iptables配置防火墙(iptables配置防火墙规则)

本文目录：

• 1、配置iptables防火墙的方法（十万火急）跪求
• 2、如何使用iptables命令为Linux系统配置防火墙
• 3、在linux 下如何设置iptables 防火墙
• 4、linux中iptables防火墙怎么设置
• 5、如何配置Ubuntu 14.04中的IPTables防火墙

配置iptables防火墙的方法（十万火急）跪求

Linux系统里配置iptables代理防火墙视频全过程

配置iptables静态防火墙

1、初始化防火墙

在shell提示符#下键入：

iptables -F

iptables -X

iptables -Z

利用iptables配置您自己的防火墙之前，首先要清除任何以前配置的规则。

2、配置规则:

2.1、配置默认策略

iptables -P INPUT DROP

这一条命令将阻止任何从网络进入电脑的数据包丢弃（drop）。此时，假如您ping 127.0.0.1，您就会发现屏幕一直停在那里，因为ping收不到任何应答数据包。

2.2、创建用户自定义的链

iptables -N MYINPUT

iptables -N MYDROPLOG

2.3 、添加规则

iptables -A INPUT -j MYINPUT

这条规则将任何进入电脑的包转发到自定义的链进行过滤。

iptables -A MYINPUT -p icmp -j ACCEPT

此时再输入命令 ping 127.0.0.1，结果还会和刚才相同吗？

假如要访问www服务

iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT

这条规则允许来自网络并且源端口是80的数据进入电脑。80端口正是www服务所使用的端口。现在能够看网页了。但是，假如您在浏览器的地址中输入，能看到网页吗？您得到的结果一定是：很难找到主机。假如您再输入211.94.144.100，您仍然能够访问baidu的网页。为什么？因为假如访问，电脑需要先进行域名解析获取对应的ip地址211.94.144.100才能正常访问。我们还需要打开DNS。

iptables -A MYINPUT -p udp --sport 53 -j ACCEPT

这条规则接受任何UDP协议53端口的数据。53正是DNS服务所用的端口。此时测试一下，您能通过域名访问www吗？您能通过ip访问www吗？当然，都能够！

丢弃其他的任何网络数据包

iptables -A MYINPUT -j MYDROPLOG

iptables -A MYDROPLOG -j DROP

2.4、记录日志

iptables -I MYDROPLOG 1 -j LOG --log-prefix '〔IPTABLES DROP LOGS〕:' --log-level debug

这样任何被丢弃的网络数据包都被记录下来了，访问网络的周详信息能够查看日志。至此，一个安全的个人静态防火墙已构建，能够根据访问网络的具体需求再次配置防火墙，满足各种需求。

3、查看防火墙

此时能够查看防火墙了

iptables -L --line-number

能够将上面的实验内容总结一下，写成一个脚本。

#!/bin/bash

# This is a script of

# a personal static firewall

iptables -F

iptables -X

iptables -Z

iptables -P INPUT DROP

iptables -N MYINPUT

iptables -N MYDROPLOG

iptables -A INPUT -j MYINPUT

iptables -A MYINPUT -p icmp -j ACCEPT

iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT

iptables -A MYINPUT -p udp --sport 53 -j ACCEPT

iptables -A MYINPUT -j MYDROPLOG

iptables -A MYDROPLOG -j DROP

iptables -I MYDROPLOG 1 -j LOG --log-prefix '〔IPTABLES DROP LOGS〕:' --log-level debug

iptables -L --line-number

运行脚本快速实现自己的防火墙。

如何使用iptables命令为Linux系统配置防火墙

（1）查看本机关于IPTABLES的设置情况

代码如下：

［root@tp ~］# iptables -L -n

Chain INPUT （policy ACCEPT）

target prot opt source destination《/p》 《p》Chain FORWARD （policy ACCEPT）

target prot opt source destination《/p》 《p》Chain OUTPUT （policy ACCEPT）

target prot opt source destination《/p》 《p》Chain RH-Firewall-1-INPUT （0 references）

target prot opt source destination

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255

ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0

ACCEPTah--0.0.0.0/00.0.0.0/0

ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353

ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631

ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED，ESTABLISHED

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25

REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited

可以看出我在安装linux时，选择了有防火墙，并且开放了22，80，25端口。

如果你在安装linux时没有选择启动防火墙，是这样的

代码如下：

［root@tp ~］# iptables -L -n

Chain INPUT （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain FORWARD （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain OUTPUT （policy ACCEPT）

