iptables防火墙设置 - 10月30日 文档.docx

在线课：防火墙配置讲师：沈超说明：兄弟连最正直的老师！微博：/lampsc邮箱：shenchao@一简介1功能：分割内网和外网划分要被保护的服务器通过源端口，源ip，源mac，包中特定标记 和目录端口，IP，mac 来确定数据包是否可以通过防火墙2分类1）数据包过滤分析ip和端口，mac是否符合规则，如果符合，接受2）代理服务器3防火墙限制1）防火墙不能有效防止病毒和木马2）防火墙一般不设定对内部访问规则，所以对内部攻击无效4防火墙配置原则拒绝所有，逐个允许允许所有，逐个拒绝5linux常见防火墙2.4----iptables2.2ipchains二iptables防火墙1结构表-------链--------规则2表filter表数据过滤表NAT表网络地址转换Mangle特殊数据包标记3链filter表中：INPUT OUTPUT FORWARD三iptables基础语法1规则的查看和清楚iptables [-t 表名] [选项] -n 选项：-L查看-F清除所有规则-X清除自定义链-Z清除所有链统计-n 以端口和ip显示iptables -t nat -L查看nat表中规则iptables -L查看filter表中规则2定义默认策略iptables -t 表名 -P 链名 ACCEPT|DROP-P（大） 定义默认策略iptables -t filter -P INPUT DROP注意：不要把自己踢出服务器，应该最后设定。3ip和网卡接口设置iptables [-AI 链] [-io 网卡接口] [-p 协议] [-s 源IP] [-d 目标ip] -j 动作-A追加链规则在链规则最后加入此规则-I INPUT 2把此规则插入到INPUT链，变成第二条规则-D 链 条数删除指定链的指定条数防火墙iptables -D INPUT 2产出input链第二条规则-i eth0 指定进入接口要在INPUT链上定义-o eth0指定传出接口要在OUTPUT链上定义-p 协议tcp udp icmp all-j 动作ACCEPTDROPiptables -A 　INPUT -i lo -j ACCEPT允许本机回环网卡通信，在INPUT链iptables -A INPUT -i eth0 -s 54 -j ACCEPT允许254进入eth0iptables -A INPUT -i eth0 -s /24 -j DROP拒绝140网段访问4设定端口访问iptables -A INPUT -i eth0 -p all -s 源ip --sport 源端口 -d 目标ip --dport 目标端口 -j 动作iptables -A INPUT -i eth0 -p tcp -s /24 --dport 22 -j DROPiptables -A INPUT -i eth0 -p tcp -s /24 --dport 137:139 -j ACCEPT指定端口时，协议不能用all，要指定确切协议5模块调用1）-m 模块名 模块选项加载iptables功能模块-m state --state ESTABLISHED,RELATEDiptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPTstate 状态模块常见状态 ESTABLISHED 联机成功的状态 RELATED 返回包状态2）-m mac --mac-source 按照mac地址限制访问iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j DROP拒绝某mac访问3）-m string --string 想要匹配的数据包中字串iptables -A FORWARD -p udp --dport 53 -m string --string tencent --algo kmp -j DROP通过dns拒绝qq登录--algo选择模式匹配策略，支持KMP和BM两种字符串有哪些信誉好的足球投注网站算法，任意指定一个即可6简易防火墙iptables -Fiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -p tcp --