（转）IPTABLES设置详解

cugag

iptables－－静态防火墙实例教程 follow me
介绍：
这篇文章是本人原创，向读者展示了如何一步一步建立静态防火墙来保护您的计算机，同时在每一步中，我力图向读者讲述清楚原理。在这篇教程之后，你将能理解到防火墙内在过滤机制，同时也能自己动手创建符合自己要求的防火墙。
版权所有，转载请注明来自
www.linuxsir.org
并写明作者
1、iptables介绍
iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log）。接下来，我将告诉你如何设置自己的规则，从现在就开始吧。
2、初始化工作
在shell提示符 # 下打入
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
以上每一个命令都有它确切的含义。一般设置你的iptables之前，首先要清除所有以前设置的规则，我们就把它叫做初始化好了。虽然很多情况下它什么也不做，但是保险起见，不妨小心一点吧！ 如果你用的是redhat 或fedora，那么你有更简单的办法
service iptables stop
3、开始设置规则:
接下下开始设置你的规则了
iptables -P INPUT DROP
这一条命令将会为你构建一个非常“安全”的防火墙，我很难想象有哪个hacker能攻破这样的机器，因为它将所有从网络进入你机器的数据丢弃(drop)了。这当然是安全过头了，此时你的机器将相当于没有网络。如果你ping localhost，你就会发现屏幕一直停在那里，因为ping收不到任何回应。
4 、添加规则
接着上文继续输入命令：
iptables -A INPUT -i ! ppp0 -j ACCEPT
这条规则的意思是：接受所有的，来源不是网络接口ppp0的数据。
我们假设你有两个网络接口，eth0连接局域网，loop是回环网（localhost）。ppp0是一般的adsl上网的internet网络接口，如果你不是这种上网方式，那则有可能是eth1。在此我假设你是adsl上网，你的internet接口是ppp0
此时你即允许了局域网的访问，你也可以访问localhost
此时再输入命令 ping localhost，结果还会和刚才一样吗？
到此我们还不能访问www,也不能mail，接着看吧。
5、我想访问www
iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT
允许来自网络接口ppp0(internet接口)，并且来源端口是80的数据进入你的计算机。
80端口正是www服务所使用的端口。
好了，现在可以看网页了。但是，你能看到吗？
如果你在浏览器的地址中输入
www.baidu.com
，能看到网页吗？
你得到的结果一定是：找不到主机
www.baidu.com
但是，如果你再输入220.181.27.5,你仍然能够访问baidu的网页。
为什么？如果你了解dns的话就一定知道原因了。
因为如果你打入www.baidu.com,你的电脑无法取得www.baidu.com这个名称所能应的ip地址220.181.27.5。如果你确实记得这个ip，那么你仍然能够访问www,你当然可以只用ip来访问www，如果你想挑战你的记忆的话^ _ ^，当然，我们要打开DNS。
6、打开dns端口
打开你的dns端口，输入如下命令：
iptables -A INPUT -i ppp0 -p udp -sport 53 -j ACCEPT
这条命令的含义是，接受所有来自网络接口ppp0,upd协议的53端口的数据。53也就是著名的dns端口。
此时测试一下，你能通过主机名称访问www吗？你能通过ip访问www吗？
当然，都可以！
7、查看防火墙
　此时可以查看你的防火墙了
iptables -L
　如果你只想访问www，那么就可以到此为止，你将只能访问www了。 不过先别急，将上面讲的内容总结一下，写成一个脚本。
#!/bin/bash
# This is a script
# Edit by liwei
# establish static firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP
iptables -A INPUT -i ! ppp0 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
8、复杂吗?到此iptables可以按你的要求进行包过滤了。你可以再设定一些端口，允许你的机器访问这些端口。这样有可能，你不能访问QQ，也可能不能打网络游戏，是好是坏，还是要看你自己而定了。顺便说一下，QQ这个东西还真是不好控制，用户与服务器连接使用的好像是8888端口，而QQ上好友互发消息使用的又是udp的4444端口(具体是不是4444还不太清楚)。而且QQ还可以使用www的80端口进行登录并发消息，看来学无止境，你真的想把这个家伙控制住还不容易呢？还是进入我们的正题吧。
如果你的机器是服务器，怎么办？
9、如果不巧你的机器是服务器，并且要提供www服务。显然，以上的脚本就不能符合我们的要求了。但只要你撑握了规则，稍作修改同样也能很好的工作。在最后面加上一句
