Chinaunix

标题: 【每周一议】iptables的简单应用（20积分已转账-2012-7-11） [打印本页]

作者: dooros 时间: 2012-06-21 10:26
标题: 【每周一议】iptables的简单应用（20积分已转账-2012-7-11）
20积分已转账，请注意查收。

接触linux的人大都知道iptables，做运维的人，肯定知道iptables，iptables是家喻户晓的linux防火墙，功能强大，使用方便。
自RHEL 6.x以来，iptables的管理程序的易用性更是一个质的提升，无论你对防火墙是否了解，无论你对iptables的命令是否熟悉，只需要轻点鼠标就能配置好。

1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
2.除了iptables，你还使用过哪些防火墙？
3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
4.面对防火墙带来的各种问题时，你是如何着手解决的？

欢迎大家分享自己的心得，同时也欢迎大家提出好的议题站内信我，谢谢！

凡是参与讨论的网友都将获得20分的积分奖励，欢迎大家跟帖补充！！希望大家积极参与！！！

作者: Gray1982 时间: 2012-06-21 11:02
回复 1# dooros

一般情况下，流量少的情况下是可以使用的，因为表的问题，在量大的时候会断
所以流量巨大的时候不使用防火墙
一般除了只接受所需要的端口，其它全都不让进出，还需要防点暴力破解和简单的DDOS

作者: shang2010 时间: 2012-06-21 12:32
基本不开，电脑本来就是个人用的，没什么大价值

作者: aca_jingru 时间: 2012-06-22 22:37
偶尔用下。。用的不多，感觉这个还是比较复杂的。。对其了解不深，只会简单的封ip，封端口

作者: 飞灰烟灭 时间: 2012-06-23 16:24
现在我都不开防火墙，开了还卡费CPU

作者: suddenkiller 时间: 2012-06-23 17:24
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
最初是想学习一下linux下netfilter的功能，后来用了硬件防火墙，就没怎么开了。我的测试环境vlan比较多，有时候拿linux server充当路由器，开了转发和nat，做透明代理测试，用了一下redirect。
2.除了iptables，你还使用过哪些防火墙？
juniper ssg5, windows自带的防火墙算么？
3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
iptables -vL -t nat/forward

其它的参数就不列举了，其实很少配置的，不经常建环境。
功能无非是限制源、目的ip、端口，或者细一点的，tcp的状态，new,syc,rst,established,related等，已及icmp包的种类、方向。
做路由转发，以及端口映射，ip地址的转换。
ip重定向，配合squid做透明代理
4.面对防火墙带来的各种问题时，你是如何着手解决的？
首先停用防火墙，看看问题是否能够解决；查看机器上的规则。如果搞不清规则的具体功能，那么建立规则的时候把每天规则都加上记录log的参数，这样就可以通过日至来分析了。通过抓包来分析问题。

作者: fire_cpp 时间: 2012-06-24 15:17
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
为什么开？你懂的。
有硬件防火墙，一般不开吧？没钱用硬的。
相信很多人都是机器托管，数量也不多，上硬的划不来。

2.除了iptables，你还使用过哪些防火墙？
ipfilter

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
iptables -nv -L

4.面对防火墙带来的各种问题时，你是如何着手解决的？
没遇到太多问题，应用不大。遇到了就是规则一条条测试咯，再就是用tcpdump分析。

作者: anonymous0502 时间: 2012-06-24 15:49
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
有硬件防火墙的话则不开防火墙

2.除了iptables，你还使用过哪些防火墙？
没了

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
iptables -L -nv查看规则
iptables -A/I/D/P等等，追加/插入/删除/设置默认策略

4.面对防火墙带来的各种问题时，你是如何着手解决的？
测试过没问题才用
测试机上防火墙脚本比较方便一行行分析测试解决
实在有问题时看情况行事了

作者: KJLCN 时间: 2012-06-24 17:31
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
系统防护。
有必要，毕竟硬件防火墙不是装在我这台服务器上的，而且现在多用虚拟机。

2.除了iptables，你还使用过哪些防火墙？
额，基本上只有空用iptables。

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
iptables -A #添加常用端口
iptables -nL

4.面对防火墙带来的各种问题时，你是如何着手解决的？
1)测试：停用/启用服务，停用/启用规则等；
2)google；

作者: liuxingyuyuni 时间: 2012-06-24 23:52
回复 2# Gray1982

一般除了只接受所需要的端口，其它全都不让进出，还需要防点暴力破解和简单的DDOS

　　我的input开的８０，和ＳＳＨ，其他全部DROP，这段时间有恶意ＩＰ灌水，每天能封1千到3千IP左右，累计到2万条规则，就刷新规则，没有发现特别的情况，记的看手册手册，2w条规则以内都可以很顺利处理，对系统没有太大影响。

