1 -o ehO -j ACCEPT丟棄壞的TCP包roottp #iptables -A FORWARD -p TCP !- syn -m state - state NEW -j DROP處理IP碎片數(shù)量，防止攻擊，允許每秒100個(gè)roottp #iptables -A FORWARD -f -m limit- limit 100/s- limit-burst 100 -jACCEPT設(shè)置ICMP包過(guò)濾，允許每秒1個(gè)包，限制觸發(fā)條件是10個(gè)包.roottp #iptables

21、 -A FORWARD -p icmp -m limit- limit 1/s- limit-burst 10 -jACCEPT我在前面只所以允許ICMP包通過(guò)，就是因?yàn)槲以谶@里有限制。三、配置一個(gè)NAT表放火墻1、查看本機(jī)關(guān)于NAT的設(shè)置情況roottp rc.d# iptables -t nat -LChain PREROUTING (policy ACCEPT)target prot opt source destinationChain POSTROUTING (policy ACCEPT)target prot opt source destinationSNAT all 192.1

22、68.0.0/24 anywhere to:35Chain OUTPUT (policy ACCEPT)target prot opt source destination我的NAT已經(jīng)配置好了的(只是提供最簡(jiǎn)單的代理上網(wǎng)功能，還沒(méi)有添加防火墻規(guī)則).關(guān)于怎么配置NAT，參考我的另一篇文章當(dāng)然你如果還沒(méi)有配置NAT的話(huà)，你也不用清除規(guī)則，因?yàn)镹AT在默認(rèn)情況下是什么都沒(méi)有的如果你想清除 , 命令是roottp # iptables -F -t natroottp # iptables -X -t natroottp # iptables -Z -t nat2、添加規(guī)則添

23、加基本的NAT地址轉(zhuǎn)換,（關(guān)于如何配置 NAT可以看我的另一篇文章）,添加規(guī)則，我們只添加DROP鏈.因?yàn)槟J(rèn)鏈全是 ACCEPT.防止外網(wǎng)用內(nèi)網(wǎng) IP 欺騙roottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s /8 -j DROProottpsysconfig#iptables-t nat -A PREROUTING-i eth0 -s /12-jDROProottpsysconfig#iptables-t nat -A PREROUTING-i eth0 -s /16-

24、jDROP如果我們想,比如阻止MSN,QQ,BT等的話(huà),需要找到它們所用的端口或者 IP,（個(gè)人認(rèn)為沒(méi)有太大必要 ）例：禁止與 53 的所有連接roottp # iptables -t nat -A PREROUTING -d 53 -j DROP 禁用 FTP（21） 端口roottp # iptables -t nat -A PREROUTING -p tcp- dport 21 -j DROP這樣寫(xiě)范圍太大了 , 我們可以更精確的定義 .roottp # iptables -t nat -A PREROUTING -p tcp- dport

25、 21 -d 53 -jDROP這樣只禁用53 地址的FTP連接，其他連接還可以.如web（80端口）連接.按照我寫(xiě)的，你只要找到QQ,MS等其他軟件的IP地址,和端口，以及基于什么協(xié)議，只要照著 寫(xiě)就行了 .最后：drop 非法連接roottp # iptables -A INPUT -m statestate INVALID -j DROProottp # iptables -A OUTPUT -m statestate INVALID -j DROProottp # iptables-A FORWARD -m statestate INVA

26、LID -j DROP允許所有已經(jīng)建立的和相關(guān)的連接roottp # iptables-A INPUT -m state-state ESTABLISHED,RELATED -j ACCEPTroottp # iptables-A OUTPUT -m state-state ESTABLISHED,RELATED -j ACCEPTroottp # /etc/rc.d/init.d/iptables save這樣就可以寫(xiě)到 /etc/sysconfig/iptables文件里了 . 寫(xiě)入后記得把防火墻重起一下 , 才能起作用 .roottp # service iptables restart

27、別忘了保存， 不行就寫(xiě)一部保存一次。 你可以一邊保存， 一邊做實(shí)驗(yàn)， 看看是否達(dá)到你的要 求，Iptables 簡(jiǎn)介對(duì)于那些不知道或不清楚 iptables 的人來(lái)說(shuō)，這個(gè) Linux 工具可以控制網(wǎng)絡(luò)數(shù)據(jù)包，允許 你借助于一套規(guī)則來(lái)對(duì)網(wǎng)絡(luò)相關(guān)的事項(xiàng)執(zhí)行精細(xì)控制，此工具本身已經(jīng)出道有一段時(shí)間了。在你用 iptables 命令開(kāi)始創(chuàng)建規(guī)則之前，你還需要知道如果服務(wù)器重啟的話(huà)，你創(chuàng)建的規(guī) 則會(huì)丟失。由于這個(gè)原因，多數(shù)服務(wù)器管理員將其所用的 iptables 命令運(yùn)用于一個(gè)服務(wù)器 每次重啟時(shí)運(yùn)行的命令過(guò)程。對(duì)于某些 Linux 版本，你還可以像下面這樣來(lái)運(yùn)行一個(gè)命令：service（ 服務(wù) ） ip

