Iptables 實例分析

作者：Jephe Wu 2011-03-15 10:09:11

運維系統運維

iptables 是與最新的 2.6.x 版本Linux 內核集成的 IP 信息包過濾系統。在上篇文章中，我們介紹了Iptables的配置過程，下面給大家介紹幾個Iptables 應用實例供大家參考！

在iptables漫長的配置后，我拿出來幾個Iptables 應用實例，供大家參考下！

　　一、單個規則實例

　　iptables -F?

　　# -F 是清除的意思，作用就是把 FILTRE TABLE 的所有鏈的規則都清空

　　iptables -A INPUT -s 172.20.20.1/32 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

　　#在 FILTER 表的 INPUT 鏈匹配源地址是172.20.20.1的主機，狀態分別是NEW,ESTABLISHED,RELATED 的都放行。

　　iptables -A INPUT -s 172.20.20.1/32 -m state --state NEW,ESTABLISHED -p tcp -m multiport --dport 123,110 -j ACCEPT

　　# -p 指定協議，-m 指定模塊,multiport模塊的作用就是可以連續匹配多各不相鄰的端口號。完整的意思就是源地址是172.20.20.1的主機，狀態分別是NEW, ESTABLISHED,RELATED的，TCP協議，目的端口分別為123 和 110 的數據包都可以通過。

　　iptables -A INPUT -s 172.20.22.0/24 -m state --state NEW,ESTABLISHED -p tcp -m multiport --dport 123,110 -j ACCEPT

　　iptables -A INPUT -s 0/0 -m state --state NEW -p tcp -m multiport --dport 123,110 -j DROP

　　#這句意思為源地址是0/0的 NEW狀態的的TCP數據包都禁止訪問我的123和110端口。

　　iptables -A INPUT -s ! 172.20.89.0/24 -m state --state NEW -p tcp -m multiport --dport 1230,110 -j DROP

　　# "!"號的意思取反。就是除了172.20.89.0這個IP段的地址都DROP。

　　iptables -R INPUT 1 -s 192.168.6.99 -p tcp --dport 22 -j ACCEPT

　　替換INPUT鏈中的第一條規則

　　iptables -t filter -L INPUT -vn

　　以數字形式詳細顯示filter表INPUT鏈的規則

　　#-------------------------------NAT IP--------------------------------------

　　#以下操作是在 NAT TABLE 里面完成的。請大家注意。

　　iptables -t nat -F

　　iptables -t nat -A PREROUTING -d 192.168.102.55 -p tcp --dport 90 -j DNAT --to 172.20.11.1:800

　　#-A PREROUTING 指定在路由前做的。完整的意思是在 NAT TABLE 的路由前處理，目的地為192.168.102.55 的目的端口為90的我們做DNAT處理，給他轉向到172.20.11.1:800那里去。

　　iptables -t nat -A POSTROUTING -d 172.20.11.1 -j SNAT --to 192.168.102.55

　　#-A POSTROUTING 路由后。意思為在 NAT TABLE 的路由后處理，凡是目的地為 172.20.11.1 的，我們都給他做SNAT轉換，把源地址改寫成 192.168.102.55 。

　　iptables -A INPUT -d 192.168.20.0/255.255.255.0 -i eth1 -j DROP

　　iptables -A INPUT -s 192.168.20.0/255.255.255.0 -i eth1 -j DROP

　　iptables -A OUTPUT -d 192.168.20.0/255.255.255.0 -o eth1 -j DROP

　　iptables -A OUTPUT -s 192.168.20.0/255.255.255.0 -o eth1 -j DROP

　　# 上例中，eth1是一個與外部Internet相連，而192.168.20.0則是內部網的網絡號，上述規則用來防止IP欺騙，因為出入eth1的包的ip應該是公共IP

　　iptables -A INPUT -s 255.255.255.255 -i eth0 -j DROP

　　iptables -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP

　　iptables -A INPUT -d 0.0.0.0 -i eth0 -j DROP

　　# 防止廣播包從IP代理服務器進入局域網：

　　iptables -A INPUT -p tcp -m tcp --sport 5000 -j DROP

　　iptables -A INPUT -p udp -m udp --sport 5000 -j DROP

　　iptables -A OUTPUT -p tcp -m tcp --dport 5000 -j DROP

　　iptables -A OUTPUT -p udp -m udp --dport 5000 -j DROP

　　# 屏蔽端口 5000

　　iptables -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3306 -j DROP

　　iptables -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT

　　iptables -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT

　　iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP

　　# 防止 Internet 網的用戶訪問 MySQL 服務器(就是 3306 端口)

　　iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

　　#REJECT, 類似于DROP，但向發送該包的主機回復由--reject-with指定的信息，從而可以很好地隱藏防火墻的存在

#p#

　　二、www的iptables實例

　　#!/bin/bash

　　export PATH=/sbin:/usr/sbin:/bin:/usr/bin

　　#加載相關模塊

　　modprobe iptable_nat

　　modprobe ip_nat_ftp

　　modprobe ip_nat_irc

　　modprobe ip_conntrack

　　modprobe ip_conntrack_ftp

　　modprobe ip_conntrack_irc

　　modprobe ipt_limit

　　echo 1 >;/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

　　echo 0 >;/proc/sys/net/ipv4/conf/all/accept_source_route

　　echo 0 >;/proc/sys/net/ipv4/conf/all/accept_redirects

　　echo 1 >;/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

　　echo 1 >;/proc/sys/net/ipv4/conf/all/log_martians

　　echo 1 >;/proc/sys/net/ipv4/tcp_syncookies

　　iptables -F

　　iptables -X

　　iptables -Z

　　## 允許本地回路?Loopback - Allow unlimited traffic

　　iptables -A INPUT -i lo -j ACCEPT

　　iptables -A OUTPUT -o lo -j ACCEPT

　　## 防止SYN洪水?SYN-Flooding Protection

　　iptables -N syn-flood

　　iptables -A INPUT -i ppp0 -p tcp --syn -j syn-flood

　　iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN

　　iptables -A syn-flood -j DROP

　　## 確保新連接是設置了SYN標記的包?Make sure that new TCP connections are SYN packets

　　iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP

　　## 允許HTTP的規則

　　iptables -A INPUT -i ppp0 -p tcp -s 0/0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

