温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
清净之心,寡欲杂念。
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(224)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_086064',
blogTitle:'防火墙笔记汇总',
blogAbstract:'&版本v3.0（分享版，注：此版仅供参考）\r\n&\r\nLinux系统中\r\n',
blogTag:'iptables,input,dport,路由,output',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:1,
publishTime:9,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'清净之心,寡欲杂念。',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}防火墙脚本
&&&& 日期：&&&&浏览次数：出处：platinum
eth0（外网）
eth1（内网）
对外开了FTP，对内全开
#! /bin/bash/sbin/modprobe ip_conntrack_ftp ports=21/sbin/modprobe ip_nat_ftp ports=21/sbin/iptables -F -t filter/sbin/iptables -F -t nat/sbin/iptables -P INPUT DROP/sbin/iptables -P OUTPUT ACCEPT/sbin/iptables -P FORWARD ACCEPT/sbin/iptables -t nat -P PREROUTING ACCEPT/sbin/iptables -t nat -P POSTROUTING ACCEPT/sbin/iptables -t nat -P OUTPUT ACCEPT
# ALLOW loopback NET and PRIVATE/sbin/iptables -A INPUT -i lo -j ACCEPT/sbin/iptables -A INPUT -i eth1 -j ACCEPT
# FTP/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# KEEP CONNECTIONS/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# NAT /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE服务热线：400-702-1168 ()
您好，访客
||||||||||
linux 防火墙配制
发布时间： 08:00:00&&来源：
ChinaUnix博客 　&&作者：
ChinaUnix博客 　&&点击：265
linux 防火墙基础（iptables）
一、什么是防火墙
防火墙是一套能够在两个或两个以上的网络之间，明显区隔出实体线路联机的软硬件设备组合。被区隔开来的网络，可以透过封包转送技术来相互通讯，透过防火墙的安全管理机制，可以决定哪些数据可以流通，哪些资料无法流通，藉此达到网络安全保护的目的。
防火墙产品可以概略归类为硬件式防火墙和软件式防火墙，但实际上无论是硬件式或软件式防火墙，它们都需要使用硬件来作为联机介接，也需要使用软件来设定安全政策，严格说两者间的差别并不太大。我们只能从使用的硬件与操作系统来加以区分，硬件式防火墙是使用专有的硬件，而软件式防火墙则使用一般的计算机硬件，硬件式防火墙使用专有的操作系统，而软件式防火墙则使用一般的操作系统。
防火墙依照其运作方式来分类，可以区分为封包过滤式防火墙 (Packet Filter) 、应用层网关式防火墙 (Application-Level Gateway，也有人把它称为 Proxy 防火墙)、电路层网关式防火墙 (Circuit-Level Gateway)。其中被广为采用的是封包过滤式防火墙，本文要介绍的 iptables 防火墙就是属于这一种。
封包过滤是最早被实作出来的防火墙技术，它是在 TCP/IP 四层架构下的 IP 层中运作。封包过滤器的功能主要是检查通过的每一个 IP 数据封包，如果其标头中所含的数据内容符合过滤条件的设定就进行进一步的处理，主要的处理方式包含：放行（accept）、丢弃（drop）或拒绝（reject）。要进行封包过滤，防火墙必须要能分析通过封包的来源 IP 与目的地 IP，还必须能检查封包类型、来源埠号与目的埠号、封包流向、封包进入防火墙的网卡接口、TCP的联机状态等数据。
防火墙由于种种理由价格一直居高不下，对于贫穷的中小学来讲要采购一台防火墙，简直是不可能的任务，而由于 Linux 的风行，使用 Linux 来充作软件式防火墙，似乎是不错的解决之道，本文拟介绍以 Linux 上最新最强大的 iptables 防火墙软件，建置出适合学校使用的过滤规则，让缺钱的学校能有一套好用的防火墙来看守校园网络的大门。