作者: 方兆国 时间: 2012-06-25 13:34
我最常用的防火墙命令是
service iptables stop

作者: lsstarboy 时间: 2012-06-25 20:37
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
服务器一般要开，个人的机器无所谓，感觉到受攻击的时候才开，不需要就不开。硬件防火墙不能挡住全部的攻击，也不可能把规则精确到每一台机器，同时硬件防火墙也不能防内部网络的攻击。

2.除了iptables，你还使用过哪些防火墙？
我用的最多其实是ipfw，iptables用的非常少，语法不如ipfw简洁。

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
用的最多的是nat命令。

4.面对防火墙带来的各种问题时，你是如何着手解决的？
这个问题有点模糊，做防火墙的基本原则是把不需要的防掉，同时别把自己关住。

作者: minibufferfly 时间: 2012-06-26 08:49
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
一般不开，开启一般是为了防止远程攻击。如果有硬件防火墙被破解了呢？应该还是有必要开启系统防火墙的，单从安全角度。

2.除了iptables，你还使用过哪些防火墙？
   Windows自带的吧，其他的听过一些，公司这块有IT部门在做。

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
   iptables -nvL -t nat       ===NAT
   iptables -nvL -t mangle ===Qos
4.面对防火墙带来的各种问题时，你是如何着手解决的？
   通过发包，逐条分析。

作者: canyang0708 时间: 2012-06-26 16:04
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
防火墙当然是为了提高系统的安全啊!有硬件防火墙的情况下大多不使用系统防火墙,但是特殊情况下还是会用的
2.除了iptables，你还使用过哪些防火墙？
系统的就这个了,其它的就是硬件的防火墙了
3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
iptables -L/F/A/D/I
4.面对防火墙带来的各种问题时，你是如何着手解决的？
硬件的不是很了解,只能反复确认之后,才去添加规则,再经过反复确认,之后才保存提交
系统的iptables一般是内网测试的,出了问题也不大,大不了去机房清空规则
还没遇到很麻烦的问题

作者: dida2000 时间: 2012-06-28 10:54
学习中，iptables是一个很好的系统安全方案，简单的使用过，没有经验

作者: wlunix 时间: 2012-06-28 11:01
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
提高系统安全吧，有必要，双重保险

2.除了iptables，你还使用过哪些防火墙？
没有其他的了

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
#iptables -L

4.面对防火墙带来的各种问题时，你是如何着手解决的？
查看机器上的规则，看能否找到问题，如果实在解决不了，就google一下咯。

作者: ulovko 时间: 2012-06-28 19:42

1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
2.除了iptables，你还使用过哪些防火墙？
3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
4.面对防火墙带来的各种问题时，你是如何着手解决的？

1> 为了安全以防万一
2> PF
3> 所有规则写到一个脚本进行加载
4> 见招拆招咨询前辈

作者: vermouth 时间: 2012-07-05 10:04
iptables -F 很久了.

作者: abc3w 时间: 2012-07-05 11:14
1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
主要应用于上网网关及服务器轻量级防护;硬件防火墙通常防护一整个网络,系统防火墙防护本地系统,有必要开启.

2.除了iptables，你还使用过哪些防火墙？
SSG,windows自带防火墙,国产第三方软件防火墙

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
iptables -A {INPUT/FORWARD} -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -N WEB_MAIL
iptables -A WEB_MAIL -j LOG ...
iptables -A WEB_MAIL -p tcp --dport 80 -j ACCEPT
iptables -A WEB_MAIL -p tcp --dport 443 -j ACCEPT
iptables -A WEB_MAIL -p tcp --dport 25 -j ACCEPT
iptables -A WEB_MAIL -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s x.x.x.x -j WEB_MAIL

4.面对防火墙带来的各种问题时，你是如何着手解决的？
数据包有来有回,逐条规则检查数据包传输异常原因.

