L8配置iptables防火墙(一).doc

配置iptables防火墙（一） Linux防火墙基础 Iptables的规则表和链结构 规则表 Filter表:包含三条规则链input ,forward,output Nat表: 包含三条规则链prerouting,postrouting,output Mangle表包含五条规则链prerouting,postrouting,input,output,forward Raw表 包含两条规则链output,prerouting 规则链 Input 链 Output链 Forward链 Prerouting链 Postrouting链 管理和设置iptables规则 管理iptables规则 添加及插入规则 在filter表的input链的末尾添加一条防火墙规则 iptables -t filter -A INPUT -p tcp -j ACCEPT 在filter表的input链中插入一条防火墙规则(此处省略了”-t filter”选项，按默认处理filter表) iptables -I INPUT -p udp -j ACCEPT 在filter表的input链中插入一条防火墙规则(作为链中的第二条规则) iptables -I INPUT 2 -p icmp -j ACCEPT 2. 查看规则表 查看filter表INPUT链中所有规则，同时显示各条规则的顺序号 iptables -L INPUT --line-numbers 查看filter表各链中所有规则的详细信息，同时以数字形式显示地址和端口信息。使用数字形式可以减少地址解析的环节，在一定程度上加快命令执行的速度 iptables -vnL //注意-L选项放最后，否则会将vn当成链名 3.删除，清空规则链 删除filter表INPUT链中的第2条规则 iptables -D INPUT 2 清空filter表,nat表，mangle表各链中的所有规则 iptables -F iptables -t nat -F iptables -t mangle -F 4.设置规则链的默认策略 将filter表中FORWARD规则链的默认策略设为DROP iptables -t filter -P FORWARD DROP 将filter表中FORWARD规则链的默认策略设为ACCEPT iptables -P OUTPUT ACCEPT 5. 获得iptables相关选项用法的帮助信息 查看iptables命令中关于icmp协议的帮助信息 iptables -p icmp -h 6. 新增，删除自定义规则链 在raw表中新增一条自定义的规则链,链名为TCP_PACKETS iptables -t raw -N TCP_PACKETS iptables -t raw -L //查看raw表中的所有规则链相关信息 清空raw表中用户自定义的所有规则链 iptables -t raw -x 条件匹配 通用条件匹配 协议匹配 拒绝进入防火墙的所有icmp协议数据包 iptables -I INPUT -p icmp -j REJECT 允许防火墙转发除icmp协议以外的所有数据包 iptables -A FORWARD -p ! icmp -j ACCEPT iptables -L FORWARD 地址匹配 拒绝转发来自1主机的数据，允许转发来自/24网段的数据 iptables -A FORWARD -s 1 -j REJECT iptables -A FORWARD -s /24 -j ACCEPT 网络接口匹配 丢弃从外网接口（eth1）进入防火墙本机的源地址为私网地址的数据包 iptables -A INPUT -i eth1 -s /16 -j DROP iptables -A INPUT -i eth1 -s /12 -j DROP iptables -A INPUT -i eth1 -s /8 -j DROP 管理员在网关服务器上检测到来自某个IP网段(如/24)的频繁扫描,希望设置iptables规则封堵该IP地址段，两小时后解封 Iptables -I INPUT -s /24 -j DROP //设置封堵策略 Iptables -I FORWARD -s