CentOS下配置iptables防火墻

1、在Linux中設(shè)置防火墻，以 CentOS為例，打開iptables 的配置文件：1. vi /etc/sysconfig/iptables2.通過 /etc/init.d/iptables status命令查詢是否有打開 80 端口，如果沒有可通過兩種方式處理：1. 修改 vi /etc/sysconfig/iptables命令添加使防火墻開放 80 端口1. -A RH-Firewall-1-INPUT -m state -state NEW -m tcp -p tcp-dport 80 -j ACCEPT2.2. 關(guān)閉 /開啟/重啟防火墻1. /etc/init.d/iptables s

2、top2.2. #start 開啟4.3. #restart 重啟6.3. 永久性關(guān)閉防火墻1. chkconfig -level 35 iptables off2.2. /etc/init.d/iptables stop4.3. iptables -P INPUT DROP6.4. 打開主動模式 21 端口1. iptables -A INPUT -p tcp -dport 21 -j ACCEPT2.5. 打開被動模式 4915265534 之間的端口1. iptables -A INPUT -p tcp -dport 49152:65534 -j ACCEPT2.2. iptables

3、-A INPUT -i lo -j ACCEPT4.3. iptables -A INPUT -m state -state ESTABLISHED -j ACCEPT6.注意： 一定要給自己留好后路，留VNC 個管理端口和 SSh的管理端口需要注意的是，你必須根據(jù)自己服務(wù)器的情況來修改這個文件。 全部修改完之后重啟 iptables:service iptables restart你可以驗證一下是否規(guī)則都已經(jīng)生效：iptables -Lcentos IPTables 配置方法如下 :一、需要的命令：查看配置情況 iptables -L -n記得保存 /etc/init.d/iptables

4、save添加 in put 記錄 iptables -A INPUT -p tcp- dport 22 -j ACCEPT添加 output 記錄 iptables -A OUTPUT -p tcp - sport 22 -j ACCEPT 一些軟件的默認(rèn)端口：ftp 用到端口是 20 21ssh 端口是 22http 端口是 80telnet 端口是 23rsync 端口是 873svn 端口 3690pop3 端口 110smtp 端口 25dns 端口 53mysql 端口 3306 nfs 端口 111 大概常用的就這些，其他的可查看具體軟件 1、查看本機關(guān)于 IPTABLES 的設(shè)置

5、情況 roottp # iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEP

6、T all /0 /0 ACCEPT icmp /0 /0 icmp type 255 ACCEPT esp /0 /0 ACCEPT ah /0 /0ACCEPT udp /0 51 udp dpt:5353ACCEPT udp /0 /0 udp dpt:631ACCEPT all /0 /0 state RELATED,ESTABLISHEDACCEPT tcp /0 0.0.

7、0.0/0 state NEW tcp dpt:22ACCEPT tcp /0 /0 state NEW tcp dpt:80ACCEPT tcp /0 /0 state NEW tcp dpt:25REJECT all /0 /0 reject-with icmp-host-prohibited 可以看出我在安裝 linux 時, 選擇了有防火墻 ,并且開放了 22,80,25 端口 .如果你在安裝 linux 時沒有選擇啟動防火墻 , 是這樣的roottp # iptables -L -nChain INP

8、UT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination 什么規(guī)則都沒有 .2、清除原有規(guī)則 ., 那就清除現(xiàn)在不管你在安裝 linux 時是否啟動了防火墻 , 如果你想配置屬于自己的防火墻 filter 的所有規(guī)則 .roottp # iptables -F清除預(yù)設(shè)表 filter 中的所有規(guī)則鏈的

9、規(guī)則roottp # iptables -X清除預(yù)設(shè)表 filter 中使用者自定鏈中的規(guī)則我們在來看一下roottp # iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么都沒有了吧 , 和我們在安裝 linux 時沒有啟動防火墻是一樣的 .（