target prot opt source destination

什么规则都没有。

（2）清除原有规则。

不管你在安装linux时是否启动了防火墙，如果你想配置属于自己的防火墙，那就清除现在filter的所有规则。

代码如下：

［root@tp ~］# iptables -F 清除预设表filter中的所有规则链的规则

［root@tp ~］# iptables -X 清除预设表filter中使用者自定链中的规则

我们在来看一下

代码如下：

［root@tp ~］# iptables -L -n

Chain INPUT （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain FORWARD （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain OUTPUT （policy ACCEPT）

target prot opt source destination

什么都没有了吧，和我们在安装linux时没有启动防火墙是一样的。（提前说一句，这些配置就像用命令配置IP一样，重起就会失去作用），怎么保存。

代码如下：

［root@tp ~］# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了。写入后记得把防火墙重起一下，才能起作用。

代码如下：

［root@tp ~］# service iptables restart

现在IPTABLES配置表里什么配置都没有了，那我们开始我们的配置吧

（3）设定预设规则

代码如下：

［root@tp ~］# iptables -P INPUT DROP

［root@tp ~］# iptables -P OUTPUT ACCEPT

［root@tp ~］# iptables -P FORWARD DROP

在linux 下如何设置iptables 防火墙

Iptable -A Input -p Tcp -d 自己的IP地址 b --dPort 端口 -J Reject

RedHat机器

cat /etc/sysconfig/iptables

*filter

:INPUT ACCEPT [10276:1578052]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [13784:16761487]

-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP

-A INPUT -s 172.16.0.0/255.240.0.0 -j DROP

-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 is interface to internet

# anti Sync Flood

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT

# anti some port scan

-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

# anti ping of death

-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT

COMMIT

chkconfig iptables on

以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)

自动启动

或者是/etc/rc.d/init.d/iptables start手工启动

/etc/rc.d/init.d/iptables stop手工停止

在LINUX下架设防火墙

linuxbird

随着Internet的普及，人们的日常工作与之的关系也越来紧密，因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后，企业的内部资源就象待卖的羔羊一样，面临任人宰割的危险，因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外，更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。

一、什么是防火墙

防火墙(firewall)是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问，逼使各连接点的通过能得到检查和评估。

从诞生到现在，防火墙已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙，象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件也很多，除了下面要专门介绍的IPCHAINS外，还有很多，如：Sinus Firewall、Jfwadmin等。

目前的防火墙从结构上讲，可分为两种：

1） 代理主机结构

内部网络-----代理网关(Proxy Gateway)-----Internet

2） 路由器加过滤器结构

内部网络-----过滤器(Filter)----路由器(Router)----Internet

二、用IPCHAINS构建局域网防火墙的原理

其实从本质上讲，用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。之后，该后台程序就不断地监听（listen)该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。与此同时，再产生一个该绑定的拷贝，继续监听客户端的请求。

IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求，或从外部通往内部网的请求，都进行监听、检查、评估、转发、拒绝等动作。

常用的服务、协议与默认端口。

服务类型 协议 端口

WWW TCP/UDP 80

TELNET

ICMP

SMTP

POP3

FTP

DNS

三、用IPCHAINS作防火墙的步骤

1.安装

IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上，如果没有的话可以到下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持，所以确定已安装了IP-MASQ模块。

在TLC4.0中，把该光盘放入光驱中，

#turbopkg

并选择ipchains，然后按OK就自动自动安装了。

如果你是下载ipchains安装包的话：

1）如果是rpm包：

#rpm –ivh *.rpm

2)如果是.tar.gz包

#tar xvfz *.tar.gz(先把包解开)

再到解开目录

#./configure

#make

#make install

这样就安装成功了。

2.启用ipchains

手工修改 /proc/sys/net/ipv4/ipforward文件，将其内容置为1。

在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件

在/etc/rc.d/目录下的rc.local文件中加上下面这段代码：

if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;

以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。

3.配置ipchains（基本应用）

ipchains对机器的管理是通过对机器的ip地址作为标志的，因而首先得确保你的局域网的机器的ip地址已经配分配好，并且你对之相当熟悉。

Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的，其中input是指对内连接请求的过滤规则，output是指对外连接请求的过滤规则，ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是：

ipchains [ADC] ipchains规则 [ipchains 选项]。

有关命令的详细用法请参考有关HOWTO文档。

现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为：192.168.1.1，假设目前防火墙是进行代理上网，拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为：