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
这一句也就是将自己机器上的80端口对外开放了,这样internet上的其他人就能访问你的www了。当然，你的www服务器得工作才行。如果你的机器同时是smtp和pop3服务器，同样的再加上两条语句,将--dport后面的80改成25和110就行了。如果你还有一个ftp服务器，呵呵，如果你要打开100个端口呢……
我们的工作好像是重复性的打入类似的语句，你可能自己也想到了，我可以用一个循环语句来完成，对，此处可以有效的利用shell脚本的功能，也让你体验到了shell脚本语言的威力。看下文：
10、用脚本简化你的工作,阅读下面的脚本
#!/bin/bash
# This is a script
# Edit by liwei
# establish a static firewall
# define const here
Open_ports="80 25 110 10" # 自己机器对外开放的端口
Allow_ports="53 80 20 21" # internet的数据可以进入自己机器的端口
#init
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP #we can use another method to instead it
iptables -A INPUT -i ! ppp0 -j ACCEPT
# define ruler so that some data can come in.
for Port in "$Allow_ports" ; do
iptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
done
for Port in "$Open_ports" ; do
iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
done
这个脚本有三个部分（最前面的一段是注释，不算在这三部分中）
第一部分是定义一些端口：访问你的机器"Open_ports"端口的数据，允许进入；来源是"Allow_ports"端口的数据，也能够进入。
第二部分是iptables的初始化，第三部分是对定义的端口具体的操作。
如果以后我们的要求发生了一些变化，比如,你给自己的机器加上了一个ftp服务器，那么只要在第一部分"Open_ports"的定义中，将ftp对应的20与21端口加上去就行了。呵呵，到此你也一定体会到了脚本功能的强大的伸缩性，但脚本的能力还远不止这些呢！
11、使你的防火墙更加完善
看上面的脚本init部分的倒数第二句
iptables -P INPUT DROP
这是给防火墙设置默认规则。当进入我们计算机的数据，不匹配我们的任何一个条件时，那么就由默认规则来处理这个数据----drop掉，不给发送方任何应答。
也就是说，如果你从internet另外的一台计算机上ping你的主机的话，ping会一直停在那里，没有回应。
如果黑客用namp工具对你的电脑进行端口扫描，那么它会提示黑客，你的计算机处于防火墙的保护之中。我可不想让黑客对我的计算机了解太多，怎么办，如果我们把drop改成其他的动作，或许能够骗过这位刚出道的黑客呢。
怎么改呢？将刚才的那一句( iptables -P INPUT DROP )去掉，在脚本的最后面加上
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable
这样就好多了，黑客虽然能扫描出我们所开放的端口，但是他却很难知道，我们的机器处在防火墙的保护之中。如果你只运行了ftp并且仅仅对局域网内部访问,他很难知道你是否运行了ftp。在此我们给不应该进入我们机器的数据，一个欺骗性的回答，而不是丢弃(drop)后就不再理会。这一个功能，在我们设计有状态的防火墙中(我这里讲的是静态的防火墙)特别有用。
你可以亲自操作一下，看一看修改前后用namp扫描得到的结果会有什么不同？
12、这个教程我想到此就结束了，其中有很多东西在这里没有提到，如ip伪装，端口转发，对数据包的记录功能。还有一个很重要的东西就是：iptables处理数据包的流程.在这里我想告诉你，你设置的过滤规则的顺序很重要，在此不宜详细介绍，因为这样一来，这个教程就会拘泥于细节。
iptables是复杂的，我在linuxsir上看过很多教程，它们往往多而全，反而让人望而生畏，希望我的这个教程，能够指导你入门。加油！
最后，我把完整的脚本写出来如下，你只要修改常量定义部分，就能表现出较大的伸缩性^_^
#!/bin/bash
# This is a script
# Edit by liwei
# establish a static firewall
# define const here
Open_ports="80 25 110 10" # 自己机器对外开放的端口
Allow_ports="53 80 20 21" # internet的数据可以进入自己机器的端口
#init
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# The follow is comment , for make it better
