Chinaunix首页 | 论坛 | 博客
  • 博客访问: 9409437
  • 博文数量: 1748
  • 博客积分: 12961
  • 博客等级: 上将
  • 技术积分: 20070
  • 用 户 组: 普通用户
  • 注册时间: 2009-01-09 11:25
个人简介

偷得浮生半桶水(半日闲), 好记性不如抄下来(烂笔头). 信息爆炸的时代, 学习是一项持续的工作.

文章分类

全部博文(1748)

文章存档

2024年(24)

2023年(26)

2022年(112)

2021年(217)

2020年(157)

2019年(192)

2018年(81)

2017年(78)

2016年(70)

2015年(52)

2014年(40)

2013年(51)

2012年(85)

2011年(45)

2010年(231)

2009年(287)

分类: Android平台

2014-04-11 09:13:23

开始配置
我们来配置一个filter表的防火墙.
(1)查看本机关于IPTABLES的设置情况
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         
Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         
Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination         
Chain RH-Firewall-1-INPUT (0 references)
target       prot opt source                 destination         
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       icmp --    0.0.0.0/0              0.0.0.0/0             icmp type 255 
ACCEPT       esp    --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       ah     --    0.0.0.0/0              0.0.0.0/0           
ACCEPT       udp    --    0.0.0.0/0              224.0.0.251           udp dpt:5353 
ACCEPT       udp    --    0.0.0.0/0              0.0.0.0/0             udp dpt:631 
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0             state RELATED,ESTABLISHED 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:22 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:80 
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:25 
REJECT       all    --    0.0.0.0/0              0.0.0.0/0             reject-with icmp-host-prohibited 
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         
Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         
Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination  
什么规则都没有.
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@tp ~]# iptables -F        清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X        清除预设表filter中使用者自定链中的规则
我们在来看一下
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target       prot opt source                 destination         
Chain FORWARD (policy ACCEPT)
target       prot opt source                 destination         
Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination      
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
怎么办,去本机操作呗!
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)
如果做了WEB服务器,开启80端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

如果做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT    (INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
减少不安全的端口连接
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.
当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
允许SSH登陆一样.照着写就行了.
下面写一下更加细致的规则,就是限制到某台机器
如:我们只允许192.168.0.3的机器进行SSH连接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
或采用命令方式:
[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制.
二,配置一个NAT表放火墙
1,查看本机关于NAT的设置情况
[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target       prot opt source                 destination         
Chain POSTROUTING (policy ACCEPT)
target       prot opt source                 destination         
SNAT         all    --    192.168.0.0/24         anywhere              to:211.101.46.235
Chain OUTPUT (policy ACCEPT)
target       prot opt source                 destination    
我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是
[root@tp ~]# iptables -F -t nat
[root@tp ~]# iptables -X -t nat
[root@tp ~]# iptables -Z -t nat
2,添加规则
添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),
添加规则,我们只添加DROP链.因为默认链全是ACCEPT.
防止外网用内网IP欺骗
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP

如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例:
禁止与211.101.46.253的所有连接
[root@tp ~]# iptables -t nat -A PREROUTING    -d 211.101.46.253 -j DROP
禁用FTP(21)端口
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
这样写范围太大了,我们可以更精确的定义.
[root@tp ~]# iptables -t nat -A PREROUTING    -p tcp --dport 21 -d 211.101.46.253 -j DROP
这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
最后:
drop非法连接
[root@tp ~]# iptables -A INPUT     -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT    -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP

允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

[root@tp ~]# service iptables restart



############################################################################################

2.1 框架图 
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> 
 mangle     |     mangle     ^ mangle 
   nat       |     filter     | nat 
           |               | 
           |               | 
           v               | 
         INPUT           OUTPUT 
           | mangle         ^ mangle 
           | filter         | nat 
           v ------>local------->| filter 
2.2 链和表 