+--------------+

| 内部网段 | 192.168.1.1 ISDN、PSDN

| +------------|firewall|===============Internet

| 192.168.1.0 | +--------+

+-------------- +

配置ipchains防火墙规则一般有两种方式：

1） 首先允许所有的包，然后在禁止有危险的包通过防火墙；

2） 首先禁止所有的包，然后再根据所需要的服务允许特定的包通过防火墙。

相比较而言，第二种方式的做法更为安全。

下面是我的rc.ipfwadm的文件内容：

/sbin/depmod –a

/*自动加载所需模块，如果觉得这样有危险，需手动指定安装模块，可以如下面这一小段就是手动指定加载模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_ftp

/*加载ip伪装的ftp模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_irc

/*加载ip伪装的irc模块*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_raudio

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_user

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_autofw

/sbin/modprobe -a -t /lib/modules/2.2.10/ipv4/ip_masq*

/*自动加载ip伪装的相关模块*/

ipchains –F

/*刷新所有的ipchains规则*/

ipchains -P forward DENY

/*拒绝转发所有的ip包*/

/*下面允许特定的包通过*/

/*开设权限比较高的主机*/

ipchains -A forward -s 192.168.1.10/32 -j MASQ

/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/

ipchains -A forward -s 192.168.1.12/32 -j MASQ

/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员，在依次添加*/

ipchains -A forward -s 192.168.1.41/32 -j MASQ

/*for example linuxbird的主机地址：192.168.1.41*/

/*某些机器，因需要不能对外连接*/

ipchains -A forward -s 192.168.1.3/32 -j DENY

/*此机器为内部文档专用机，不能访问外部*/

/*设置内部普通用户能访问的站点*/

ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS

ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS

/*这是上网的DNS服务器，本人用的是福州电信局的DNS*/

/*以下是普通用户能访问的站点，根据需要可以对其增删改*/

ipchains -A forward -d 202.101.98.50/32 -j MASQ

/* public.fz.fj.cn*/

ipchains -A forward -d 202.101.98.60/32 -j MASQ

/* pub5.fz.fj.cn*/

ipchains -A forward -d 202.96.44.14/24 -j MASQ

/*freemail.263.net*/

ipchains -A forward -d 202.99.11.120/32 -j MASQ

/**/

ipchains -A forward -d 205.227.44.44/24 -j MASQ

/* */

ipchains -A forward -d 205.227.44.46/32 -j MASQ

/* lliance.oracle.com*/

#ipchains -A forward -d 205.227.44.237/32 -j MASQ

/* support.oracle.com*/

ipchains -A forward -d 209.246.5.38/24 -j MASQ

/* technet.oracle.com*/

ipchains -A forward -d 137.69.200.8/32 -j MASQ

/* */

ipchains -A forward -d 202.96.125.102/32 -j MASQ

/**/

ipchains -A forward -d 207.105.83.51/32 -j MASQ

/* */

ipchains -A forward -d 207.46.131.30/24 -j MASQ

/* */

ipchains -A forward -d 207.46.130.30/24 -j MASQ

/* */

ipchains -A forward -d 204.146.81.99/32 -j MASQ

/* */

ipchains -A forward -d 202.102.24.74/24 -j MASQ

/* */

ipchains -A forward -d 210.77.34.109/32 -j MASQ

/* */

ipchains -A forward -d 192.138.151.66/32 -j MASQ

/* */

ipchains -A forward -d 202.102.26.1/32 -j MASQ

/* */

ipchains -A forward -d 202.102.26.51/32 -j MASQ

/**/

ipchains -A forward -d 202.106.185.2/32 -j MASQ

/* */

……

linux中iptables防火墙怎么设置

Linux系统内核内建了netfilter防火墙机制。Netfilter（数据包过滤机制），所谓的数据包过滤，就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的，效率非常高。

