文章內(nèi)容

iptables配置方法簡單介紹

發(fā)布時間: 2012/7/31 19:44:36

　　首先在配置iptables之前，建議先去了解一下iptables的基礎(chǔ)知識。本文主要是講解如何配置一個filter表的防火墻。
　　1.查看iptables的設(shè)置情況
　　[root@localhost ~]# iptables -L -n
　　Chain INPUT (policy ACCEPT)
　　target prot opt source destination
　　Chain FORWARD (policy ACCEPT)
　　target prot opt source destination
　　Chain OUTPUT (policy ACCEPT)
　　target prot opt source destination
　　Chain RH-Firewall-1-INPUT (0 references)
　　target prot opt source destination
　　ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
　　ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
　　ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
　　ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
　　ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
　　ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
　　ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
　　ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
　　ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
　　ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
　　REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
　　可以看出我在安裝Linux時選擇了有防火墻，并且開放了22，80，25端口。如果在安裝Linux時沒有選擇啟用防火墻的話，是這樣的
　　[root@localhost ~]# iptables -L -n
　　Chain INPUT (policy ACCEPT)
　　target prot opt source destination
　　Chain FORWARD (policy ACCEPT)
　　target prot opt source destination
　　Chain OUTPUT (policy ACCEPT)
　　target prot opt source destination
　　什么規(guī)則都沒有
　　2.清除原有規(guī)則
　　無論在安裝Linux時是否啟用了防火墻，在配置屬于自己的防火墻之前，請先清除原有規(guī)則。
　　a.清除預(yù)設(shè)表filter中的所有規(guī)則鏈的規(guī)則
　　[root@localhost ~]# iptables -F
　　b.清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則
　　[root@localhost ~]# iptables -X
　　用iptables -L -n命令再看一下，這時顯示的結(jié)果和沒有啟用防火墻是一樣的。（提前說一句，這些配置就像用命令配置IP一樣，重啟就會失去作用，所以必須保存一下。）
　　c.將配置寫到/etc/sysconfig/iptables文件里
　　[root@localhost ~]# /etc/rc.d/init.d/iptables save
　　d.重啟防火墻，新的配置才能起作用
　　[root@localhost ~]# service iptables restart
　　現(xiàn)在iptables已經(jīng)是空的了，那我們就開始配置屬于自己的防火墻吧。
　　3.設(shè)定預(yù)設(shè)規(guī)則
　　[root@localhost ~]# iptables -p INPUT DROP
　　[root@localhost ~]# iptables -p OUTPUT ACCEPT
　　[root@localhost ~]# iptables -p FORWARD DROP
　　上面三行命令的意思是：
　　當(dāng)超出了iptables里filter表里的兩個鏈規(guī)則（INPUT，F(xiàn)ORWARD）時，不在這兩個規(guī)則里的數(shù)據(jù)包如何處理呢，那就是DROP（放棄）。這樣配置是很安全的，我們要控制流入的數(shù)據(jù)包。
　　而對于OUTPUT鏈，也就是流出的數(shù)據(jù)包，我們不用做限制，也就是說，不在這個規(guī)則里的數(shù)據(jù)包怎么辦呢，那就是通過。
　　可以看出，INPUT、FORWARD兩個鏈采用的是允許什么包通過的規(guī)則，而OUTPUT鏈采用的是不允許什么包通過的規(guī)則。
　　這樣設(shè)置還是挺合理的，當(dāng)然你也可以三個鏈都DROP，但這樣做我認(rèn)為是沒有必要的，而且要寫的規(guī)則就會增加。但如果你只想要有限的幾個規(guī)則的話，比如只做web服務(wù)器，那還是推薦三個鏈都DROP。
　　注：如果不是本機(jī)操作，而是遠(yuǎn)程SSH的話，在寫規(guī)則之前最好先將防火墻停掉，否則寫完上面三行規(guī)則后，你就會斷線，連接不上服務(wù)器了。停止防火墻：service iptables stop
　　4.添加規(guī)則
　　a.首先添加INPUT鏈，INPUT鏈的默認(rèn)規(guī)則是DROP，所以我們就寫允許通過（ACCETP）的鏈。
　　為了能采用SSH遠(yuǎn)程登陸，開啟22端口
　　[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
　　如果你把OUTPUT設(shè)置成DROP的話，就要寫上下面這句
　　[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
　　很多人就是忘了寫這一句規(guī)則，導(dǎo)致始終無法SSH。其他的端口也一樣要加上這句，比如做web服務(wù)器，OUTPUT設(shè)置成DROP的話，同樣也要添加一條鏈：
