原文: http://wsgzao.github.io/post/iptables/

iptables配置实践

By wsgzao

发表于 2015-07-24

前言

在大企业中防火墙角色主要交给硬件来支持,效果自然没话说只是需要增加一点点成本,但对于大多数个人或者互联网公司来说选择系统自带的iptables或者第三方云防火墙似乎是更加合适的选择,通过一些合理的优化和灵活的配置,我们也可以很轻松实现硬件防火墙的部分功能,够用就好。

建立防火墙白名单机制很重要


更新历史

2015年07月24日 - 初稿

阅读原文 - http://wsgzao.github.io/post/iptables/

扩展阅读

防火墙与 NAT 服务器 - http://vbird.dic.ksu.edu.tw/linux_server/0250simple_firewall_3.php
Linux 防火墙和 iptables - http://liaoph.com/iptables/


基础知识

原理部分请参考扩展阅读

关闭iptables

  1. 12
  1. /etc/init.d/iptables stopchkconfig iptables off

基础语法

  1. 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677
  1. #规则的观察与清除
  2.  
  3. iptables [-t tables] [-L] [-nv]
  4.  
  5. 选项与参数:-t :后面接 table ,例如 nat filter ,若省略此项目,则使用默认的 filter-L :列出目前的 table 的规则-n :不进行 IP HOSTNAME 的反查,显示讯息的速度会快很多!-v :列出更多的信息,包括通过该规则的封包总位数、相关的网络接口等
  6.  
  7. iptables [-t tables] [-FXZ]
  8.  
  9. 选项与参数:-F :清除所有的已订定的规则;-X :杀掉所有使用者 "自定义" chain (应该说的是 tables )啰;-Z :将所有的 chain 的计数与流量统计都归零
  10.  
  11. #封包的基础比对:IP, 网域及接口装置
  12.  
  13. iptables [-AI 链名] [-io 网络接口] [-p 协议] [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]
  14.  
  15. 选项与参数:-AI 链名:针对某的链进行规则的 "插入" "累加" -A :新增加一条规则,该规则增加在原本规则的最后面。例如原本已经有四条规则, 使用 -A 就可以加上第五条规则! -I :插入一条规则。如果没有指定此规则的顺序,默认是插入变成第一条规则。 例如原本有四条规则,使用 -I 则该规则变成第一条,而原本四条变成 2~5 :有 INPUT, OUTPUT, FORWARD 等,此链名称又与 -io 有关,请看底下。
  16.  
  17. -io 网络接口:设定封包进出的接口规范 -i :封包所进入的那个网络接口,例如 eth0, lo 等接口。需与 INPUT 链配合; -o :封包所传出的那个网络接口,需与 OUTPUT 链配合;
  18.  
  19. -p 协定:设定此规则适用于哪种封包格式 主要的封包格式有: tcp, udp, icmp all
  20.  
  21. -s 来源 IP/网域:设定此规则之封包的来源项目,可指定单纯的 IP 或包括网域,例如: IP 192.168.0.100 网域:192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。 若规范为『不许』时,则加上 ! 即可,例如: -s ! 192.168.100.0/24 表示不许 192.168.100.0/24 之封包来源;
  22.  
  23. -d 目标 IP/网域:同 -s ,只不过这里指的是目标的 IP 或网域。
  24.  
  25. -j :后面接动作,主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)
  26.  
  27. #TCP, UDP 的规则比对:针对端口设定
  28.  
  29. iptables [-AI 链] [-io 网络接口] [-p tcp,udp] [-s 来源IP/网域] [--sport 埠口范围] [-d 目标IP/网域] [--dport 端口范围] -j [ACCEPT|DROP|REJECT]
  30.  
  31. 选项与参数:--sport 埠口范围:限制来源的端口号码,端口号码可以是连续的,例如 1024:65535--dport 埠口范围:限制目标的端口号码。
  32.  
  33. #iptables 外挂模块:mac 与 state
  34.  
  35. iptables -A INPUT [-m state] [--state 状态]
  36.  
  37. 选项与参数:-m :一些 iptables 的外挂模块,主要常见的有: state :状态模块 mac :网络卡硬件地址 (hardware address)--state :一些封包的状态,主要有: INVALID :无效的封包,例如数据破损的封包状态 ESTABLISHED:已经联机成功的联机状态; NEW :想要新建立联机的封包状态; RELATED :这个最常用!表示这个封包是与我们主机发送出去的封包有关
  38.  
  39. #ICMP 封包规则的比对:针对是否响应 ping 来设计
  40.  
  41. iptables -A INPUT [-p icmp] [--icmp-type 类型] -j ACCEPT
  42.  
  43. 选项与参数:--icmp-type :后面必须要接 ICMP 的封包类型,也可以使用代号, 例如 8 代表 echo request 的意思。