表 
     filter:   顾名思义,用于过滤的时候 
     nat:     顾名思义,用于做 NAT 的时候 
           NAT:Network Address Translator 
链 
     INPUT:     位于 filter 表,匹配目的 IP 是本机的数据包 
     FORWARD:   位于 filter 表,匹配穿过本机的数据包, 
     PREROUTING: 位于 nat 表,用于修改目的地址(DNAT) 
     POSTROUTING:位于 nat 表,用于修改源地址 (SNAT) 

3.1 iptables 语法概述 
iptables [-t 要的表] 
     <命令> 
     [要的链] 
     [规则号码] 
     [匹配条件] 
     [-j 匹配到以后的动作] 
3.2 命令概述 
命令(-A、-I、-D、-R、-P、-F) 
查看命令(-[vnx]L) 
3.2.1 -A 
-A <链名> 
 APPEND,追加一条规则(放到最后) 

例如: 
 iptables -t filter -A INPUT -j DROP 

 在 filter 表的 INPUT 链里追加一条规则(作为最后一条规则) 
 匹配所有访问本机 IP 的数据包,匹配到的丢弃 
3.2.2 -I 
-I <链名> [规则号码] 
 INSERT,插入一条规则 

例如: 
 iptables -I INPUT -j DROP 
 在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条) 

 iptables -I INPUT 3 -j DROP 
 在 filter 表的 INPUT 链里插入一条规则(插入成第 3 条) 

注意: 1、-t filter 可不写,不写则自动默认是 filter 表 
   2、-I 链名 [规则号码],如果不写规则号码,则默认是 1 
   3、确保规则号码 ≤ (已有规则数 + 1),否则报错 
3.2.3 -D 
-D <链名> <规则号码 | 具体规则内容> 
 DELETE,删除一条规则 

例如: 
 iptables -D INPUT 3(按号码匹配) 
 删除 filter 表 INPUT 链中的第三条规则(不管它的内容是什么) 

 iptables -D INPUT -s 192.168.0.1 -j DROP(按内容匹配) 
 删除 filter 表 INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则 
 (不管其位置在哪里) 

注意: 
 1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条 
 2、按号码匹配删除时,确保规则号码 ≤ 已有规则数,否则报错 
 3、按内容匹配删除时,确保规则存在,否则报错 

3.2.3 -R 
-R <链名> <规则号码> <具体规则内容> 
 REPLACE,替换一条规则 

例如: 
 iptables -R INPUT 3 -j ACCEPT 
 将原来编号为 3 的规则内容替换为“-j ACCEPT” 

注意: 
 确保规则号码 ≤ 已有规则数,否则报错 

3.2.4 -P 
-P <链名> <动作> 
 POLICY,某个链的默认规则 

例如: 
 iptables -P INPUT DROP 
  filter 表 INPUT 链的默认规则是 DROP 

注意: 
 当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理 

3.2.5 -F 
-F [链名] 
 FLUSH,清空规则 

例如: 
 iptables -F INPUT 
 清空 filter 表 INPUT 链中的所有规则 

 iptables -t nat -F PREROUTING 
 清空 nat 表 PREROUTING 链中的所有规则 

注意: 
 1、-F 仅仅是清空链中规则,并不影响 -P 的默认规则 
 2、-P 了 DROP 后,使用 -F 一定要小心!!! 
 3、如果不写链名,默认清空某表里所有链里的所有规则 
3.2.6 -[vxn]L 
-L [链名] 
 LIST,列出规则 

 v:显示详细信息,包括每条规则的匹配包数量和匹配字节数 
 x:在 v 的基础上,禁止自动单位换算(K、M) 
 n:只显示 IP 地址和端口号码,不显示域名和名称 

