linux安全---iptables防火墙

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux安全---iptables防火墙相关的知识,希望对你有一定的参考价值。

防火墙分为内核态和用户态:

iptables为用户态的

netfilter为内核态的



iptables综合语法:

iptables -t 表名 [选项]  链名 条件 -j  动作

iptables  -t  raw/mangle/nat/filter  -AI/-DFX/-Lvn--line-numbers INPUT/OUTPUT/FORWARD/PREROTING/POSTROUTING  条件  -j   DROP/ACCEPT/REJECT/LOG



个人电脑设置:

/etc/init.d/iptables  stop   ##清空所有规则,包括默认规则

iptables -I INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  

iptables -P INPUT DROP

iptables -P FORWRAD DROP

/etc/init.d/iptables save


服务器防火墙设置:httpddnsdhcpvsftpdpostfixdovecotmysqlsmbssh

/etc/init.d/iptables  stop

iptables -I INPUT -m multiport -p tcp --dport 20,21,22,25,53,80,110,139,445,50000:510000 -j ACCEPT

iptables -I INPUT -m multiport -p udp  --dports 53,67 -j  ACCEPT

iptables -I INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -P INPUT DROP

iptables -P FORWRAD DROP

/etc/init.d/iptables save


SNAT修改源端口  共享一个公网ip使局域网内的所有主机都能上网,可以控制局域网哪个网段可以上网,哪个不可以上

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -A FORWARD -s/-d 内网网段 -j ACCEPT

vi /etc/sysctl.conf--->net.ipv4-forword=1--->sysctl -p #开启路由功能

iptables -T NAT -A POSTRUTING -S 192.168.100.0/24 -O eth0 -j SNAT --to-source 公网ip

iptables -T NAT -A POSTRUTING -S 192.168.100.0/24 -O eth0 -j MASQUERADEL(伪装)

内网主机在/etc/resolv.conf中加入公网DNS

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

/etc/init.d/iptables save


 

 

DNAT修改目的ip,发布内网服务器,必须结合SNAT才能实现

iptables -t NAT -A PREROUTING -i eth0 -d 公网ip -P tcp --dport 80 -j DNAT --to-destination 内网web服务器IP地址:80

iptables -t NAT -A PREROUTING -i eth0 -d 公网ip -P tcp --dport 123423 -j DNAT --to-destination 内网IP地址:22    #外面连接是用公网ip加连接端口号123423


特殊设置:


设置防火墙入站:

iptables -I INPUT -s 192.168.100.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

iptables -I INPUT -i lo -j ACCEPT

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT -s 192.168.100.0/24 -p icmp --icmp-type 8 -m limit --limit 1/m --limit-burst 5 -j ACCEPT

iptables -P INPUT DROP


设置防火墙转发:

iptables -I FORWARD -p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT ##屏蔽 SYN_RECV 的连接

iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT  ##限制IP碎片,每秒钟只允许100个碎片,用来防止DoS攻击

iptables -A FORWARD -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT  ##限制ping包每秒一个,10个后重新开始

iptables -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT  ##限制ICMP包回应请求每秒一个

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.100.0/24 -j ACCEPT  ##允许192.168.100.0/24出站(从eth0到eth1)转发

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT  ##允许内网数据回路

iptables -P FORWARD DROP


本文出自 “LP-linux” 博客,请务必保留此出处http://linuxlp.blog.51cto.com/11463376/1773937

以上是关于linux安全---iptables防火墙的主要内容,如果未能解决你的问题,请参考以下文章

linux iptables:安全应用,防火墙

linux之网络安全

保证Linux系统安全之使用iptables工具管理防火墙

Linux系统安全:安全技术和防火墙

Linux网络安全模型及iptables详解

《网络安全入门到精通》-1.2 - Linux系统 - firewalld防火墙&iptables防火墙