二、Linux 防火墙演变简史
Linux 最早出现的防火墙软件称为 ipfw，ipfw 能透过 IP 封包标头的分析，分辨出封包的来源 IP 与目的地 IP、封包类型、来源埠号与目的埠号、封包流向、封包进入防火墙的网卡界面......等，并藉此分析结果来比对规则进行封包过滤，同时也支持 IP 伪装的功能，利用这个功能可以解决 IP 不足的问题，可惜这支程序缺乏弹性设计，无法自行建立规则组合（ruleset）作更精简的设定，同时也缺乏网址转译功能，无法应付越来越复杂的网络环境，而逐渐被淘汰。
取而代之的 ipchains，不但指令语法更容易理解，功能也较 ipfw 优越；ipchains 允许自订规则组合（ruleset），称之为 user-define chains，透过这种设计，我们可以将彼此相关的规则组合在一起，在需要的时候跳到该组规则进行过滤，有效将规则的数量大幅缩减，以往 ipfw 仅能进行循序过滤，导致规则又臭又长的毛病，就不药而愈了。除了这个明显的好处以外，ipchains 并能结合本身的端口对应功能和 redir 程序的封包转送机制，模拟出网址转译的能力，而满足 NAT 的完整需求，堪称为一套成熟的防火墙作品。
防火墙软件的出现，确实曾经让骇客们晚上睡不着觉，因为防火墙的阻隔能够有效让内部网络不设防的单机不致于暴露在外，也能有效降低服务器的能见度，减少被攻击的机会，骇客过去所用的网络探测技术因此受到严格的挑战，越来越多的攻击对象躲藏在防火墙后方，让骇客难以接近，因此必须针对新的情势，研究出新的探测技术，藉以规避防火墙的检查，达到发现目标并进而攻击入侵的目的，新的技术非常多，本文并不拟进一步讨论，请自行参考 CERT 组织的技术文件，网址是 www.cert.org ，想看中文请连到 www.cert.org.tw。
iptables 作为 ipchains 的新一代继承人，当然也针对骇客不断推陈出新的探测技术拟出一些因应之道，那就是对封包的联机状态，作出更详细的分析，例如：是否为新联机或响应封包、是否为转向联机、联机是否失去响应，联机时间是否过长......等等，透过这样的分析能对一些可能被骇客利用的弱点加以阻隔（请详见后文的说明），另外也开发出真正的封包改写能力，不需要透过其它程序的协助来仿真网址转译，除此之外，iptables 也获得系统核心的直接支持，不需要像 ipchains 那样需要自行重新编译核心。
iptables 优越的性能使它取代了 ipchains，成为网络防火墙的主流，而 ipchains 并未被淘汰，目前 ipchains 已经转型成单机防火墙，在安装新版 Linux 时，会自动被安装启用，以保护单机上未被使用的通讯端口。
三、iptables 防火墙概论
iptables 防火墙的指令非常类似于 ipchains，使用过 ipchains 的人应该很容易上手，但是 iptables 的机制与 ipchains 有很大的不同，使用 ipchains 的概念来设定规则，将会使防火墙无法正常运作。ipchains 跟 iptables 最大的不同在于对 INPUT、FORWARD 、OUTPUT 三个网络函数的定义不同，这三个网络函数是 TCP/IP 驱动程序的一部分，结构如下图所示，是介于网卡驱动程序和应用程序的中间，Linux 核心预设会启用 INPUT、OUTPUT 和 LOOPBACK，而 FORWARD 函数则必须自行启用，可以使用下面指令，或直接修改 /etc/sysconfig/network 组态档：
echo &1& & /proc/sys/net/ipv4/ip_forward
左图为 ipchains 概念下的运作图
从上图可以知道 ipchains 如何处理封包的流动，分述如下：
• IP INPUT：所有封包都由 IP INPUT 函式负责处理，所以设定过滤规则时，几乎都是设定在 INPUT 规则炼上，所有流入本机的包由这条链处理。
• IP FORWARD：目的 IP 非本机的 IP，这些封包需要进一步作转送处理，此函式用来处理 IP 伪装和 Port 转换。
• IP OUTPUT：所有流出的封包都由这个函式处理，通常不需设定任何规则。
iptables 除了上述三支函式以外，还使用两个新的函式：Prerouting、Postrouting。现在来比较一下 iptables 的运作模式（loopback 接口与上图相同，所以省略不画）：
从上图可以知道 iptables 如何处理封包的流动，分述如下：
• IP INPUT：只有要到达本机的封包才会 由 INPUT 函式处理，所以会让来自内部网络的封包无条件放行，来自外部网络的封包则过滤是否为响应封包，若是则放行。
• PREROUTING：需要送进来的包由此函式负责处理，此函式用来做目的地 IP 的转译动作（DNAT）。
• IP FORWARD：所有转送封包都在这里处理，这部分的过滤规则最复杂。
• POSTROUTING：需要转送出去的包，先透过这个函式进行来源 IP 的转译动作（SNAT）。
• IP OUTPUT：从本机送出去的封包由这个函式处理，通常会放行所有封包。