　　[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
　　[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
　　如果有做EMAIL服務(wù)的話，開啟25、110端口
　　[root@localhost ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
　　[root@localhost ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
　　如果有做FTP服務(wù)的話，開啟21、20端口
　　[root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
　　[root@localhost ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
　　如果要想讓主機(jī)正常上網(wǎng)，需要開啟DNS回顯，端口是53
　　[root@localhost ~]# iptables -A INPUT -p udp --sport 53 -j ACCEPT
　　如果有做DNS服務(wù)器的話，開啟53端口
　　[root@localhost ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
　　允許icmp包通過，也就是允許ping
　　[root@localhost ~]# iptables -A INPUT -p icmp -j ACCEPT    （INPUT設(shè)置成DROP的話）
　　[root@localhost ~]# iptables -A OUTPUT -p icmp -j ACCEPT   （OUTPUT設(shè)置成DROP的話）
　　允許loopback!（不然會導(dǎo)致DNS無法正常關(guān)閉等問題）
　　[root@localhost ~]# iptables -A INPUT -i lo -p all -j ACCEPT   （INPUT設(shè)置成DROP的話）
　　[root@localhost ~]# iptables -A OUTPUT -o lo -p all -j ACCEPT （OUTPUT設(shè)置成DROP的話）
　　如果你還開了其他服務(wù)的話，需要開啟哪個端口，照著寫就行了。上面寫的都是INPUT鏈，凡是不在上面這些規(guī)則里的，都DROP（不允許通過）。
　　b.其次寫OUTPUT鏈，OUTPUT鏈默認(rèn)規(guī)則是ACCEPT，所以只需要寫DROP（放棄）的鏈
　　減少不安全的端口連接
　　[root@localhost ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
　　[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
　　有些特洛伊木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務(wù)。既然合法服務(wù)都不使用這些非標(biāo)準(zhǔn)端口來通信，阻塞這些端口能夠有效地減少你的網(wǎng)絡(luò)上可能被感染的機(jī)器和它們的遠(yuǎn)程主服務(wù)器進(jìn)行獨(dú)立通信的機(jī)會。
　　還有其他端口也一樣，像31335、27444、27665、20034 NetBus、9704、137-139（smb）、2049(NFS)端口也應(yīng)該被禁止，我在這寫的也不全，有興趣的朋友可以去查一下相關(guān)資料。
　　出于更安全的考慮你也可以把OUTPUT鏈設(shè)置成DROP，那你添加的規(guī)則就多一些，就像上邊添加
　　允許SSH登陸一樣，照著寫就行了。
　　下面來寫一下更加細(xì)致的規(guī)則，就是允許或限制到某臺機(jī)器
　　只允許IP為192.168.0.3的機(jī)器SSH連接
　　[root@localhost ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
　　如果要允許或限制一段IP地址可以用192.168.0.0/24，表示192.168.0.1－255的所有IP，24表示子網(wǎng)掩碼數(shù)，但一定要記得把/etc/sysconfig/iptables里的這一行刪了
　　-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因?yàn)樗硎舅械刂范伎梢缘顷憽?br /> 　　或采用命令的方式刪除
　　[root@localhost ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
　　除了某個IP的話，就需要在IP前加一個!，比如!192.168.0.3就表示除了IP是192.168.0.3的機(jī)器，其他的規(guī)則連接也一樣這么設(shè)置。
　　c.接下來寫FORWARD鏈，F(xiàn)ORWARD鏈的默認(rèn)規(guī)則是DROP，所以我們就寫ACCEPT（允許通過）的鏈
　　開啟轉(zhuǎn)發(fā)功能，（在做NAT時，F(xiàn)ORWARD默認(rèn)規(guī)則是DROP時，必須做）
　　[root@localhost ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
　　[root@localhost ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
　　丟棄壞的tcp包
　　[root@localhost ~]# iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
　　處理IP碎片數(shù)量，防止攻擊，允許每秒100個
　　[root@localhost ~]# iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
　　設(shè)置ICMP包過濾，允許每秒1個包，限制觸發(fā)條件是10個包
　　[root@localhost ~]# iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
　　前面之所以允許ICMP包通過，就是因?yàn)樵谶@里有限制。
　　最后別忘記保存，凡是采用命令方式寫的規(guī)則，只在當(dāng)時生效，重啟后就失去了作用，所以一定要保存，將規(guī)則寫入/etc/sysconfig/iptables文件里。
　　[root@localhost ~]# /etc/rc.d/init.d/iptables save
　　這樣，一個基本的iptables防火墻就配置完成了。