10、 提前說一句 , 這些配置 就像用命令配置 IP 一樣, 重起就會失去作用 ）, 怎么保存 .roottp # /etc/rc.d/init.d/iptables save這樣就可以寫到 /etc/sysconfig/iptables 文件里了 . 寫入后記得把防火墻重起一下 , 才能 起作用 .roottp # service iptables restart現(xiàn)在IPTABLES配置表里什么配置都沒有了，那我們開始我們的配置吧。3、設(shè)定預(yù)設(shè)規(guī)則roottp # iptables -p INPUT DROProottp # iptables -p OUTPUT ACCEPTroottp # i

11、ptables -p FORWARD DROP上面的意思是,當(dāng)超出了 IPTABLES里filter 表里的兩個鏈規(guī)則 （INPUT,FORWARD時,不在這 兩個規(guī)則里的數(shù)據(jù)包怎么處理呢，那就是DROP放棄）.應(yīng)該說這樣配置是很安全的我們要 控制流入數(shù)據(jù)包而對于OUTPUT鏈,也就是流出的包我們不用做太多限制，而是采取ACCEPT,也就是說，不在著個規(guī)則里的包怎么辦呢 , 那就是通過 .可以看出INPUT,FORWAR兩個鏈采用的是允許什么包通過，而OUTPUT鏈采用的是不允許什么包通過 .這樣設(shè)置還是挺合理的，當(dāng)然你也可以三個鏈都 DROP但這樣做我認(rèn)為是沒有必要的 ，而且 要寫的規(guī)則就會

12、增加但如果你只想要有限的幾個規(guī)則是 ，如只做 WEB服務(wù)器.還是推薦三個 鏈都是 DROP.注：如果你是遠程SSH登陸的話，當(dāng)你輸入第一個命令回車的時候就應(yīng)該掉了因為你沒有設(shè)置任何規(guī)則 .怎么辦 ， 去本機操作唄 !4、添加規(guī)則 .首先添加INPUT鏈,INPUT鏈的默認(rèn)規(guī)則是 DROP所以我們就寫需要 ACCETP通過）的鏈為了能采用遠程 SSH登陸，我們要開啟22端口 .roottp # iptables -A INPUT -p tcp-dport 22 -j ACCEPTroottp # iptables -A OUTPUT -p tcp- sport 22 -j ACCEPT （注：這

13、個規(guī)則,如果你把OUTPUT設(shè)置成DROP勺就要寫上這一部，好多人都是望了寫這一部規(guī)則導(dǎo)致，始終無法SSH.在遠程一下 , 是不是好了 .其他的端口也一樣，如果開啟了 web服務(wù)器OUTPUT設(shè)置成DRO啲話，同樣也要添加一條鏈：roottp # iptables -A OUTPUT -p tcp- sport 80 -j ACCEPT ,其他同理.）如果做了 WEB服務(wù)器，開啟80端口 .roottp # iptables -A INPUT -p tcp- dport 80 -j ACCEPT如果做了郵件服務(wù)器 ， 開啟 25，110 端口 .roottp # iptables -A INP

14、UT -ptcp-dport 110 -j ACCEPTroottp # iptables -A INPUT -ptcp-dport 25 -j ACCEPT如果做了 FTP服務(wù)器，開啟21端口roottp # iptables -A INPUT -ptcp-dport 21 -j ACCEPTroottp # iptables -A INPUT -ptcp-dport 20 -j ACCEPT如果做了 DNS服務(wù)器，開啟53端口roottp # iptables -A INPUT -p tcp- dport 53 -j ACCEPT如果你還做了其他的服務(wù)器 ，需要開啟哪個端口 ，照寫就行了

15、.上面主要寫的都是INPUT鏈，凡是不在上面的規(guī)則里的，都DROP允許 icmp 包通過 ， 也就是允許 ping，roottp # iptables -A OUTPUT -p icmp -j ACCEPT （OUTPUT設(shè)置成 DROP的話）roottp # iptables -A INPUT -p icmp -j ACCEPT （INPUT設(shè)置成 DROP的話）允許loopback!（不然會導(dǎo)致DNS無法正常關(guān)閉等問題）IPTABLES -A INPUT -i lo -p all -j ACCEPT （如果是 INPUT DROP）IPTABLES -A OUTPUT -o lo -p a

