一聚教程网:一个值得你收藏的教程网站

最新下载

linux一些常用iptables防火墙规则整理收集

时间:2013-12-10 00:00:00 编辑:简简单单 来源:转载

安装iptables防火墙

如果没有安装iptables需要先安装,CentOS执行:

yum install iptables
Debian/Ubuntu执行:

apt-get install iptables

清除已有iptables规则

iptables -F
iptables -X
iptables -Z

开放指定的端口

#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT  (注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT

屏蔽IP

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP


#外网 eth0 ──ip为自动获取
#内网 eth1 ──ip 172.16.0.0/16

#!/bin/sh
#
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

#INPUT

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许内网samba(能和windows文件共享通信的一个linux协,不必的不要打开),smtp,pop3,需要imap等协议的,请自行添加相应端口
iptables -A INPUT -p tcp -m multiport --dports 110,80,25,445,1863,5222 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.0.0/16 --dport 139 -j ACCEPT

#允许dns解析通过,如果内网设置了DNS服务器(转发器),那只允许转发器那个IP能过,请自行修改,(-s ip)
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT

#允许外网vpn连接(企业用户有VPN的话,需要打开)
#iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
#iptables -A INPUT -p gre -j ACCEPT

iptables -A INPUT -s 172.16.0.0/16 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#只允许最多20个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

#允许最多20个初始连接,超过的丢弃
iptables -A INPUT -s 172.16.0/16 -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

#禁止icmp通信-ping 建议测试时不要打开
#iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
#iptables -A INPUT -p icmp -j DROP

#内网转发
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

#防止SYN攻击 轻量
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT

#FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 172.16.0.0/16 -m multiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 172.16.0/16 --dport 53 -j ACCEPT

#允许 vpn客户走vpn网络连接外网(网吧一般不必开,企业有VPN的需要打开)
#iptables -A FORWARD -p gre -s 172.16.0.0/16 -j ACCEPT
#iptables -A FORWARD -p icmp -s 172.16.0.0/16 -j ACCEPT

#以下是禁QQ的,在网吧的话不要去掉前面的#
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
#iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
#iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的13:30-20:30禁止QQ通信
#iptables -I FORWARD -s 172.16.0.0/16 -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq网页
#iptables -I FORWARD -s 172.16.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的13:30-20:30禁止QQ网页

#以下禁止一些多站,能配合内网自建的DNS服务器提供错误的IP地址一起使用
iptables -I FORWARD -s 172.16.0.0/16 -m string --string "xxx.com" -j DROP
iptables -I FORWARD -s 172.16.0.0/16 -m string --string "成人" -j DROP
iptables -I FORWARD -p tcp --sport 80 -m string --string "广告" -j DROP
#以上禁止一些网站,开销相对有点大

#以下一段禁止BT,需要有ipp2p的模块
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#禁止BT连接

#以下是对并发连接进行控制
#只允许每组ip同时20个80端口转发
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 16 -j DROP

#以下打开转发 在redhat中,能修改 /etc/sysconfig/sysctl 文件
sysctl -w net.ipv4.ip_forward=1 &>/dev/null

#以下打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#设置默认 TCP 连接痴呆时长为 3800 秒(此选项能大大降低连接数)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null


查看已添加的iptables规则

iptables -L -n
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M) vps侦探
n:只显示IP地址和端口号,不将ip解析为域名

删除已添加的iptables规则

将所有iptables以序号标记显示,执行:

iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则,执行:

iptables -D INPUT 8

文章评论

热门栏目

博聚网