iptables 和 ipchains 都可以自行定义规则群组（rule-set），规则群组被称为规则炼（chains），前面所描述的函式，也都有相对应的规则炼（INPUT、 FORWARD、OUTPUT、Prerouting、Postrouting），为了有别于自行定义的规则炼，这些规则炼我们就称为内建规则炼，其运作流程仿真如下图：
从上面两张假想图，学员们不难了解 ipchains 为什么要叫做 chains，因为它是将所有规则串接成一个序列逐一检查过滤，就像一条铁链一样一个环接一个环，在过滤过程中只要符合其中一条规则就会立即进行处理，如果处理动作是跳到某个规则群组，则继续检查群组内之规则设定，但如果处理动作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE，则会中断过滤程序，而不再继续检查后面的规则设定，在这样的结构之下，有时候规则顺序的对调会产生完全相反的结果，这一点在设定防火墙时不能不谨慎。
而 iptables 是采用规则堆栈的方式来进行过滤，当一个封包进入网卡，会先检查 Prerouting，然后检查目的 IP 判断是否需要转送出去，接着就会跳到 INPUT 或 Forward 进行过滤，如果封包需转送处理则检查 Postrouting，如果是来自本机封包，则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理，处理动作除了 ACCEPT、REJECT、DROP、REDIRECT（重定向）和 MASQUERADE（伪装） 以外，还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等，其中某些处理动作不会中断过滤程序，某些处理动作则会中断同一规则炼的过滤，并依照前述流程继续进行下一个规则炼的过滤（注意：这一点与 ipchains 不同），一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是，我们可以进行复杂、多重的封包过滤，简单的说，iptables 可以进行纵横交错式的过滤（tables）而非炼状过滤(chains）。
虽然 iptables 为了扩充防火墙功能，而必须采用比较复杂的过滤流程，但在实际应用时，同一规则炼下的规则设定还是有先后顺序的关系，因此在设定规则时还是必须注意其中的逻辑。
四、订定校园网络安全政策
在实际设定防火墙之前，我们必须根据校园网络的安全需求，先拟定一份安全政策，拟定安全政策前必须搜集以下资料：
1. 找出需要过滤保护的服务器
2. 条列出被保护的服务器将提供何种网络服务
3. 一般工作站，需要何种等级的保护
4. 了解网络架构与服务器摆放位置
根据这些数据，我们可以决定安全政策，以石牌国小为例：
1. 校内使用 NAT 虚拟网络，IP 数量需要两组 C，所有 IP 均需作 IP 伪装
2. 校园内安全需求不高，服务器与工作站摆在同一网段，不需采用 DMZ 设计
3. 由于服务器功能经常扩充，所有服务器均采用一对一对应，不使用 port 转送功能
4. 所有工作站均能自由使用网络资源，不限制只能看网页
5. 服务器提供之服务包含：dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw，不提供 proxy 及其它网络服务
6. 为增进校园网络之安全性，采用正面表列方式进行封包过滤（定义想放行之封包，其余封包一律阻挡）
还有一些网络安全须注意的事项，则是每所学校都应防范的，没有等差之别，例如：联机被绑架、阻断式攻击、连接端口扫描......等。
五、iptables 指令
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时，则一律视为是 filter。各个规则表的功能如下：
nat 此规则表拥有 Prerouting 和 postrouting 与OUTPUT三个规则炼，主要功能为进行一对一、一对多、多对多等网址转译工作（SNAT、DNAT），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的效率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一封包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用途。
mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则炼。
除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以便进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mangle 的用法。
filter 这个规则表是预设规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则炼，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。
常用命令列表：
命令 -A, --append（添加）
范例 iptables -A INPUT ...