28、tables save（ 保存 ）這就保證可以保存你的配置，并且在啟動(dòng)時(shí)自動(dòng)加載。開(kāi)始工作要使用 iptables ，你應(yīng)當(dāng)將規(guī)則運(yùn)用于進(jìn)入或發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)包，或者通過(guò)你的服務(wù)器轉(zhuǎn) 發(fā)的數(shù)據(jù)包。要查看目前運(yùn)用于服務(wù)器的數(shù)據(jù)包，鍵入命令：iptables -L iptables 基礎(chǔ)構(gòu)建可正常發(fā)揮功能的防火墻規(guī)則依賴(lài)于你對(duì)服務(wù)器是如何運(yùn)行的一些知識(shí)。對(duì)于一個(gè)安全的服務(wù)器而言， 最好先建立一個(gè)可以禁止所有進(jìn)入通信的規(guī)則。 一旦你這樣做 了，那么你可以建立一些明晰的規(guī)則，使其只允許如 80 號(hào)端口等例外端口的請(qǐng)求。這樣做 比你設(shè)法過(guò)濾想阻止的內(nèi)容更加容易理解， 也更容易配置， 因?yàn)槟菢拥脑?huà)你可能會(huì)遺

29、漏一些 重要或者危險(xiǎn)的東西，例如一個(gè)開(kāi)放的可被用于攻擊你的服務(wù)器的端口。此外，將 iptables 與一個(gè)硬件防火墻結(jié)合使用也是很有益的，因?yàn)檫@會(huì)提供多層安全，并 會(huì)減少你在配置中遺漏某些東西的可能性。記住，你可以用命令 man iptables 得到所有的語(yǔ)法信息。使用防火墻規(guī)則下面讓我們看三個(gè)示例性的規(guī)則及其核心部分。 不過(guò)，需要注意， 我們文章中的一些較長(zhǎng)的 命令有自動(dòng)換行，因此你要確保鍵入了一個(gè)完整的命令，而不是僅僅一行命令。iptables -P INPUT DROP這個(gè)命令很容易， 并且很安全。 它對(duì) iptables 工具進(jìn)行了初始化， 然后對(duì)所有進(jìn)入 (input) 的數(shù)據(jù)包設(shè)

30、置了一個(gè)策略 (Policy(-P) 。這個(gè)策略就是丟棄所有的數(shù)據(jù)包。 非常安全。 注意， 你只能將策略用于 iptables 的內(nèi)建命令。iptables -A INPUT -i lo -j ACCEPT這條規(guī)則比較實(shí)用，因?yàn)樗试S發(fā)生在你的本地接口上的網(wǎng)絡(luò)通信。注意添加的 (-A) 選項(xiàng)， 因?yàn)檫@不是內(nèi)建于策略中的一部分。這條新的規(guī)則被添加到所有進(jìn)入的將要到達(dá)本地接口 (interface:-i) 的數(shù)據(jù)包上。這條規(guī)則要準(zhǔn)許所有這些數(shù)據(jù)包 (-j ACCEPT) 。通常情況下， 如果你碰到配置和安裝應(yīng)用程序方面的問(wèn)題， 這將開(kāi)始于你準(zhǔn)許本地主機(jī)的連接性， 如下所 示：iptables -A

31、 INPUT -i eth0 -p tcp -dport 80 -j ACCEPT這個(gè)命令還將一條規(guī)則添加 (-A) 到所有通過(guò)以太網(wǎng)接口 (-i eth0) 進(jìn)入 (INPUT) 的數(shù)據(jù)包中。不過(guò)它只應(yīng)用于使用 TCP協(xié)議(-p tcp)的數(shù)據(jù)包。此規(guī)則特別針對(duì)進(jìn)入指定的80號(hào)端口(-dport 80)的數(shù)據(jù)包，而且設(shè)置為允許這些數(shù)據(jù)包通過(guò) (-j ACCEPT) 。本文是我自己的一些學(xué)習(xí) iptables 的心得，給大家拿出來(lái)來(lái)曬曬！filter # 用于過(guò)濾nat # 做 NAT input =>filter # 目的 ip 是本機(jī)的數(shù)據(jù)包forward =>filter #

