本文將給出25個iptables常用規則示例,這些例子為您提供了些基本的模板,您可以根據特定需求對其進行修改調整以達到期望。 格式 iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型] 參數 示例 1. 刪除已有規則 在開始創建iptables規則之前,你也許需要刪除已有規 ...
本文將給出25個iptables常用規則示例,這些例子為您提供了些基本的模板,您可以根據特定需求對其進行修改調整以達到期望。 格式
iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型] 參數
-P 設置預設策略:iptables -P INPUT (DROP|ACCEPT)-F 清空規則鏈-L 查看規則鏈-A 在規則鏈的末尾加入新規則-I num 在規則鏈的頭部加入新規則-D num 刪除某一條規則-s 匹配來源地址IP/MASK,加嘆號"!"表示除這個IP外。-d 匹配目標地址-i 網卡名稱 匹配從這塊網卡流入的數據-o 網卡名稱 匹配從這塊網卡流出的數據-p 匹配協議,如tcp,udp,icmp--dport num 匹配目標埠號--sport num 匹配來源埠號
示例
1. 刪除已有規則
在開始創建iptables規則之前,你也許需要刪除已有規則。
命令如下:iptables -F(or)iptables –flush
2.設置鏈的預設策略
鏈的預設政策設置為”ACCEPT”(接受),若要將INPUT,FORWARD,OUTPUT鏈設置成”DROP”(拒絕),命令如下:
iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP
當INPUT鏈和OUTPUT鏈都設置成DROP時,對於每一個防火牆規則,我們都應該定義兩個規則。例如:一個傳入另一個傳出。在下麵所有的例子中,由於我們已將DROP設置成INPUT鏈和OUTPUT鏈的預設策略,每種情況我們都將制定兩條規則。當然,如果你相信你的內部用戶,則可以省略上面的最後一行。例如:預設不丟棄所有出站的數據包。在這種情況下,對於每一個防火牆規則要求,你只需要制定一個規則——只對進站的數據包制定規則。
3. 阻止指定IP地址
例:丟棄來自IP地址x.x.x.x的包
iptables -A INPUT -s x.x.x.x -j DROP註:當你在log里發現來自某ip地址的異常記錄,可以通過此命令暫時阻止該地址的訪問以做更深入分析
例:阻止來自IP地址x.x.x.x eth0 tcp的包
iptables -A INPUT -i eth0 -s x.x.x.x -j DROPiptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP
4. 允許所有SSH的連接請求
例:允許所有來自外部的SSH連接請求,即只允許進入eth0介面,並且目標埠為22的數據包
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
5. 僅允許來自指定網路的SSH連接請求
例:僅允許來自於192.168.100.0/24域的用戶的ssh連接請求
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
6.允許http和https的連接請求
例:允許所有來自web - http的連接請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
例:允許所有來自web - https的連接請求
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
7. 使用multiport 將多個規則結合在一起
允許多個埠從外界連入,除了為每個埠都寫一條獨立的規則外,我們可以用multiport將其組合成一條規則。如下所示: 例:允許所有ssh,http,https的流量訪問
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
8. 允許從本地發起的SSH
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
請註意,這與允許ssh連入的規則略有不同。本例在OUTPUT鏈上,我們允許NEW和ESTABLISHED狀態。在INPUT鏈上,我們只允許ESTABLISHED狀態。ssh連入的規則與之相反。
9. 僅允許從本地發起到一個指定的網路域的SSH請求
例:僅允許從內部連接到網域192.168.100.0/24
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
10. 允許從本地發起的HTTPS連接請求
下麵的規則允許輸出安全的網路流量。如果你想允許用戶訪問互聯網,這是非常有必要的。在伺服器上,這些規則能讓你使用wget從外部下載一些文件
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
註:對於HTTP web流量的外聯請求,只需要將上述命令中的埠從443改成80即可。
11. 負載平衡傳入的網路流量
使用iptables可以實現傳入web流量的負載均衡,我們可以傳入web流量負載平衡使用iptables防火牆規則。 例:使用iptables nth將HTTPS流量負載平衡至三個不同的ip地址。
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443
12. 允許外部主機ping內部主機
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
13. 允許內部主機ping外部主機
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
14. 允許迴環訪問
例:在伺服器上允許127.0.0.1迴環訪問。
iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT
15. 允許內部網路域外部網路的通信
防火牆伺服器上的其中一個網卡連接到外部,另一個網卡連接到內部伺服器,使用以下規則允許內部網路與外部網路的通信。此例中,eth1連接到外部網路(互聯網),eth0連接到內部網路(例如:192.168.1.x)。
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
16. 允許出站的DNS連接
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPTiptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
17. 允許NIS連接
如果你使用NIS管理用戶帳戶,你需要允許NIS連接。如果你不允許NIS相關的ypbind連接請求,即使SSH連接請求已被允許,用戶仍然無法登錄。NIS的埠是動態的,先使用命令rpcinfo –p來知道埠號,此例中為853和850埠。 rpcinfo -p | grep ypbind 例:允許來自111埠以及ypbind使用埠的連接請求
iptables -A INPUT -p tcp --dport 111 -j ACCEPTiptables -A INPUT -p udp --dport 111