说明新增规则到某个规则炼中，该规则将会成为规则炼中的最后一条规则。
命令 -D, --delete（删除）
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
说明从某个规则炼中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。
命令 -R, --replace（替代）
范例 iptables -R INPUT 1 -s 1Array2.168.0.1 -j DROP
说明取代现行规则，规则被取代后并不会改变顺序。
命令 -I, --insert（插入）
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
说明插入一条规则，原本该位置上的规则将会往后移动一个顺位，放在最前面。
命令 -L, --list（列表）
范例 iptables -L INPUT
说明列出某规则炼中的所有规则。
命令 -F, --flush（冲洗）
范例 iptables -F INPUT
说明删除某规则炼中的所有规则。
命令 -Z, --zero
范例 iptables -Z INPUT
说明将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。
命令 -N, --new-chain
范例 iptables -N allowed
说明定义新的规则炼。
命令 -X, --delete-chain
范例 iptables -X allowed
说明删除某个规则炼。
命令 -P, - -policy（策略）
范例 iptables -P INPUT DROP
说明定义过滤策略。 也就是未符合过滤条件的封包，都按这条规则处理，一般定义为拒绝所有的。
命令 -E, - -rename-chain
范例 iptables -E allowed disallowed（不接受）
说明修改某自订规则炼的名称。
常用封包比对参数：
参数 -p, --protocol（协议）
范例 iptables -A INPUT -p tcp
说明对通讯协议类型是否相符，可以使用 ! 运算子进行反向对比，例如：-p ! tcp ，意思是指除 tcp 以外的其它所有类型，包含 udp、icmp ...等。如果要对所有类型，则可以使用 all 关键词，例如：-p all。
参数 -s, --src, --source（源）
范例 iptables -A INPUT -s 1Array2.168.1.1
说明用来比对封包的来源 IP，可以比对单机或网络，比对网络时请用数字来表示屏蔽，例如：-s 1Array2.168.0.0/24，比对 IP 时也可以使用 ! 运算子进行反向比对，例如：-s ! 1Array2.168.0.0/24。
参数 -d, --dst, --destination（目地）
范例 iptables -A INPUT -d 1Array2.168.1.1
说明用来比对封包的目的地 IP，设定方式同上。
参数 -i, - -in-interface
范例 iptables -A INPUT -i eth0
说明用来比对封包是从哪片网卡进入，可以使用通配字符 + 来做大范围比对，例如：-i eth+ 表示所有的 ethernet 网卡，也可以使用 ! 运算子进行反向比对，例如：-i ! eth0。
参数 -o, - -out-interface
范例 iptables -A FORWARD -o eth0
说明用来比对封包要从哪片网卡送出，设定方式同上。
参数 - -sport, - -source-port
范例 iptables -A INPUT -p tcp --sport 22
说明用来比对封包的源端口，可以比对单一端口，或是一个范围，例如：--sport 22:80，表示从 22 到 80 埠之间都算是符合条件，如果要比对不连续的多个埠，则必须使用 --multiport 参数，详见后文。比对端口时，可以使用 ! 运算子进行反向比对。
参数 - -dport, - -destination-port
范例 iptables -A INPUT -p tcp --dport 22
说明用来比对封包的目的地端口号，设定方式同上。
参数 --tcp-flags
范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
说明比对 TCP 封包的状态标致，参数分为两个部分，第一个部分列举出想比对的标致，第二部分则列举前述标致中哪些有被设定，未被列举的标致必须是空的。TCP 状态标致包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对标致时，可以使用 ! 运算子进行反向比对。
参数 --syn
范例 iptables -p tcp --syn
说明用来比对是否为要求联机之 TCP 封包，与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 运算子，可用来比对非要求联机封包。
参数 -m multiport - -source-port
范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
说明用来比对不连续的多个来源端口，一次最多可以比对 15 个端口，可以使用 ! 运算子进行反向比对。
参数 -m multiport - -destination-port
范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