我们可以通过iptables命令来设置netfilter的过滤机制。

iptables里有3张表：

Filter（过滤器），进入Linux本机的数据包有关，是默认的表。

NAT（地址转换），与Linux本机无关，主要与Linux主机后的局域网内计算机相关。

Mangle（破坏者），这个表格主要是与特殊的数据包的路由标志有关（通常不用涉及到这个表的修改，对这个表的修改破坏性很大，慎改之）。

每张表里都还有多条链：

Filter：INPUT, OUTPUT, FORWARD

NAT：PREROUTING, POSTROUTING, OUTPUT

Mangle：PREROUTING, OUTPUT, INPUT, FORWARD

iptables命令的使用

基本格式：iptables [-t table] -CMD chain CRETIRIA -j ACTION

-t table：3张表中的其中一种filter, nat, mangle，如果没有指定，默认是filter。

CMD：操作命令。查看、添加、替换、删除等。

chain：链。指定是对表中的哪条链进行操作，如filter表中的INPUT链。

CRETIRIA：匹配模式。对要过滤的数据包进行描述

ACTION：操作。接受、拒绝、丢弃等。

查看

格式：iptables [-t table] -L [-nv]

修改

添加

格式：iptables [-t table] -A chain CRETIRIA -j ACTION

将新规则加入到表table（默认filter）的chain链的最后位置

插入

格式：iptables [-t table] -I chain pos CRETIRIA -j ACTION

将新规则插入到table表（默认filter）chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为：1 ~ num+1

替换

格式：iptables [-t table] -R chain pos CRETIRIA -j ACTION

用新规则替换table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num

删除

格式：iptables [-t table] -D chain pos

删除table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num

包匹配（CRETIRIA）

上面没有介绍CRETIRIA的规则，在这小节里详细介绍。包匹配就是用于描述需要过滤的数据包包头特殊的字段。

指定网口：

-i ：数据包所进入的那个网络接口，例如 eth0、lo等，需与INPUT链配合

-o: 数据包所传出的那么网络接口，需与OUTPUT链配合

指定协议：

-p：tcp, udp, icmp或all

指定IP网络：

-s：来源网络。可以是IP或网络

IP： 192.168.0.100

网络： 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可

可以在前加 ! 表示取反

-d：目标网格。同 -s

指定端口：

--sport：指定来源端口。可以是单个端口，还可以是连续的端口，例如：1024:65535。

--dport：指定目标端口。同--sport

注意：要指定了tcp或udp协议才会有效。

指定MAC地址：

-m mac --mac-source aa:bb:cc:dd:ee:ff

指定状态：

-m state --state STATUS

STATUS可以是：

INVALID，无效包

ESTABLISHED，已经连接成功的连接状态

NEW，想要新立连接的数据包

RELATED，这个数据包与主机发送出去的数据包有关，（最常用）

例如：只要已建立连接或与已发出请求相关的数据包就予以通过，不合法数据包就丢弃

-m state --state RELATED,ESTABLISHED

ICMP数据比对

ping操作发送的是ICMP包，如果不想被ping到，就可以拒绝。

--icmp-type TYPE

TYPE如下：

8 echo-request（请求）

0 echo-reply（响应）

注意：需要与 -p icmp 配合使用。

操作（ACTION）

DROP，丢弃

ACCEPT，接受

REJECT，拒绝

LOG，跟踪记录，将访问记录写入 /var/log/messages

保存配置

将新设置的规则保存到文件

格式：iptables-save [-t table]

将当前的配置保存到 /etc/sysconfig/iptables

其它

格式：iptables [-t table] [-FXZ]

-F ：请除所有的已制订的规则

-X ：除掉所有用户“自定义”的chain

-Z ：将所有的统计值清0

如何配置Ubuntu 14.04中的IPTables防火墙

# whereis iptables #查看系统是否安装防火墙可以看到:

iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz #表示已经安装iptables

apt-get install iptables #如果默认没有安装，请运行此命令安装防火墙

# iptables -L #查看防火墙配置信息，显示如下:

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

# vi /etc/iptables/rules.v4

添加以下内容(备注:80是指web服务器端口,3306是指MySQL数据库链接端口,22是指SSH远程管理端口.)

*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:syn-flood - [0:0]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT

-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN

-A syn-flood -j REJECT --reject-with icmp-port-unreachable

COMMIT

# iptables-restore /etc/iptables/rules.v4 #使防火墙规则生效

# vi /etc/network/if-pre-up.d/iptables #创建文件，添加以下内容，使防火墙开机启动

#!/bin/bash

iptables-restore /etc/iptables/rules.v4

# chmod +x /etc/network/if-pre-up.d/iptables #添加执行权限

# iptables -L -n查看规则是否生效.

【iptables配置防火墙】的内容来源于互联网，如引用不当，请联系我们修改。