16、ll -j ACCEPT（如果是 OUTPUT DROP）下面寫OUTPUT鏈OUTPUT鏈默認(rèn)規(guī)則是 ACCEPT所以我們就寫需要 DROP放棄 ）的鏈.、減少不安全的端口連接roottp # iptables -A OUTPUT -p tcp-sport 31337 -j DROProottp # iptables -A OUTPUT -p tcp- dport 31337 -j DROP有些些特洛伊木馬會掃描端口 31337 到 31340（ 即黑客語言中的 elite 端口）上的服務(wù)。既 然合法服務(wù)都不使用這些非標(biāo)準(zhǔn)端口來通信 , 阻塞這些端口能夠有效地減少你的網(wǎng)絡(luò)上可能 被感染的機器

17、和它們的遠程主服務(wù)器進行獨立通信的機會還有其他端口也一樣 ,像:31335 、27444、27665、20034 NetBus、9704、137-139（smb）,2049（NFS） 端口也應(yīng)被禁止 , 我在這寫的也不全 , 有興趣的朋友應(yīng)該去查一下相關(guān)資料 .當(dāng)然出入更安全的考慮你也可以包OUTPUT!設(shè)置成DROP那你添加的規(guī)則就多一些，就像上邊添加允許SSH登陸一樣照著寫就行了 .下面寫一下更加細(xì)致的規(guī)則 ， 就是限制到某臺機器如：我們只允許 的機器進行SSH連接roottp # iptables -A INPUT -s -p tcp- dp

18、ort 22 -j ACCEPT如果要允許 ， 或限制一段 IP 地址可用 /24 表示 -255 端的所有 IP.24 表示子網(wǎng)掩碼數(shù) . 但要記得把 /etc/sysconfig/iptables里的這一行刪了 .-A INPUT -p tcp -m tcp - dport 22 -j ACCEPT因為它表示所有地址都可以登陸或采用命令方式 ：roottp # iptables -D INPUT -p tcp- dport 22 -j ACCEPT然后保存 ，我再說一邊 ，反是采用命令的方式 ，只在當(dāng)時生效 ，如果想要重起后也起作用 ，那就 要保

19、存 . 寫入到 /etc/sysconfig/iptables 文件里 .roottp # /etc/rc.d/init.d/iptables save這樣寫 ! 表示除了 的 ip 地址其他的規(guī)則連接也一樣這么設(shè)置 .在下面就是FORWAR鏈,FORWAR鏈的默認(rèn)規(guī)則是 DROP所以我們就寫需要 ACCETP通過）的 鏈， 對正在轉(zhuǎn)發(fā)鏈的監(jiān)控 .開啟轉(zhuǎn)發(fā)功能,（在做NAT時,FORWAR默認(rèn)規(guī)則是DROP時,必須做）roottp # iptables -A FORWARD -i ethO -o ethl -m state- stateRELATE

20、D,ESTABLISHED -j ACCEPTroottp # iptables -A FORWARD -i eth1 -o ehO -j ACCEPT丟棄壞的TCP包roottp #iptables -A FORWARD -p TCP !- syn -m state - state NEW -j DROP處理IP碎片數(shù)量，防止攻擊，允許每秒100個roottp #iptables -A FORWARD -f -m limit- limit 100/s- limit-burst 100 -jACCEPT設(shè)置ICMP包過濾，允許每秒1個包，限制觸發(fā)條件是10個包.roottp #iptables

21、 -A FORWARD -p icmp -m limit- limit 1/s- limit-burst 10 -jACCEPT我在前面只所以允許ICMP包通過，就是因為我在這里有限制。三、配置一個NAT表放火墻1、查看本機關(guān)于NAT的設(shè)置情況roottp rc.d# iptables -t nat -LChain PREROUTING (policy ACCEPT)target prot opt source destinationChain POSTROUTING (policy ACCEPT)target prot opt source destinationSNAT all 192.1