说明用来比对不连续的多个目的地端口，设定方式同上。
参数 -m multiport - -port
范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
说明这个参数比较特殊，用来比对来源端口和目的端口相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为 80 但目的地端口为 110，这种封包并不算符合条件。
参数 - -icmp-type
范例 iptables -A INPUT -p icmp --icmp-type 8
说明用来比对 ICMP 的类型编号，可以使用代码或数字编号来进行比对。请打 iptables -p icmp --help 来查看有哪些代码可以用。
参数 -m limit - -limit
范例 iptables -A INPUT -m limit --limit 3/hour
说明用来比对某段时间内封包的平均流量，上面的例子是用来比对：每小时平均流量是否超过一次 3 个封包。除了每小时平均一次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后： /second、 /minute、/day。除了进行封包数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动作，以避免因骇客使用洪水攻击法，导致服务被阻断。
参数 - -limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
说明用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封包将被直接丢弃。使用效果同上。
参数 -m mac - -mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 ?j DROP
让来自MAC地址为00:00:00:00:00:01主机发的所有数据包都丢弃
说明用来比对封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 Postrouting 规则炼上，这是因为封包要送出到网卡后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包比对时，并不知道封包会送到哪个网络接口去。
参数 - -mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
说明用来比对封包是否被表示某个号码，当封包被比对成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最大不可以超过 42Array4Array672Array6。
参数 -m owner - -uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
说明用来比对来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出去，可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。
参数 -m owner - -gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
说明用来比对来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。
参数 -m owner - -pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
说明用来比对来自本机的封包，是否为某特定行程所产生的，使用时机同上。
参数 -m owner - -sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
说明用来比对来自本机的封包，是否为某特定联机（Session ID）的响应封包，使用时机同上。
参数 -m state - -state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
说明用来比对联机状态，联机状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的联机编号（Session ID）无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的联机。
NEW 表示该封包想要起始一个联机（重设联机或将联机重导向）。
RELATED 表示该封包是属于某个已经建立的联机，所建立的新联机。例如：FTP-DATA 联机必定是源自某个 FTP 联机。
常用的处理动作：
-j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT（拒绝）、DROP（丢弃）、REDIRECT（重定向）、MASQUERADE（伪装）、LOG、DNAT、SNAT、MIRROR（镜像）、QUEUE（队列）、RETURN（返回）、MARK（标记），分别说明如下：
ACCEPT 将封包放行，进行完此处理动作后，将不再比对其它规则，直接跳往下一个规则炼（nat:postrouting）。
REJECT 拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接 中断过滤程序。 范例如下：