配置iptables白名单机制

配置iptables白名单是相对简单有效的管理手段

  1. 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172
  1. #清除所有规则(慎用)iptables -Fiptables -Xiptables -Z
  2.  
  3. #查看iptable和行号iptables -nL --line-number
  4.  
  5. #保存当前防火墙配置service iptables save
  6.  
  7. #手动编辑防火墙策略vi /etc/sysconfig/iptables
  8.  
  9. # Generated by iptables-save v1.4.7 on Fri Jul 24 09:42:09 2015*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]#开放本地和Ping-A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT#配置内网白名单-A INPUT -s 10.0.0.0/8 -j ACCEPT-A INPUT -s 172.16.0.0/12 -j ACCEPT-A INPUT -s 192.168.0.0/16 -j ACCEPT#配置外网白名单-A INPUT -s 180.168.36.198 -j ACCEPT -A INPUT -s 180.168.34.218 -j ACCEPT -A INPUT -s 222.73.202.251 -j ACCEPT #控制端口-A INPUT -p tcp --dport 80 -j ACCEPT -A INPUT -p tcp --dport 22 -j ACCEPT#拒绝其它-A INPUT -j DROP -A FORWARD -j DROP #开放出口-A OUTPUT -j ACCEPT COMMIT# Completed on Fri Jul 24 09:40:16 2015
  10.  
  11. #重启生效service iptables restart
  12.  
  13. #复查结果
  14.  
  15. iptables -nL --line-number
  16.  
  17. Chain INPUT (policy ACCEPT)num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT all -- 10.0.0.0/8 0.0.0.0/0 5 ACCEPT all -- 172.16.0.0/12 0.0.0.0/0 6 ACCEPT all -- 192.168.0.0/16 0.0.0.0/0 7 ACCEPT all -- 180.168.36.198 0.0.0.0/0 8 ACCEPT all -- 180.168.34.218 0.0.0.0/0 9 ACCEPT all -- 222.73.202.251 0.0.0.0/0 10 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 12 DROP all -- 0.0.0.0/0 0.0.0.0/0
  18.  
  19. Chain FORWARD (policy ACCEPT)num target prot opt source destination 1 DROP all -- 0.0.0.0/0 0.0.0.0/0
  20.  
  21. Chain OUTPUT (policy ACCEPT)num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

设置crontab脚本

便于运维集中化管理扩展

  1. 1234567891011121314151617181920212223242526272829303132333435
  1. vi /root/start_iptables.sh
  2.  
  3. #!/bin/bash#0 0 * * * /root/start_iptables.sh
  4.  
  5. #清除配置/sbin/iptables -P INPUT ACCEPT/sbin/iptables -F/sbin/iptables -X#开放本地和Ping/sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A INPUT -p icmp -j ACCEPT#配置内网白名单/sbin/iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT/sbin/iptables -A INPUT -s 172.16.0.0/12 -j ACCEPT/sbin/iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT#配置外网白名单/sbin/iptables -A INPUT -s 180.168.36.198 -j ACCEPT /sbin/iptables -A INPUT -s 180.168.34.218 -j ACCEPT /sbin/iptables -A INPUT -s 222.73.202.251 -j ACCEPT #控制端口/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT#拒绝其它/sbin/iptables -A INPUT -j DROP /sbin/iptables -A FORWARD -j DROP #开放出口/sbin/iptables -A OUTPUT -j ACCEPT
  6.  
  7. chmod 755 /root/start_iptables.shcrontab -e0 0 * * * /root/start_iptables.sh

