《linux_iptables配置.doc》由会员分享,可在线阅读,更多相关《linux_iptables配置.doc(4页珍藏版)》请在金锄头文库上搜索。
1、Linux_iptablesIptables默认包含三张表:netfilter/nat/mangleNetfilter:包含三条链,分别为INPUT /FORWORD/ OUTPUTNat:包含三条链,分别为Prerouting/output/postroutingMangle:包含5条链,主要作用是修改标志位,进行包过滤和策略路由Iptables命令格式:Iptables 【-t 表名】 链名 规则号 规则 -j 目标表-链-规则的关系如果不指明表名,默认是netfilter表-A *在指定的链名后添加一条或者多条规则*-D *从指定的链中删除一条或者多条规则* -R *在指定的链中用心的规
2、则置换指定的某一规则号的规则*-I *在指定的规则号前插入一条或者多条规则,默认为1*-L *列出指定链中的所有规则*-F *删除指定链中的规则*-N *建立一个新的用户自定义链*-X *删除指定的用户自定义链*这个链必须没有被引用,而且不包含任何规则-P *为指定的链设置规则的默认目标*当一个数据包与所有的规则都不匹配时采用这个默认的目标动作-E *重新命名链名,对链的功能没有影响*-p -p tcp sport -s -p tcp dport -d -p tcp -syn-I -p icmp icmp-type 类型可以使echo-reply echo-request-o 如果要指定一个端
3、口范围,可以用-m参数指定模块,如-m multiport -sport 指定数据包的多个源端口-m multiport -dport -m multiport -port -m state -state 指定满足某一状态的数据包-m connlimit -connlimit-above 用于限制客户端到一台主机的TCP并发连接总数-m mac -mac-source 指定数据包的源MAC-j选项-j ACCEPT:放行与规则匹配的数据包-j REJECT:拒绝与规则匹配的数据包-j DROP:丢弃所匹配的数据包-j REDIRECT:重定向数据包-j LOG:记录与规则相匹配的数据包日志-j
4、 :数据包传递到另一规则链主机防火墙:如果对防火墙做了修改,且想保存已经配置的iptables规则,/etc/rc.d/init.d/iptables save此时所有的规则被保存在/etc/sysconfig/iptables文件中Iptables L 查看规则表Iptables v 列出每一条规则当前匹配的数据包数,字节数,以及要求数据包进来和出去的网络接口Iptables n 不对显示结果中的IP地址和端口做名称解析,直接以数字的形式显示Iptables line-number 在第一列显示每条规则的规则号Netfilter表默认有三条链:INPUT;OUTPUT;FORWARD1.ip
5、tables A INPUT p tcp dport 80 j ACCEPT *允许目标端口为80的 tcp数据包通过INPUT链2.iptables A INPUT s 192.168.1.0/24 I eth0 j DROP *丢弃从eth0口进来,源地址为192.168.1.0/24的数据包3.iptables A INPUT p udp sport 53 dport 1024:65535 j ACCEPT *允许源端口为53,目标端口为1024到65535的tcp包通过INPUT链4.iptables A INPUT p tcp tcp-flags SYN,RST,ACK SYN j
6、ACCEPT *-tcp-flags子选项用于指定TCP数据包的标志位,可以有SYN,RST,ACK,FIN,URG,PSH六种,用空格分成两部分,前一部分列出有要求的标志位,后部分列出要求值为1的标志位5.iptables A INPUT p tcp m multiport dport 20:23,53,80,110 j ACCEPT *接受来自20:23,53,80,110这些端口的tcp数据包,-m multiport用于指定多个端口6.iptables A INPUT p icmp m limit limit 6/m limit-burst 8 j ACCEPT *当一分钟内通过的ic
7、mp包超过8个时,触发每分钟通过6个数据包的限制条件7.iptables A INPUT p udp m mac mac-source ! 00:0C:6E:AB:AB:CC j ACCEPT *拒绝MAC不是00:0C:6E:AB:AB:CC的udp包网络防火墙:网络防火墙的大多数的规则应该配置在forward链中,需要多个网卡,各个网段之间必须能相互转发数据,需要在/etc/sysctl.conf中设置Net.ipv4.ip_forward=1Sysclt pMangle表的主要功能是根据规则修改数据包的一些标志位,以便对数据包进行过滤和策略路由要求所有TCP:80端口的数据都从china
8、net上出去,UDP:53端口数据从cernet出去1. 对数据包做上标志Iptables t mangle A prerouting I eth0 p tcp dport 80 j MARK set-mark 1Iptables t mangle A prerouting I eth0 p udp dport 53 j MARK set-mark 22. 添加相应规则Ip rule add from all fwmark 1 table 10Ip rule add from all fwmark 2 table 203. 指定路由表10 ,20的默认网关Ip route add defaul
9、t via 10.10.1.1 dev eth1 table 10Ip route add default via 10.10.2.1 dev eth2 table 20NAT:Nat服务器改变出去的数据包的源IP地址后,需要在内部保存的NAT地址映射表中登记相应的条目,以便回复的包能返回给正确的内部计算机。在内部计算机没有主动与外网卡计算机联系的情况下,在nat服务器的nat地址映射表中是无法找到相应的条目的,一次就无法把该数据包的目的IP转换成内网IP.SNAT:假设让内网10.10.1.0/24出去的数据包其源IP地址都转换成外网接口eth0的公网IP:218.75.26.35Iptab
10、les t nat A POSTROUTING s 10.10.1.0/24 o etho j SNAT to-source 218.75.26.35如果需要在eth0 上创建一个子接口,并配置ip:Ifconfig eth0:1 218.75.26.34 netmask 255.255.555.240如果碰到公网是从ISP服务商那里通过拨号动态获得的,每一次拨号所得的地址都是不同的,为此iptables提供了一种地址伪装的源NAT,采用-j MASOUERADEIptables t nat A POSTROUTING s 10.10.1.0/24 o ppp0 j MASOUERADEDNAT:Iptables t nat A PREROUTING I eth0 d 218.75.26.34/32 j DNAT to 10.10.2.3基于端口的NAT假设主机10.10.2.3只为外网提供服务,只需要开通80端口,而主机10.10.2.9为外网提ftp服务,只需要开通21,这是只要把21875.26.34的80端口和21端口分别映射到10.10.2.3和10.10.2.9的80端口和21端口。