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丢弃封包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。
REDIRECT 将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将 会继续比对其它规则。 这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个规则炼（mangle:postrouting）。这个功能与 SNAT 略有不同，当进行 IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡直接读取，当使用拨接连线时，IP 通常是由 ISP 公司的 DHCP 服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports
LOG 将封包相关讯息纪录在 /var/log 中，详细位置请查阅 /etc/syslog.conf 组态档，进行完此处理动作后，将会继续比对其它规则。例如：
iptables -A INPUT -p tcp -j LOG --log-prefix &INPUT packets&
SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则炼（mangle:postrouting）。范例如下：
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 1Array4.236.50.155-1Array4.236.50.160:
DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则炼（filter:input 或 filter:forward）。范例如下：
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 1Array2.168.1.1-1Array2.168.1.10:80-100
MIRROR 镜射封包，也就是将来源 IP 与目的地 IP 对调后，将封包送回，进行完此处理动作后，将会中断过滤程序。
QUEUE 中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用，例如：计算联机费用.......等。
RETURN 结束在目前规则炼中的过滤程序，返回主规则炼继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于提早结束子程序并返回到主程序中。
MARK 将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。范例如下：
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
快速构架Linux防火墙
了解了iptables的基本概念和用法，下面我们就开始正式使用iptables来创建我们的防火墙。启动和停止iptables的方法取决于所使用的Linux发行版，你可以查看所使用Linux版本的文档。在Red Hat中，启动/停止iptables用：
#service iptables start /stop&&
一般情况下，iptables已经包含在了Linux发行版中，可以运行iptables --version来查看系统是否安装了iptables。在我使用的Fedora Core 1中，安装的版本是iptables v1.2.8。如果你的系统确实没有安装iptables，那么可以从以下地址下载：http://www.netfilter.org/
查看规则集
虽然上文对iptables的用法作一个简单介绍，但现实中我们可能需要知道更完整的信息，这时我们可以运行man iptables来查看所有命令和选项的完整介绍，也可以运行iptables help来查看一个快速帮助。要查看系统中现有的iptables规划集，可以运行以下命令：iptables&&-t (nat/filter) ?L&&
清除整个表中的规则可用：iptables ?t (nat/filter)?FXZ
下面是没有定义规划时iptables的样子：
Chain INPUT (policy ACCEPT)
target　 prot opt source　 destination
Chain FORWARD (policy ACCEPT)
target　 prot opt source　 destination
Chain OUTPUT (policy ACCEPT)
target　 prot opt source　 destination
如上面的例子所示，每一个数据包都要通过三个内建的链(INPUT、OUTPUT和FORWARD)中的一个。 filter是最常用的表，上文所示设置所有的表规则的基本语法：iptables [-t table] command [match] [target]。
现实中，不一定要用到这里所列出的所有选项，也不一定是以这个顺序。当然，这是一种惯例，因为规则一般都比较长，为了清晰起见，最好能够按照这个顺序。
在没有指定规则表的情况下，缺省时使用的filter表。在filter表中最常用的三个目标是ACCEPT、DROP和REJECT。DROP会丢弃数据包，不再对其进行任何处理。REJECT会把出错信息传送至发送数据包的主机。虽然有时会有一些预想不到的影响，但在很多时候它还是非常有用。
