LINUX下的iptables

iptables有三种链
1：INPUT (进来的链)
2：OUTPUT(出去的链)
3：FORWARD(转发的链)
iptables -A INPUT -p icmp -j DROP

-A(添加一个链) -p 协议 -j(添加动作) 说明添加一个进来的链。协议是icmp动作拒绝。

iptables -L -n (用树形结构来看一下iptables的设置)

iptables -F (清空iptables的设置) 后面也可以加上INPUT 或者是OUTPUT

iptables --help | more (察看iptables的帮助)

iptables -L -n --line-numbres(察看iptables规则的编号)

iptables -A INPUT -p tcp -d 192.168.0.123 --dport 21 -j DROP
这句话是拒绝到本机的21端口。可以分析到目的地址是本机的192.168.0.123
目的端口是本机的21的端口 -d(目的地址) --dport(目的端口)。


下面我们来做一个实验来讲一下具体的配置。

例：假如我们服务器想配置一个WEB服务器。我们为了日后的维护。还要把SSHD打开

1：首先把所有规则DROP

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
P为大写

2 iptables -A INPUT -p tcp -d 192.168.0.123 --dport 22 -j ACCEPT
因为想要别人连我们的22 目的地址为本机的192.168.0.123 目的端口 22

3 iptables -A OUTPUT -p tcp -s 192.168.0.123 --sport 22 -j ACCEPT
我们还要给返回数据包那么源地址是本机的192.168.0.123 源端口22

4 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
外面通过INPUT链来访问本机的80端口，本机是目的地址 放开本机的IP和80端口

5 iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
本机还要返回数据包 ，通过OUTPUT链出去。源地址为本机 源端口为本机的80

6 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
还要把DNS放开，不然在DNS解析的时候会出现超时。做为客户端我们OUTPUT链出去
目的端口为udp的53 这里能解析服务器了。

7 iptables -A INPUT -p udp --sport 53 -j ACCEPT

对方接到包的时候返回包的时候INPUT的链进来 源地址端口为UDP 53

8 如果本机既是客户机又是服务器的时候。要加上
iptables -A INPUT -p udp --dport 53 -j ACCEPT
做为服务器能够解析INPUT进来的包 目的地址为53
iptables -A OUTPUT -P udp --sport 53 -j ACCEPT
做为服务器OUTPUT出去的包要经过源地址的 udp 53 端口

9 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
这样做可以让本机的回环设备可以使用

10 iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j
   ACCEPT
 
为了安全我们在OUTPUT链中设置为只有连过的包我们还通过。
-m(添加)与本机22端口 匹配的条件的出去

我们把iptables -A OUTPUT -p tcp -s 192.168.0.123 --sport 22 -j ACCEPT
这个不安全的包删除掉。
iptables -D OUTPUT 1

11 iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

同样把iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT 删除掉
iptables -D OUTPUT 2

12 如果做为22的客户端

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -P tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

13 service iptables save(保存设置)

----------------------------------------------------------------------

我们想要局域网上网
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT (局域网去访问互联网)
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT (互联网访问局域网)
还要把/proc/sys/net/ipv4/ip_forward的值改为1
也可以编辑一下/etc/sysctl.conf配置文件，在ipv4这一行把0改成1

SNAT :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-soure 192.168.0.1

DNAT:

iptables -t nat -A PREROUTING -d 10.0.0.254 -p tcp --dport 80 -j DNAT--to-destination 192.168.0.1

我们用编脚本的方法来做一个

在BIN下面
1 touch adsl(adsl是文本文件)
chmod a+x adsl(其他人给予可执行权限)

vi adsl

#!/bin/bash
adsl-stop
adsl-start
echo "1" > /proc/sys/net/ipv4/ip_forward
route add default ppp0
/sbin/iptables -F (清空防火墙)
/sbin/iptables -t nat -F (清空NAT)
/sbin/depmod -a (加载所有的模块)
/sbin/modprobe ip_tables (加载IP表)
/sbin/modprobe iptable_nat (加载iptable_nat)
/sbin/modprobe ip_nat_ftp (支持FTP)
/sbin/modprobe ipt_LOG(记录日志)
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE (IP伪装代动局域网上网)

放在cd /etc/rc.d/
vi rc.local
加入 /bin/adsl

本文出自 51CTO.COM技术博客