卡卡網(wǎng)

本文詳細介紹Linux IPTABLES filter表防火墻規(guī)則的查看、添加及刪除的方法，配置Linux服務器時常常用到。

查看本機關(guān)于IPTABLES的設置情況

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

可以看出我在安裝linux時，選擇了有防火墻，并且開放了22,80,25端口。如果你在安裝linux時沒有選擇啟動防火墻，是這樣的：

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么規(guī)則都沒有。

iptables語法

iptables(選項)(參數(shù))

選項

-t<表>：指定要操縱的表；
-A：向規(guī)則鏈中添加條目；
-D：從規(guī)則鏈中刪除條目；
-i：向規(guī)則鏈中插入條目；
-R：替換規(guī)則鏈中的條目；
-L：顯示規(guī)則鏈中已有的條目；
-F：清楚規(guī)則鏈中已有的條目；
-Z：清空規(guī)則鏈中的數(shù)據(jù)包計算器和字節(jié)計數(shù)器；
-N：創(chuàng)建新的用戶自定義規(guī)則鏈；
-P：定義規(guī)則鏈中的默認目標；
-h：顯示幫助信息；
-p：指定要匹配的數(shù)據(jù)包協(xié)議類型；
-s：指定要匹配的數(shù)據(jù)包源ip地址；
-j<目標>：指定要跳轉(zhuǎn)的目標；
-i<網(wǎng)絡接口>：指定數(shù)據(jù)包進入本機的網(wǎng)絡接口；
-o<網(wǎng)絡接口>：指定數(shù)據(jù)包要離開本機所使用的網(wǎng)絡接口。

iptables命令選項輸入順序

iptables -t 表名 <-A/I/D/R> 規(guī)則鏈名 [規(guī)則號] <-i/o 網(wǎng)卡名> -p 協(xié)議名 <-s 源IP/源子網(wǎng)> --sport 源端口 <-d 目標IP/目標子網(wǎng)> --dport 目標端口 -j 動作

表名包括：

• raw：高級功能，如：網(wǎng)址過濾。
• mangle：數(shù)據(jù)包修改（QOS），用于實現(xiàn)服務質(zhì)量。
• net：地址轉(zhuǎn)換，用于網(wǎng)關(guān)路由器。
• filter：包過濾，用于防火墻規(guī)則。

規(guī)則鏈名包括：

• INPUT鏈：處理輸入數(shù)據(jù)包。
• OUTPUT鏈：處理輸出數(shù)據(jù)包。
• PORWARD鏈：處理轉(zhuǎn)發(fā)數(shù)據(jù)包。
• PREROUTING鏈：用于目標地址轉(zhuǎn)換（DNAT）。
• POSTOUTING鏈：用于源地址轉(zhuǎn)換（SNAT）。

動作包括：

• accept：接收數(shù)據(jù)包。
• DROP：丟棄數(shù)據(jù)包。
• REDIRECT：重定向、映射、透明代理。
• SNAT：源地址轉(zhuǎn)換。
• DNAT：目標地址轉(zhuǎn)換。
• MASQUERADE：IP偽裝（NAT），用于ADSL。
• LOG：日志記錄。

清除iptables原有規(guī)則

不管你在安裝linux時是否啟動了防火墻，如果你想配置屬于自己的防火墻，那就清除現(xiàn)在filter的所有規(guī)則。

[root@tp ~]# iptables -F (清除預設表filter中的所有規(guī)則鏈的規(guī)則)
[root@tp ~]# iptables -X (清除預設表filter中使用者自定鏈中的規(guī)則)

我們再來看一下：

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么都沒有了吧，和我們在安裝linux時沒有啟動防火墻是一樣的。（注意：這些配置就像用命令配置IP一樣，重啟就會失去作用，怎么保存？）

[root@tp ~]# /etc/rc.d/init.d/iptables save

這樣就可以寫到/etc/sysconfig/iptables文件里了，寫入后還要把防火墻重啟一下，才能起作用。

[root@tp ~]# service iptables restart

iptables常用命令

service iptables start #啟動
service iptables restart #重啟
service iptables save #保存
service iptables stop #停止
service iptables status #查詢狀態(tài)

現(xiàn)在IPTABLES配置表里什么配置都沒有了，那我們開始我們的配置吧。

設定預設規(guī)則

[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP

上面的意思是，不符合(INPUT、FORWARD)這兩個規(guī)則里的數(shù)據(jù)包就作DROP(放棄)處理，這是控制流入數(shù)據(jù)包的安全配置。而不符合(OUTPUT)這條規(guī)則的數(shù)據(jù)包就作ACCEPT(通過)處理，這是控制流出數(shù)據(jù)包的安全配置。

可以看出INPUT，F(xiàn)ORWARD兩個鏈采用的是允許什么包通過，而OUTPUT鏈采用的是不允許什么包通過。這樣設置還是挺合理的，當然你也可以三個鏈都DROP，但這樣做我認為是沒有必要的，而且要寫的規(guī)則就會增加，但如果你只想要有限的幾個規(guī)則時，如只做WEB服務器，還是推薦三個鏈都是DROP。

特別注意：如果你是遠程SSH登陸來操作的話，當你輸入上述第一個命令iptables -p INPUT DROP，回車的時候就會自動退出遠程，因為你還沒有設置任何規(guī)則。所以務必先別設定預設規(guī)則，要添加完規(guī)則之后，再去設定預設規(guī)則。一旦被迫退出遠程怎么辦？如果是云主機，一般可以在管理后臺通過VNC登錄到服務器。不行的話，唯有聯(lián)系服務商處理了。

添加iptables規(guī)則

首先添加INPUT鏈，INPUT鏈的默認規(guī)則是DROP，所以我們就寫需要ACCETP(通過)的鏈。

為了能采用遠程SSH登陸，我們要開啟22端口。

[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

注意：如果你把預設規(guī)則OUTPUT設置成DROP的話iptables -p OUTPUT DROP，就要寫上下面這條規(guī)則（好多人因為沒有寫這一條規(guī)則，導致始終無法SSH）：

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

其他的端口也一樣，如果開啟了web服務器，OUTPUT設置成DROP的話，同樣也要添加一條規(guī)則：

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

如果做了WEB服務器，開啟80端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

如果做了郵件服務器,開啟25、110端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

如果做了FTP服務器，開啟20、21端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果做了DNS服務器，開啟53端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

如果你還做了其他的服務器，需要開啟哪個端口，照寫就行了。

上面主要寫的都是INPUT規(guī)則，凡是不在上面的規(guī)則里的，都作DROP(不通過)處理。

允許icmp包通過，也就是允許ping：

[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT設置成DROP的話)

允許loopback!(不然會導致DNS無法正常關(guān)閉等問題)：

IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)

下面寫OUTPUT鏈，OUTPUT鏈默認規(guī)則是ACCEPT，所以我們就寫需要DROP(放棄)的鏈。

減少不安全的端口連：

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

有些木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務。既然合法服務都不使用這些非標準端口來通信，阻塞這些端口能夠有效地減少你的網(wǎng)絡上可能被感染的機器和它們的遠程主服務器進行獨立通信的機會。

還有其他端口也一樣，像31335、27444、27665、20034 NetBus、9704、137-139（smb）、2049(NFS)端口也應被禁止，我在這寫的也不全，有興趣的朋友應該去查一下相關(guān)資料。

當然出于更安全的考慮你也可以把OUTPUT鏈設置成DROP，那你添加的規(guī)則就多一些，就像上邊添加允許SSH登陸一樣，照著寫就行了。

標簽: linux技術(shù)  防火墻  IPTABLES  服務器