本例中的规则将会阻止来自某一特定IP范围内的数据包，因为该IP地址范围被管理员怀疑有大量恶意的攻击者在活动：
# iptables -t filter -A INPUT -s 123.456.78Array.0/24 -j DROP
要了解有关iptables详细的参数和命令格式，请使用man iptables查看。可以说，现在我们对于网络上的恶意攻击者已经深恶痛绝，但不管怎么说，我们也不能因为憎恨它们就以同样的方法对其实行简单的报复，至少这种事情不能在你的网络里发生。因此，我们也可以很轻易地阻止所有流向攻击者IP地址的数据包，该命令也只是稍有不同：
# iptables -t filter -A OUTPUT -d 123.456.78Array.0/24 -j DROP
注意这里的A选项，如前所述，使用它说明是给现有的链添加规则。
网络上的恶意攻击者总是在变化着的，因此我们也要不断改变IP。假设我们了解的一个网上攻击者转移到了新的IP地址，而其老的IP地址被分配给了一些清白的用户，那么这时这些用户的数据包就无法通过你的网络了。这种情况下，我们可以使用带-D选项的命令来删除现有的规则：
# iptables -t filter -D OUTPUT -d 123.456.78Array.0/24 -j DROP
缺省的策略
创建一个具有很好灵活性，可以抵御各种意外事件的规则需要花大量的时间。对于那些不想这样做的人，最基本的原则就是“先拒绝所有的数据包，然后再允许需要的”。下面我们来为每一个链设置的规则：（iptables 未设置前缺省为允许所有流量）
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
这里选项-P用于设置链的策略，只有三个内建的链才有策略。这些策略可以让信息毫无限制地流出，但不允许信息流入。但很多时候，我们还是需要接收外部信息的。这时可使用以下命令：
# iptables -t filter -A INPUT -s 123.456.78Array.0/24 -j ACCEPT
我们不能关闭所有的端口，那将会把我们自己完全“与世隔绝”。我们也不能只指定某些端口处于打开状态，因为我们无法预见哪一个端口将会被使用。事实上，只简单地允许目的地为某一特定端口的数据流通过将对阻止恶意的攻击毫无意义。那么我们怎样才能设置一个有效的规则，即可以允许普通用户正常通过，又可以阻止恶意攻击者访问我们的网络呢？
对于刚开始使用iptables的人，我们可以充分利用syn标识来阻止那些未经授权的访问。因为iptables只检测数据包的报头，所以不会增加有效负荷。事实上，除iptables以外，很多其它有用的数据包分析都是基于报头的。
比如，在进行Web冲浪时，一个请求从你的PC发送至其它某一个地方的Web服务器之上，接着该服务器就会响应请求并且向你发回一个数据包，并且得到你的系统上的一个临时端口。与响应请求不同的是，服务器并不关心你所传送的内容。这们可以利用这种特点，来设置一个规则，让它阻止所有没有经过你的系统授权的TCP连接：
# iptables -t filter -A INPUT -i eth0 -p tcp --syn -j DROP
这里的-i指的是网卡，-p则是指协议，--syn则表示带有syn(请求同步标识号)标识设置的TCP数据包。从中我们可以看出，对TCP/IP的了解将非常有利于维护网络安全。SYN用于初始化一个TCP连接，如果你在自己的机器上没有运行任何服务器，别人自然也就不会向你发送SYN数据包了。
就这点而言，有人会说：何必如此麻烦？的确，我们有更简单的创建防火墙的方法，也有很多不错的软件也可以帮助我们来构建自己的规则集，但是我们应该清楚，最简单的办法，往往不是最好的方法。既然我们有更好的方法，为什么不使用呢？
共享一个Internet连接
网络地址翻译和IP伪装都可以实现多台主机共享一个Internet连接，而这个局域网可以是Linux和Windows系统组成的多系统局域网。假设现在我们有一台机器有两个网卡，其中eth0为“公共”网卡，eth1为“私有”网卡。
换句话说，eth0被分配了一个静态的，可路由的IP地址，而eth1则被分配给了一个私有的、不能路由的IP，也就是说该IP是属于该局域网子网的。要实现上述功能，我们需要向nat和filter表中添加一些链：
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# iptables -t filter -A FORWARD -i eth0 -o eth1 -m state ?state&&RELATED,ESTABLISHED -j ACCEPT
# iptables -t filter -A FORWARD -i eth1 -o eth0 -j ACCEPT
这显示了有状态的数据包检测的价值。请注意，我们这里是如何实现流入数据包只有在属于一个已经存在的连接时才被允许的，而所有来自局域网内流向外的数据包则都允许通过 (注意：这里的filter是缺省的表，但它并不是必须的)。第一条规则让所有流出的信息看起来都是来自防火墙机器的，而并不会显示出防火墙后面还有一个局域网。
下面的例子是为FORWARD和POSTROUTING链设置了缺省的策略，在使用伪装时，有一个缺省的POSTROUTING DROP策略是非常重要的，否则，就有可能有心怀恶意的用户突破网关后伪装它自己的身份。