例如: 
 iptables -L 
 粗略列出 filter 表所有链及所有规则 

 iptables -t nat -vnL 
 用详细方式列出 nat 表所有链的所有规则,只显示 IP 地址和端口号 

 iptables -t nat -vxnL PREROUTING 
 用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字,不反解 
3.3 匹配条件 
流入、流出接口(-i、-o) 
来源、目的地址(-s、-d) 
协议类型     (-p) 
来源、目的端口(--sport、--dport) 
3.3.1 按接口匹配 
-i <匹配数据进入的接口> 
例如: 
 -i eth0 
 匹配是否从接口 eth0 进来 

 -i ppp0 
 匹配是否从接口 ppp0 进来 

-o 匹配数据流出的接口 
例如: 
 -o eth0 
 -o ppp0 
3.3.2 按来源目的地址匹配 
-s <匹配来源地址> 
 可以是 IP、NET、DOMAIN,也可空(任何地址) 
例如: 
 -s 192.168.0.1   匹配来自 192.168.0.1 的数据包 
 -s 192.168.1.0/24 匹配来自 192.168.1.0/24 的数据包 
 -s 192.168.0.0/16 匹配来自 192.168.0.0/16 的数据包 

-d <匹配目的地址> 
 可以是 IP、NET、DOMAIN,也可以空 
例如: 
 -d 202.106.0.20   匹配去往 202.106.0.20 的数据包 
 -d 202.106.0.0/16 匹配去往 202.106.0.0/16 的数据包 
 -d   匹配去往域名 的数据包 

3.3.3 按协议类型匹配 
-p <匹配协议类型> 
 可以是 TCP、UDP、ICMP 等,也可为空 
例如: 
 -p tcp 
 -p udp 
 -p icmp --icmp-type 类型 
 ping: type 8     pong: type 0 
3.3.4 按来源目的端口匹配 
--sport <匹配源端口> 
 可以是个别端口,可以是端口范围 
例如: 
 --sport 1000     匹配源端口是 1000 的数据包 
 --sport 1000:3000 匹配源端口是 1000-3000 的数据包(含1000、3000) 
 --sport :3000     匹配源端口是 3000 以下的数据包(含 3000) 
 --sport 1000:     匹配源端口是 1000 以上的数据包(含 1000) 

--dport <匹配目的端口> 
 可以是个别端口,可以是端口范围 
例如: 
 --dport 80       匹配源端口是 80 的数据包 
 --dport 6000:8000 匹配源端口是 6000-8000 的数据包(含6000、8000) 
 --dport :3000     匹配源端口是 3000 以下的数据包(含 3000) 
 --dport 1000:     匹配源端口是 1000 以上的数据包(含 1000) 
注意:--sport 和 --dport 必须配合 -p 参数使用 
3.3.5 匹配应用举例 
1、端口匹配 
-p udp --dport 53 
匹配中目的地址是 53 的 UDP 协议数据包 

2、地址匹配 
-s 10.1.0.0/24 -d 172.17.0.0/16 
匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包 

3、端口和地址联合匹配 
-s 192.168.0.1 -d -p tcp --dport 80 
匹配来自 192.168.0.1,去往 的 80 端口的 TCP 协议数据包 


注意: 
1、--sport、--dport 必须联合 -p 使用,必须指明协议类型是什么 
2、条件写的越多,匹配越细致,匹配范围越小 
3.4 动作(处理方式) 
ACCEPT 
DROP 
SNAT 
DNAT 
MASQUERADE 
3.4.1 -j ACCEPT 
-j ACCEPT 
 通过,允许数据包通过本链而不拦截它 
 类似 Cisco 中 ACL 里面的 permit 

例如: 
 iptables -A INPUT -j ACCEPT 
 允许所有访问本机 IP 的数据包通过 

3.4.2 -j DROP 
-j DROP 
 丢弃,阻止数据包通过本链而丢弃它 
 类似 Cisco 中 ACL 里的 deny 

例如: 
 iptables -A FORWARD -s 192.168.80.39 -j DROP 
 阻止来源地址为 192.168.80.39 的数据包通过本机 
3.4.3 -j SNAT 
-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 链) 
 源地址转换,SNAT 支持转换为单 IP,也支持转换到 IP 地址池 
 (一组连续的 IP 地址) 
例如: 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \ 
 -j SNAT --to 1.1.1.1 
将内网 192.168.0.0/24 的原地址修改为 1.1.1.1,用于 NAT 