32、穿過(guò)本機(jī)的數(shù)據(jù)包prerouting =>nat #修改目的地址 (DNAT)postrouting =>nat # 修改源地址 (SNAT)匹配到以后的命iptables -t 要操作的表 操作命令 要操作的鏈 規(guī)則號(hào)碼 匹配條件 -j 令iptables -I INPUT -j DROP #-t 默認(rèn)為 filteriptables -I INPUT 3 -j DROP # 鏈接里插入一條規(guī)則 ( 插入第三條 )iptables -D INPUT 3 # 按號(hào)碼匹配刪除iptables -D INPUT -s -j DROP # 按內(nèi)容匹配刪除iptab

33、les -R INPUT 3 -j ACCEPT # 將原來(lái) 3 的規(guī)則改為 -j ACCEPTiptables -P INPUT DROP # 設(shè)置默認(rèn)規(guī)則iptables -F INPUT # 清空f(shuō)ilter 表INPUT鏈中的所有規(guī)則iptables -t nat -F PREROUTINGiptables -t nat vxnL PREROUTING-# v: 顯示詳細(xì)信息-# x: 在 v 的基礎(chǔ)上，禁止自動(dòng)單位換算-# n: 只顯示 IP 地址和端口號(hào)碼，不顯示域名和服務(wù)名稱(chēng)=匹配條件-i -i eth0 # 流入接口 (是否從網(wǎng)口 eth0 進(jìn)來(lái))-o # 流出接口-s -s

34、/24 # 來(lái)源地址-d # 目的地址-p -p icmp -icmp-type #協(xié)議類(lèi)型-sport -sport 1000:3000 #來(lái)源的端口-dport -dport 1000: :3000 #目的的端口 1000:（1000 端口以上 ） :3000（3000 端口以下 ）-s -d -p tcp -dport 80 iptables -A INPUT -j ACCEPT # 允許所有訪(fǎng)問(wèn)本機(jī) IP 的數(shù)據(jù)包通過(guò)iptables -A FORWARD -s -j DROP # 阻止來(lái)源地址為 192.168.8

35、0.39 的數(shù)據(jù)包 通過(guò)本機(jī)-j DNAT #目的地址轉(zhuǎn)換，DNAT支持轉(zhuǎn)換為單IP，也支持轉(zhuǎn)換到IP址池iptables -t nat -A PREROUTING-i ppp0 -p tcp -dport 80 -j DNAT-to :80#把從 ppp0 進(jìn)來(lái)的要訪(fǎng)問(wèn) tcp/80 的數(shù)據(jù)包的地址改為 -j SNAT # 源地址轉(zhuǎn)換iptables -t nat -A POSTROUTING -s /24 -j SNAT -to #將內(nèi)網(wǎng) /24 的源地址改為 ，用于 na

36、t 表iptables -t nat -A POSTROUTING -s /24 -j SNAT -to -0#修改成為一個(gè)地址池-j MASQUERADE #動(dòng)態(tài)源地址轉(zhuǎn)換iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE#將源地址為 /24 的數(shù)據(jù)包進(jìn)行地址偽裝=附加模塊state # 按包狀態(tài)匹配mac #按來(lái)源 mac 匹配limit # 按包速率匹配multiport # 多端口匹配-state-m state #new,related,e

37、stablished,invalidiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT#包狀態(tài)RELATED（衍生態(tài)）,ESTABLISHED（連接態(tài)）,NEW（有別于tcp的syn）,INVALID（不被識(shí) 別的 ）iptables -A FORWARD -m mac -mac-source XX:XX:XX:XX:XX:XX -j DROP#阻斷來(lái)自某MAC地址的數(shù)據(jù)包通過(guò)本機(jī)iptables -A FORWARD -d -m limit -limit 50/s -j ACCEPT#用一定速

38、率去匹配數(shù)據(jù)包iptables -A INPUT -p tcp -m multiport -dports 21,22,25,80,110 -j ACCEPT#一次匹配多個(gè)端口=實(shí)= 例分析單服務(wù)器的防護(hù) :iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m multiport -dport 22,80 -j ACCEPTiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROP制作網(wǎng)關(guān) :echo "1&

39、quot; > /proc/sys/net/ipv4/ip_forward #啟用路由轉(zhuǎn)發(fā)iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE限制內(nèi)網(wǎng)用戶(hù) :filter->forwardiptables -A FORWARD -s -j DROPiptables -A FORWARD -m mac -mac-source 11:22:33:44:55:66 -j DROPiptables -A FORWARD -d -j DROP內(nèi)網(wǎng)做對(duì)外服務(wù)器 :iptables -

40、t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to iptables -t nat -A PREROUTING-i ppp0 -p tcp -dport 81 -j DNAT-to :80=連= 接追蹤模塊主動(dòng)模式 (ACTIVE)使用連接追蹤模塊 (打開(kāi) tcp/20, 防火墻打開(kāi)高范圍端口 , 配置 ftp, 減小被動(dòng)模式端口范圍 ) modprobe ip_nat_ftpiptables -A INPUT -p tcp -dport 21 -j ACCEPTiptables -A INPUT -m