22、68.0.0/24 anywhere to:35Chain OUTPUT (policy ACCEPT)target prot opt source destination我的NAT已經(jīng)配置好了的(只是提供最簡單的代理上網(wǎng)功能，還沒有添加防火墻規(guī)則).關(guān)于怎么配置NAT，參考我的另一篇文章當(dāng)然你如果還沒有配置NAT的話，你也不用清除規(guī)則，因為NAT在默認(rèn)情況下是什么都沒有的如果你想清除 , 命令是roottp # iptables -F -t natroottp # iptables -X -t natroottp # iptables -Z -t nat2、添加規(guī)則添

23、加基本的NAT地址轉(zhuǎn)換,（關(guān)于如何配置 NAT可以看我的另一篇文章）,添加規(guī)則，我們只添加DROP鏈.因為默認(rèn)鏈全是 ACCEPT.防止外網(wǎng)用內(nèi)網(wǎng) IP 欺騙roottp sysconfig# iptables -t nat -A PREROUTING -i eth0 -s /8 -j DROProottpsysconfig#iptables-t nat -A PREROUTING-i eth0 -s /12-jDROProottpsysconfig#iptables-t nat -A PREROUTING-i eth0 -s /16-

24、jDROP如果我們想,比如阻止MSN,QQ,BT等的話,需要找到它們所用的端口或者 IP,（個人認(rèn)為沒有太大必要 ）例：禁止與 53 的所有連接roottp # iptables -t nat -A PREROUTING -d 53 -j DROP 禁用 FTP（21） 端口roottp # iptables -t nat -A PREROUTING -p tcp- dport 21 -j DROP這樣寫范圍太大了 , 我們可以更精確的定義 .roottp # iptables -t nat -A PREROUTING -p tcp- dport

25、 21 -d 53 -jDROP這樣只禁用53 地址的FTP連接，其他連接還可以.如web（80端口）連接.按照我寫的，你只要找到QQ,MS等其他軟件的IP地址,和端口，以及基于什么協(xié)議，只要照著 寫就行了 .最后：drop 非法連接roottp # iptables -A INPUT -m statestate INVALID -j DROProottp # iptables -A OUTPUT -m statestate INVALID -j DROProottp # iptables-A FORWARD -m statestate INVA

26、LID -j DROP允許所有已經(jīng)建立的和相關(guān)的連接roottp # iptables-A INPUT -m state-state ESTABLISHED,RELATED -j ACCEPTroottp # iptables-A OUTPUT -m state-state ESTABLISHED,RELATED -j ACCEPTroottp # /etc/rc.d/init.d/iptables save這樣就可以寫到 /etc/sysconfig/iptables文件里了 . 寫入后記得把防火墻重起一下 , 才能起作用 .roottp # service iptables restart

27、別忘了保存， 不行就寫一部保存一次。 你可以一邊保存， 一邊做實驗， 看看是否達到你的要 求，Iptables 簡介對于那些不知道或不清楚 iptables 的人來說，這個 Linux 工具可以控制網(wǎng)絡(luò)數(shù)據(jù)包，允許 你借助于一套規(guī)則來對網(wǎng)絡(luò)相關(guān)的事項執(zhí)行精細(xì)控制，此工具本身已經(jīng)出道有一段時間了。在你用 iptables 命令開始創(chuàng)建規(guī)則之前，你還需要知道如果服務(wù)器重啟的話，你創(chuàng)建的規(guī) 則會丟失。由于這個原因，多數(shù)服務(wù)器管理員將其所用的 iptables 命令運用于一個服務(wù)器 每次重啟時運行的命令過程。對于某些 Linux 版本，你還可以像下面這樣來運行一個命令：service（ 服務(wù) ） ip