　　iptables -A INPUT -i ppp0 -p tcp -s 0/0 --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT

　　iptables -A INPUT -i ppp0 -p tcp -d 0/0 --dport 80 -j ACCEPT

　　iptables -A INPUT -i ppp0 -p tcp -d 0/0 --dport 443 -j ACCEPT

　　## 允許DNS的規則

　　iptables -A INPUT -i ppp0 -p udp -s 0/0 --sport 53 -m state --state ESTABLISHED -j ACCEPT

　　iptables -A INPUT -i ppp0 -p udp -d 0/0 --dport 53 -j ACCEPT

　　## IP包流量限制?IP packets limit

　　iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

　　iptables -A INPUT -i eth0 -p icmp -j DROP

　　## 允許SSH

　　iptables -A INPUT -p tcp -s ip1/32 --dport 22 -j ACCEPT

　　iptables -A INPUT -p tcp -s ip2/32 --dport 22 -j ACCEPT

　　## 其它情況不允許?Anything else not allowed

　　iptables -A INPUT -i eth0 -j DROP

#p#

　　三、一個包過濾防火墻實例

　　環境：redhat9 加載了string time等模塊

　　eth0 接外網──ppp0

　　eth1 接內網──192.168.0.0/24

　　#!/bin/sh

　　modprobe ipt_MASQUERADE

　　modprobe ip_conntrack_ftp

　　modprobe ip_nat_ftp

　　iptables -F

　　iptables -t nat -F

　　iptables -X

　　iptables -t nat -X

　　###########################INPUT鍵###################################

　　iptables -P INPUT DROP

　　iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

　　iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT

　　iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT

　　#允許內網samba,smtp,pop3,連接

　　iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT

　　#允許dns連接

　　iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

　　iptables -A INPUT -p gre -j ACCEPT

　　#允許外網vpn連接

　　iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

　　iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

　　#為了防止DoS太多連接進來,那么可以允許最多15個初始連接,超過的丟棄

　　iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

　　#為了防止DoS太多連接進來,那么可以允許最多15個初始連接,超過的丟棄

　　iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "

　　iptables -A INPUT -p icmp -j DROP

　　#禁止icmp通信-ping 不通

　　iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

　　#內網轉發

　　iptables -N syn-flood

　　iptables -A INPUT -p tcp --syn -j syn-flood

　　iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN

　　iptables -A syn-flood -j REJECT

　　#防止SYN攻擊輕量

　　iptables -P FORWARD DROP

　　iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 80,110,21,25,1723 -j ACCEPT

　　iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT

　　iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT

　　iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT

　　#允許 vpn客戶走vpn網絡連接外網

　　iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

　　iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

　　#星期一到星期六的8:00-12:30禁止qq通信

　　iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

　　#星期一到星期六的8:00-12:30禁止qq通信

　　iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

　　iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

　　#星期一到星期六的13:30-20:30禁止QQ通信

　　iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

　　#星期一到星期六的8:00-12:30禁止qq網頁

　　iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

　　#星期一到星期六的13:30-20:30禁止QQ網頁

　　iptables -I FORWARD -s 192.168.0.0/24 -m string --string "ay2000.net" -j DROP

　　iptables -I FORWARD -d 192.168.0.0/24 -m string --string "寬頻影院" -j DROP

　　iptables -I FORWARD -s 192.168.0.0/24 -m string --string "色情" -j DROP

　　iptables -I FORWARD -p tcp --sport 80 -m string --string "廣告" -j DROP

　　#禁止ay2000.net，寬頻影院，色情，廣告網頁連接 !但中文不是很理想

　　iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP

　　iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP

　　iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP

　　#禁止BT連接

　　iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 24 -j DROP

　　#只允許每組ip同時15個80端口轉發

　　#######################################################################

　　sysctl -w net.ipv4.ip_forward=1 &>/dev/null

　　#打開轉發

　　#######################################################################

　　sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

　　#打開 syncookie (輕量級預防 DOS 攻擊)

　　sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

　　#設置默認 TCP 連接癡呆時長為 3800 秒(此選項可以大大降低連接數)

　　sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null

　　#設置支持最大連接樹為 30W(這個根據你的內存和 iptables 版本來，每個 connection 需要 300 多個字節)

　　#######################################################################

　　iptables -I INPUT -s 192.168.0.50 -j ACCEPT

　　iptables -I FORWARD -s 192.168.0.50 -j ACCEPT

　　#192.168.0.50是我的機子，全部放行!

通過文章的具體分析和介紹，想必大家通過Iptables的實例分析，對Iptables有個全面認識，希望本文對大家有幫助！

【編輯推薦】

15.4　iptables的工作原理
15.5　關于iptables
解決Linux iptables防火墻和vsftpd的問題
Linux系統下IPtables防火墻簡易設置方法
Linux iptables firewall 設定常見 FAQ 整理
如何用iptables實現Linux下強大的NAT功能
iptables防火墻配置工具ShoreWall的安裝和使用實例

責任編輯：趙鵬來源：網絡轉載

Iptables