iptables -F #清除所有规则
iptables -X #清除所有自定义规则
iptables -Z #各项计数归零
iptables -P INPUT DROP #将 input 链默认规则设置为丢弃
iptables -P OUTPUT DROP #将 output 链默认规则设置为丢弃
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT #对运行在本机回环地址上的所有服务放行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #把这条语句插在 input 链的最前面(第一条),并且对状态为 ESTABLISHED,RELATED 的连接放行。
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT #允许本机访问其他 80 服务
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT #允许本机发送域名请求
iptables -A OUTPUT -p icmp -j ACCEPT #对本机出去的所有 icmp 协议放行,其实如果仅仅只是允许本机 ping 别的机器,更为严谨的做法是将此语句修改为:
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
对状态为 ESTABLISHED 和 RELATED 的包放行,简单的说,就是说对允许出去的包被对方主机收到后,对方主机回应进来的封包放行。这条语句很重 要,可以省去写很多 iptables 语句,尤其是在有 ftp 服务器的场合。你理解了这个意思,就应该知道,有了这条语句,第 6 条语句其实是可以省略的。
封网站:
iptables -F
iptables -X
iptables -Z
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.10 -d www.qq.com -j DROP(禁止网站)
iptables -A FORWARD -p tcp -s 192.168.1.11/24 -d www.qq.com -o eth0 -j DROP(禁止网段)
iptables -A FORWARD -p tcp -s 192.168.1.12 -d 192.168.1.13 -o eth0 -j DROP(禁止 IP)
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT (这条写在禁止网站的下面)
#安全规则类似 windows 防火墙
iptables -A INPUT -p tcp –dport 1:1024 -j DROP
iptables -A INPUT -p udp –dport 1:1024 -j DROP 这两条可以防止 nmap 探测
iptables -A INPUT -p tcp –dport ** -j ACCEPT (要开放的端口)
#允许的端口,相对协议改一下就可以了, (端口过虑)
iptables 架设安全的 vsftp 服务器
在实际工作中,可用以下脚本架设一台很的内部 FTP;当然也可以配合 Wireshark 理解 vsftpd 的被动与主动的区别,以本机 192.168.0.10 为例,脚本如下:
#!/bin/bash
-F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
#开启 ip 转发功能
echo “1” > /proc/sys/net/ipv4/ip_forward
#加载 ftp 需要的一些模块功能
modprobe ip_conntrack_ftp
modprobe ip_conntrack-tftp
modprobe ip_nat_ftp
modprobe ip_nat_tftp
#为了更安全,将 OUTPUT 默认策略定义为 DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
#开放本机的 lo 环回口,建议开放,不开放的会出现些莫名其妙的问题
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#下面的脚本是架设安全的 vsftpd 关健,后二句脚本是放行服务器向客户端作回应的和已建立连接的数据包,因被动 FTP 比较复杂,六次握手,所以这里采用状态来做
iptables -A INPUT -s 192.168.0.0/24 -p tcp –dport 21 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp –sport 21 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
内网 web 服务器 适用于中小型公司有内网服务器发布的 IPT
防止攻击扫描
防止同步包洪水(Sync Flood)
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
#也有人写作
iptables -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT
#–limit 1/s 限制 syn 并发数每秒 1 次,可以根据自己的需要修改
#防止各种端口扫描
iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
#Ping 洪水攻击(Ping of Death)
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
#Null Scan(possibly)XiKc.om
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL NONE -j DROP
#ubuntu 保存与开机加载
iptables-save > iptables.up.rules
cp iptables.up.rules /etc/
vi /etc/network/interfaces
iptables-save > iptables.up.rules cp iptables.up.rules /etc/ vi /etc/network/interfaces
#在 interfaces 末尾加入
pre-up iptables-restore < /etc/iptables.up.rules
pre-up iptables-restore < /etc/iptables.up.rules
#也可以设置网卡断开的 rules。
post-down iptables-restore < /etc/iptables.down.rules
post-down iptables-restore < /etc/iptables.down.rules
保存
service iptables save
强制所有的客户机访问 192.168.1.100 这个网站
iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.100 (PREROUTING 和 DNAT 一起使用,POSTROUTING 和 SNAT 一起使用)
发布内网的 web 服务器 192.168.1.10
iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT –to-destination 192.168.1.10
端口映射到内网的 3389
iptables -t nat -I PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 192.168.1.10:3389