# iptables -t filter -P FORWARD DROP
# iptables -t nat -P POSTROUTING DROP
下面的例子是为了拨号连接设置的，它可以动态地分配IP地址：
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# iptables ?t nat ?A POSTROUTING ?s “内网ip/前缀” ?j SNAT - -to “外网ip”
目地地址转换
可以用来隐藏内部服务器的地址以保证内部服务器的高度安全，而外网可以访问内网提供的服务，把访问服务器的一特定端口转到一内部服务器提供的服务上。
#iptables ?t nat ?A PREROUTING ?d “外网卡IP”-p [协议] -?dport [port] ?j DNAT -?to-destination “内网服务器IP”
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
DNAT的重定向
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 1.2.4.4:8080
规则的保存
使用脚本更改规则的问题是：改动每个规则都要调用命令iptables，而每一次调用iptables，它首先要把netfilter内核空间中的整个规则集都提取出来，然后再插入或附加，或做其他的改动，最后，再把新的规则集从它的内存空间插入到内核空间中,这显然会花费很多时间。
为了解决这个问题，可以使用命令iptables-save & filename和iptables-restore
。iptables-save用来把规则集保存到一个特殊格式的文本文件里，而iptables-restore则用来把这个文件重新装入到内核空间中。
这两个命令最好的地方在于一次调用就可以装载和保存规则集，而不像脚本中每个规则都要调用一次iptables。
iptables-save运行一次就可以把整个规则集从内核里提取出来，并保存到文件里，而iptables-restore每次装入一个规则表。换句话说，对于一个很大的规则集，如果用脚本来设置，那这些规则就会反复地被卸载、安装很多次，而我们现在可以把整个规则集一次就保存下来，安装时则是一次一个表，这可是节省了大量的时间。所以，一旦测试结果令你满意，你就可以将它们保存为脚本：
# iptables-save & iptables-script
现在，信息包过滤表中的所有规则都被保存在文件iptables-script中。无论何时再次引导系统，都可以使用 iptables-restore 命令将规则集从该脚本文件恢复到信息包过滤表，恢复指令如下所示：
# iptables-restore 如果您愿意在每次引导系统时自动恢复该规则集，则可以将上面指定的这条命令放到任何一个初始化shell脚本中。
事实上，大部分发行版都为用户提供了一个可以自动加载的文件，让用户在其中编辑规则集，并且大部分发行版都会有一个已经预先配置好的防火墙。不同的发行版的配置文件位置不尽相同，我们可以使用命令locate iptables来找到配置文件。对于Red Hat或者 Fedora Core而言，这个配置文件位于/etc/sysconfig/iptables。该文件初始的内容如下：
1 # Firewall configuration
3 :INPUT&&[0:0]
4 :FORWARD&&[0:0]
5 :OUTPUT&&[0:0]
7 # your rules here
Array COMMIT
建议将其基本框架改成以下内容：
2 :INPUT DROP [0:0]
3 :FORWARD DROP [0:0]
4 :OUTPUT ACCEPT [0:0]
6 # allow local loopback connections
7 -A INPUT -i lo -j ACCEPT
Array # drop INVALID connections
10 -A INPUT　 -m state --state INVALID -j DROP
11 -A OUTPUT　-m state --state INVALID -j DROP
12 -A FORWARD -m state --state INVALID -j DROP
14 # allow all established and related
15 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
17 # add anymore rules here
1Array COMMIT
以上内容由
搜集整理，如转载请注明原文出处，并保留这一部分内容。
　　“华夏名网”
是成都飞数科技有限公司的网络服务品牌，专业经营虚拟主机,域名注册，VPS,服务器租用业务。公司创建于2002年，经过6年的高速发展，“华夏名网”已经成为我国一家知名的互联网服务提供商，被国外权威机构评价为十大IDC服务商之一。
华夏名网网址导航:
上一篇：下一篇：
(4916次点击) (2768次点击) (4158次点击) (2793次点击) (2372次点击) (3729次点击) (3570次点击) (2359次点击) (2529次点击) (2438次点击)
(3416次点击) (3234次点击) (3245次点击) (3990次点击) (2412次点击) (2322次点击) (3214次点击) (3623次点击) (2354次点击) (2335次点击)
&2002- 飞数科技 版权所有
电话总机：028-91 94
公司地址：四川省成都市青龙街51号倍特康派大厦10楼5号}