28、tables save（ 保存 ）這就保證可以保存你的配置，并且在啟動時自動加載。開始工作要使用 iptables ，你應(yīng)當(dāng)將規(guī)則運用于進入或發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)包，或者通過你的服務(wù)器轉(zhuǎn) 發(fā)的數(shù)據(jù)包。要查看目前運用于服務(wù)器的數(shù)據(jù)包，鍵入命令：iptables -L iptables 基礎(chǔ)構(gòu)建可正常發(fā)揮功能的防火墻規(guī)則依賴于你對服務(wù)器是如何運行的一些知識。對于一個安全的服務(wù)器而言， 最好先建立一個可以禁止所有進入通信的規(guī)則。 一旦你這樣做 了，那么你可以建立一些明晰的規(guī)則，使其只允許如 80 號端口等例外端口的請求。這樣做 比你設(shè)法過濾想阻止的內(nèi)容更加容易理解， 也更容易配置， 因為那樣的話你可能會遺

29、漏一些 重要或者危險的東西，例如一個開放的可被用于攻擊你的服務(wù)器的端口。此外，將 iptables 與一個硬件防火墻結(jié)合使用也是很有益的，因為這會提供多層安全，并 會減少你在配置中遺漏某些東西的可能性。記住，你可以用命令 man iptables 得到所有的語法信息。使用防火墻規(guī)則下面讓我們看三個示例性的規(guī)則及其核心部分。 不過，需要注意， 我們文章中的一些較長的 命令有自動換行，因此你要確保鍵入了一個完整的命令，而不是僅僅一行命令。iptables -P INPUT DROP這個命令很容易， 并且很安全。 它對 iptables 工具進行了初始化， 然后對所有進入 (input) 的數(shù)據(jù)包設(shè)

30、置了一個策略 (Policy(-P) 。這個策略就是丟棄所有的數(shù)據(jù)包。 非常安全。 注意， 你只能將策略用于 iptables 的內(nèi)建命令。iptables -A INPUT -i lo -j ACCEPT這條規(guī)則比較實用，因為它允許發(fā)生在你的本地接口上的網(wǎng)絡(luò)通信。注意添加的 (-A) 選項， 因為這不是內(nèi)建于策略中的一部分。這條新的規(guī)則被添加到所有進入的將要到達本地接口 (interface:-i) 的數(shù)據(jù)包上。這條規(guī)則要準(zhǔn)許所有這些數(shù)據(jù)包 (-j ACCEPT) 。通常情況下， 如果你碰到配置和安裝應(yīng)用程序方面的問題， 這將開始于你準(zhǔn)許本地主機的連接性， 如下所 示：iptables -A

31、 INPUT -i eth0 -p tcp -dport 80 -j ACCEPT這個命令還將一條規(guī)則添加 (-A) 到所有通過以太網(wǎng)接口 (-i eth0) 進入 (INPUT) 的數(shù)據(jù)包中。不過它只應(yīng)用于使用 TCP協(xié)議(-p tcp)的數(shù)據(jù)包。此規(guī)則特別針對進入指定的80號端口(-dport 80)的數(shù)據(jù)包，而且設(shè)置為允許這些數(shù)據(jù)包通過 (-j ACCEPT) 。本文是我自己的一些學(xué)習(xí) iptables 的心得，給大家拿出來來曬曬！filter # 用于過濾nat # 做 NAT input =>filter # 目的 ip 是本機的數(shù)據(jù)包forward =>filter #

32、穿過本機的數(shù)據(jù)包prerouting =>nat #修改目的地址 (DNAT)postrouting =>nat # 修改源地址 (SNAT)匹配到以后的命iptables -t 要操作的表 操作命令 要操作的鏈 規(guī)則號碼 匹配條件 -j 令iptables -I INPUT -j DROP #-t 默認(rèn)為 filteriptables -I INPUT 3 -j DROP # 鏈接里插入一條規(guī)則 ( 插入第三條 )iptables -D INPUT 3 # 按號碼匹配刪除iptables -D INPUT -s -j DROP # 按內(nèi)容匹配刪除iptab