[转载] iptables配置实践的更多相关文章

  1. iptables配置实践

    前言 在大企业中防火墙角色主要交给硬件来支持,效果自然没话说只是需要增加一点点成本,但对于大多数个人或者互联网公司来说选择系统自带的iptables或者第三方云防火墙似乎是更加合适的选择,通过一些合理 ...

  2. (转载)Linux下IPTABLES配置详解

    (转载)http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html 如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 ...

  3. CentOS下配置iptables防火墙 linux NAT(iptables)配置

    CentOS下配置防火墙 配置nat转发服务CentOS下配置iptables防火墙 linux NAT(iptables)配置 CentOS下配置iptables 1,vim /etc/syscon ...

  4. tony_iptables_01_linux下IPTABLES配置详解(转)

    如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables - ...

  5. 【转】Flume(NG)架构设计要点及配置实践

    Flume(NG)架构设计要点及配置实践   Flume NG是一个分布式.可靠.可用的系统,它能够将不同数据源的海量日志数据进行高效收集.聚合.移动,最后存储到一个中心化数据存储系统中.由原来的Fl ...

  6. linux下IPTABLES配置详解(转)

    如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables - ...

  7. linux下IPTABLES配置详解(转)

    如果你的IPTABLES基础知识还不了解,建议先去看看.开始配置我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[ ~]# iptables -L -nChain I ...

  8. linux下IPTABLES配置

    如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables - ...

  9. linux下IPTABLES配置详解

    如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables - ...

随机推荐

  1. php获取json文件数据并动态修改网站头部文件meta信息 --基于CI框架

    话不多说了.直接开始吧  (如果有中文.请注意json只认utf-8编码) 首先你需要有一个json文件数据 {        "index": {                ...

  2. JQuery知识快览之二—事件

    事件是脚本语言的核心.本文将为大家介绍JQuery支持的一些事件和如何自定义事件 JQuery内置事件 1.Document加载事件 JQuery提供了ready,load,unload三个Docum ...

  3. A Plug for UNIX 分类: POJ 图论 函数 2015-08-10 14:18 2人阅读 评论(0) 收藏

    A Plug for UNIX Time Limit: 1000MS Memory Limit: 65536K Total Submissions: 14786 Accepted: 4994 Desc ...

  4. CaronteFX插件简介

    CaronteFX是一个基于烘培的unity物理增强插件,而不是实时的. 也正因为如此可以在Cutscene中使用,而不用切到maya之类得到软件里去做,以提高效率 Adam demo里一些角色布料( ...

  5. view class source code with JAD plugin in Eclipse

    The default class viewer doesn't decompile the class file so you cannot open and check the source co ...

  6. linux下查看电脑配置

    1. 查看cpu ~$ cat /proc/cpuinfo 2. 查看内存占用 ~$ cat /proc/meminfo 3. 硬盘分区 $ cat /proc/partitions 4. ubunt ...

  7. ubuntu配置服务器环境

    今天环境不知道怎么就不能用了.自己新配了一个: 添加源: vi /etc/apt/sources.list 将下面这些源添加进去: deb http://debian.ustc.edu.cn/ubun ...

  8. Android WebView使用基础

    WebView基本使用 WebView是View的一个子类,可以让你在activity中显示网页. 可以在布局文件中写入WebView:比如下面这个写了一个填满整个屏幕的WebView: <?x ...

  9. ContentProvider官方教程(1)何时用content provider

    Content Providers Content providers manage access to a structured set of data. They encapsulate the ...

  10. Android权限安全(1)自定义,检查,使用权限

    1.自定义权限: <!-- 定义自定义权限 --> <permission android:name="com.example.f6k5i8.checkpermission ...