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \ 
 -j SNAT --to 1.1.1.1-1.1.1.10 
同上,只不过修改成一个地址池里的 IP 

3.4.4 -j DNAT 
-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 链) 
 目的地址转换,DNAT 支持转换为单 IP,也支持转换到 IP 地址池 
 (一组连续的 IP 地址) 
例如: 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ 
 -j DNAT --to 192.168.0.1 
把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1 

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \ 
 -j DNAT --to 192.168.0.2:80 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ 
 -j DNAT --to 192.168.0.1-192.168.0.10 

3.4.5 -j MASQUERADE 
-j MASQUERADE 
动态源地址转换(动态 IP 的情况下使用) 

例如: 

 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 
 将源地址是 192.168.0.0/24 的数据包进行地址伪装 

3.5 附加模块 
按包状态匹配   (state) 
按来源 MAC 匹配(mac) 
按包速率匹配   (limit) 
多端口匹配   (multiport) 
3.5.1 state 
-m state --state 状态 
状态:NEW、RELATED、ESTABLISHED、INVALID 
   NEW:有别于 tcp 的 syn 
   ESTABLISHED:连接态 
   RELATED:衍生态,与 conntrack 关联(FTP) 
   INVALID:不能被识别属于哪个连接或没有任何状态 
例如: 
 iptables -A INPUT -m state --state RELATED,ESTABLISHED \ 
     -j ACCEPT 

3.5.2 mac 
-m mac --mac-source MAC 
匹配某个 MAC 地址 

例如: 
 iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \ 
   -j DROP 
 阻断来自某 MAC 地址的数据包,通过本机 

注意: 
 MAC 地址不过路由,不要试图去匹配路由后面的某个 MAC 地址 

3.5.3 limit 
-m limit --limit 匹配速率 [--burst 缓冲数量] 
 用一定速率去匹配数据包 
例如: 
 iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \ 
   -j ACCEPT 
 iptables -A FORWARD -d 192.168.0.1 -j DROP 

注意: 
 limit 仅仅是用一定的速率去匹配数据包,并非 “限制” 

3.5.4 multiport 
-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n] 
一次性匹配多个端口,可以区分源端口,目的端口或不指定端口 

例如: 
 iptables -A INPUT -p tcp -m multiports --ports \ 
   21,22,25,80,110 -j ACCEPT 

注意: 
 必须与 -p 参数一起使用    

4. 实例分析 
器的防护 
如何做网关 
如何限制内网用户 
内网如何做对外器 
连接追踪模块 
4.1 单器的防护 
弄清对外对象 
书写规则 
 接口 lo 的处理 
 状态监测的处理 
 协议 + 端口的处理 
实例:一个普通的 web 器 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -P INPUT DROP 
注意:确保规则循序正确,弄清逻辑关系,学会时刻使用 -vnL 
4.2 如何做网关 
弄清拓扑 
本机上网 
 nat 
 启用路由转发 
 地址伪装 SNAT/MASQUERADE 

实例:ADSL 拨号上网的拓扑 
echo "1" > /proc/sys/net/ipv4/ip_forward 
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \ 
 -j MASQUERADE 

4.3 如何限制内网用户 
过滤位置 filer 表 FORWARD 链 
匹配条件 -s -d -p --s/dport 
处理动作 ACCEPT DROP 

实例: 
iptables -A FORWARD -s 192.168.0.3 -j DROP 
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \ 
 -j DROP 
iptables -A FORWARD -d bbs.chinaunix.net -j DROP 
4.4 内网如何做对外器 
协议(TCP/UDP) 
对外端口 
内部器私网 IP 
内部真正端口 
实例: 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ 
 -j DNAT --to 192.168.1.1 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \ 
 -j DNAT --to 192.168.1.2:80 
4.5 连接追踪模块 
为什么要使用连接追踪模块 
 FTP 协议的传输原理 
 传统防火墙的做法 