33、les -R INPUT 3 -j ACCEPT # 將原來 3 的規(guī)則改為 -j ACCEPTiptables -P INPUT DROP # 設(shè)置默認(rèn)規(guī)則iptables -F INPUT # 清空filter 表INPUT鏈中的所有規(guī)則iptables -t nat -F PREROUTINGiptables -t nat vxnL PREROUTING-# v: 顯示詳細(xì)信息-# x: 在 v 的基礎(chǔ)上，禁止自動單位換算-# n: 只顯示 IP 地址和端口號碼，不顯示域名和服務(wù)名稱=匹配條件-i -i eth0 # 流入接口 (是否從網(wǎng)口 eth0 進來)-o # 流出接口-s -s

34、/24 # 來源地址-d # 目的地址-p -p icmp -icmp-type #協(xié)議類型-sport -sport 1000:3000 #來源的端口-dport -dport 1000: :3000 #目的的端口 1000:（1000 端口以上 ） :3000（3000 端口以下 ）-s -d -p tcp -dport 80 iptables -A INPUT -j ACCEPT # 允許所有訪問本機 IP 的數(shù)據(jù)包通過iptables -A FORWARD -s -j DROP # 阻止來源地址為 192.168.8

35、0.39 的數(shù)據(jù)包 通過本機-j DNAT #目的地址轉(zhuǎn)換，DNAT支持轉(zhuǎn)換為單IP，也支持轉(zhuǎn)換到IP址池iptables -t nat -A PREROUTING-i ppp0 -p tcp -dport 80 -j DNAT-to :80#把從 ppp0 進來的要訪問 tcp/80 的數(shù)據(jù)包的地址改為 -j SNAT # 源地址轉(zhuǎn)換iptables -t nat -A POSTROUTING -s /24 -j SNAT -to #將內(nèi)網(wǎng) /24 的源地址改為 ，用于 na

36、t 表iptables -t nat -A POSTROUTING -s /24 -j SNAT -to -0#修改成為一個地址池-j MASQUERADE #動態(tài)源地址轉(zhuǎn)換iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE#將源地址為 /24 的數(shù)據(jù)包進行地址偽裝=附加模塊state # 按包狀態(tài)匹配mac #按來源 mac 匹配limit # 按包速率匹配multiport # 多端口匹配-state-m state #new,related,e

37、stablished,invalidiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT#包狀態(tài)RELATED（衍生態(tài)）,ESTABLISHED（連接態(tài)）,NEW（有別于tcp的syn）,INVALID（不被識 別的 ）iptables -A FORWARD -m mac -mac-source XX:XX:XX:XX:XX:XX -j DROP#阻斷來自某MAC地址的數(shù)據(jù)包通過本機iptables -A FORWARD -d -m limit -limit 50/s -j ACCEPT#用一定速

38、率去匹配數(shù)據(jù)包iptables -A INPUT -p tcp -m multiport -dports 21,22,25,80,110 -j ACCEPT#一次匹配多個端口=實= 例分析單服務(wù)器的防護 :iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m multiport -dport 22,80 -j ACCEPTiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROP制作網(wǎng)關(guān) :echo "1&

39、quot; > /proc/sys/net/ipv4/ip_forward #啟用路由轉(zhuǎn)發(fā)iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE限制內(nèi)網(wǎng)用戶 :filter->forwardiptables -A FORWARD -s -j DROPiptables -A FORWARD -m mac -mac-source 11:22:33:44:55:66 -j DROPiptables -A FORWARD -d -j DROP內(nèi)網(wǎng)做對外服務(wù)器 :iptables -

40、t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to iptables -t nat -A PREROUTING-i ppp0 -p tcp -dport 81 -j DNAT-to :80=連= 接追蹤模塊主動模式 (ACTIVE)使用連接追蹤模塊 (打開 tcp/20, 防火墻打開高范圍端口 , 配置 ftp, 減小被動模式端口范圍 ) modprobe ip_nat_ftpiptables -A INPUT -p tcp -dport 21 -j ACCEPTiptables -A INPUT -m