作者: Hongqiyaodao 时间: 2012-07-07 22:44
提示: 作者被禁止或删除内容自动屏蔽

作者: ldyxing 时间: 2012-07-08 19:21
现在要限制某一地区的客户访问一个基于域名的虚拟主机，iptables可以实现吗，IP地址整理好了，近万条。

作者: dbsrv 时间: 2012-07-10 11:17
回复 21# ldyxing

iptables封域名不怕累死就来吧，用squid最好。

作者: ddd010 时间: 2012-07-11 11:04
我的开发服务器就关了 iptable的，我到现在没有感觉到这个有啥用！！

作者: 飞灰烟灭 时间: 2012-07-13 15:52
防火墙开了之后好卡啊，同样两台配置很高的电脑一个开了，一个关了程序运行速度完全不一样的。

作者: soulmoon 时间: 2012-07-14 21:03
iptables封锁域名也挺好的，我都用string 模块的

作者: oldladyfei 时间: 2012-07-16 14:28
...直接关掉了。因为总是要开放很多端口，加入很多规则，且加入后，常常使应用无法访问到。

作者: platinum 时间: 2012-08-07 12:56

Gray1982 发表于 2012-06-21 11:02
回复 1# dooros

一般除了只接受所需要的端口，其它全都不让进出，还需要防点暴力破解和简单的DDOS

DDoS 用 iptables 无法解决，反而会让服务器更加被 DoS

作者: zzzbird 时间: 2012-08-10 22:15
为了安全限制暴力破解等
linux下没用过别的防火墙

封掉所有端口只开有用的限制源地址目的地址等

某些服务无法访问时先停掉防火墙看看是不是能解决

作者: ben123one 时间: 2012-08-13 11:27
俺想通过iptable命令使多台相同的ip的设备不网络冲突，但是没成功，不知道有谁会哈

作者: platinum 时间: 2012-08-14 02:42

dbsrv 发表于 2012-07-10 11:17
回复 21# ldyxing

二者的关注层面不同
iptables 关注的是网络层之上的所有数据，包括 DNS 的域名拦截；squid 只关注应用层，准确说是 HTTP 协议

二者的性能不同
squid 虽然增加 ACL 功能很简单，性能的额外损耗也很小，但在没有 squid 的网络中添加 squid，性能会较没有之前有很大下降
iptables 的 string 虽然利用 kmp、bm 等模式匹配算法可以很高效处理数据，但如果域名很多，性能直线下降

二者的可扩展方式
iptables 可以通过写 match module 来实现高性能域名匹配
squid 可以通过写 plugin 来实现

二者的工作模式不同
iptables 的封禁是通过部署在网关等流量必经之路来实现
squid 可以同 iptables 一样，也可以利用 iptables 做跳转，间接实现透明代理。
但 squid 的透明代理有个问题，例如迅雷这种使用 80 端口但不是 HTTP 协议的软件，80 端口的传输就没法使用了，squid 会认为异常而丢弃请求。

二者的取舍
如果让我选择，我仍然会选 iptables。如果我的网络之前没有使用 squid，我不会因为要增加域名拦截这个功能而增加一个庞然大物。

作者: yizhengming 时间: 2012-08-17 15:11
从来没配置过

作者: tulip0425 时间: 2012-08-18 03:43
好,应该顶，今后继续努力

作者: lostmay 时间: 2012-08-19 13:58
回复 1# dooros

1.你为什么开启防火墙？在有硬件防火墙做前端的基础下，是否还有必要开启系统防火墙？
使用iptables的nat转发功能，公司共享上网。在使用iptables的情况下就要关闭系统防火墙了吧，反正我是没开。

2.除了iptables，你还使用过哪些防火墙？
linux上没有了

3.在不能轻点鼠标的情况下，你最常使用的iptables命令是什么？他们的功能是什么？欢迎大家分享单行脚本。
经常使用的iptables命令就是端口转发，将内网的服务器应用开放到公网。

4.面对防火墙带来的各种问题时，你是如何着手解决的？
新问题新解决，根据网上的以及自己摸索着解决！

作者: dbsrv 时间: 2012-08-23 17:52
回复 30# platinum

白金，你的multiip和domain模块还有更新么？那俩东西适用性太强了，我现在剩了一个rh90的机器一直没舍得换版本就是因为那俩模块。

作者: scybzdk 时间: 2012-08-24 08:27
做透明代理会用到iptables的redirect,tproxy.
搭建普通代理，用到它的nat表就能搞定！其它的防火墙就没有用过了，不晓得ebtables算不算。
不管什么工具，命令，只有在用到实处的时候才发觉它们是如此的强悍！

作者: platinum 时间: 2012-08-26 09:35

dbsrv 发表于 2012-08-23 17:52
回复 30# platinum

我也与时俱进一下，过几天出一个 for CentOS 6.3 x86_64 的版本吧

作者: dbsrv 时间: 2012-08-27 11:50

platinum 发表于 2012-08-26 09:35
我也与时俱进一下，过几天出一个 for CentOS 6.3 x86_64 的版本吧

严重期待中……

作者: liuxingyuyuni 时间: 2013-04-09 09:22
因为简单、好用，尝试过FreeBSD的那个防火墙，到现在连基本配置都没搞成，难道是我过于笨了么

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)