如何使用 
4.5.1 FTP 协议传输原理 
使用端口 
 command port 
 data port 

传输模式 
 主动模式(ACTIVE) 
 被动模式(PASSIVE) 
4.5.1 FTP 协议传输原理 
主动模式 
       client         server 
     xxxx |---|----------|-->| 21 
     yyyy |<--|----------|---| 20 
           FW1     FW2 
被动模式 
       client         server 
     xxxx |---|----------|--->| 21 
     yyyy |---|----------|--->| zzzz 
           FW1     FW2 
4.5.2 传统防火墙的做法 
只使用主动模式,打开 TCP/20 
防火墙打开高范围端口 
配置 FTP ,减小被动模式端口范围 
4.5.3 如何使用连接追踪模块 
modprobe ipt_conntrack_ftp 
modprobe ipt_nat_ftp 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
iptables -A INPUT -m state --state \ 
 RELATED,ESTABLISHED -j ACCEPT 
iptables -P INPUT DROP 
5. 网管策略 
怕什么 
能做什么 
让什么 vs 不让什么 
三大“纪律”五项“注意” 
其他注意事项 
5.1 必加项 
echo "1" > /proc/sys/net/ipv4/ip_forward 
echo "1" > /proc/sys/net/ipv4/tcp_syncookies 
echo "1" > \ 
 /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 
modprobe ip_conntrack_ftp 
modprobe ip_nat_ftp 
5.2 可选方案 
堵: 
iptables -A FORWARD -p tcp --dport xxx -j DROP 
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP 

通: 
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT 
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT 
iptables -A FORWARD -m state --state RELATED,ESTABLISHED \ 
 -j ACCEPT 
iptables -P FORWARD DROP 
5.3 三大“纪律”五项“注意” 
三大“纪律”——专表专用 
 filter 
 nat 
 mangle 

五项“注意”——注意数据包的走向 
 PREROUTING 
 INPUT 
 FORWARD 
 OUTPUT 
 POSTROUTING 
5.4 其他注意事项 
养成好的习惯 
 iptables -vnL 
 iptables -t nat -vnL 
 iptables-save 

注意逻辑顺序 
 iptables -A INPUT -p tcp --dport xxx -j ACCEPT 
 iptables -I INPUT -p tcp --dport yyy -j ACCEPT 

学会写简单的脚本 
6. FAQ.1 
Q:我了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP 
 为何内网用户还是可以访问那个地址? 
A:filter 表的 OUTPUT 链是本机访问外面的必经之路,内网数据不经过该链 

Q:我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP 
 为何内网用户还是可以访问那个地址? 
A:检查整个规则是否存在逻辑错误,看是否在 DROP 前有 ACCEPT 

Q:iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE 
 这条语句为何报错? 
A:POSTROUTING 链不支持“流入接口” -i 参数 
 同理,PREROUTING 链不支持“流出接口” -o 参数 
6. FAQ.2 
Q:我应该怎么查看某个模块具体该如何使用? 
A:ipitables -m 模块名 -h 

Q:执行 iptables -A FORWARD -m xxx -j yyy 
 提示 iptables: No chain/target/match by that name 
A:/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目录中, 
 缺少与 xxx 模块有关的文件,或缺少与 yyy 动作有关的文件 
 名字为 ipt_xxx.o(2.4内核) 或 ipt_yyy.ko(2.6内核) 

Q:脚本写好了,内网上网没问题,FTP 访问不正常,无法列出目录,为什么? 
A:缺少 ip_nat_ftp 这个模块,modprobe ip_nat_ftp 

阅读(3195) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~