# iptables -P INPUT DROP
iptables -A INPUT -i ! ppp0 -j ACCEPT
# define ruler so that some data can come in.
for Port in "$Allow_ports" ; do
ptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
done
for Port in "$Open_ports" ; do
iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
done
# This is the last ruler , it can make you firewall better
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable

原文：
http://www.linuxsir.org/bbs/showthread.php?t=184634

如果你是新手，请先看我写的
《用iptables设置静太防火墙》
，本文在此基础上写的，很多细节上的问题用它作参考。
########################
版权所有，转载请注明来自
www.linuxsir.org
并写明作者
########################
在这里我必须要解释一下防火墙的状态(state)
比如，你用ssh远程访问，你的主机和远程主机会进行通信。
静态的防火墙会这样处理：
检查时入机器的数据包，发现数据是来源是22端口，当允许时入,连接之后相互通信的数据也一样，检查每个数据，发现数据来源于22端口，允许通过!
如果用有状态的防火墙如何处理呢？
当你连接远程主机成功之后，你的主机会把这个连接记录下来，当有数据从远程ssh服务器再进入你的机器时
检查自己连接状态表，发现这个数据来源于一个已经建立的连接，允许这个数据包进入。
以上两种处理，我们明显的发现static firewall比较生硬，而有状态的防火墙则显得要智能一些！
现在我们来解释一下状态
NEW:如果你的主机向远程机器发时一个连接请求，这个数据包状态是NEW.
ESTABLISHED:当联接建立之后，远程主机和你主机通信数据状态为ESTABLISHED
RELATED: 像ftp这样的服务，用21端口传送命令，而用20端口(port模式)或其他端口(PASV模式)传送数据。在已有21端口上建立好连接后发送命令，用20传送的数据，状态是RELATED
有了以上知识后，接下来时行我们的step by step 吧
首先，我们还是来设置默认规则
iptables -P INPUT DROP
这样你的机器将对所有进入你主机的数据都丢弃
如果你有一台主机只是用于个人桌面应用，那么你的主机不提供任何服务，那么，我们就禁止其他的机器向你的机器发送任何连接请求
iptables -A INPUT -m state --state NEW -j DROP
这个规则将所有发送到你的机器数据包，状态是NEW的包丢弃。这样，也就是不允许其他的机器主动发起对你机器的连接，但是你却可以主动的连接其他的机器，不过仅仅只是连接而已，连接之后的数据就是ESTABLISHED状态的了，我们再加上一条。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
所有已经建立联接，或者与之相关的数据允许通过
好了,们们来总结一下三条语句,因为它是一个很好的个人桌面主机的防火墙。
iptables -P INPUT DROP
#iptables -A INPUT -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
我们看到，第二条被注释掉了，因为那一规则完全可以省去，让默认规则处理就行了。
是不是显得很简单呢，对于个人桌面应用来说，只用刚才那两条语句，就能让你接入internet网的主机足够安全。而且你随意访问internet，但是外部却不能主动发起对你机器的连接，真是爽啊！
当然，如是你的IE有漏洞的话，iptables还是无济于事的，这也不是iptables的工作范围。
我们可看到有状态的防火墙比静态防火墙要"智能"一些,当然规则容易设置一些。
如果你的主机是服务器，接下来的问题就简单了。这里假如我们开了www 和ftp服务。注意ftp的pasv模式，会使用动态的端口来传送数据，而并非20端口。这些对有状态的防火墙来说，轻易做到，甚至不用知道pasv模式的ftp用哪些端口,因为你的主机会认识到ftp给别人主机传送文件时，认识到这些数据是RELATED
在后面加下
iptables -A INPUT -i ppp0 -p tcp -dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -dport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport 80 -j ACCEPT
好了，至此我们的工作就全部完成了，仿照我上一文的方法，最后给出一个脚本，有详细的注释
　
!/bin/bash
#define const here
Accept_Ports="80 20 21" #允许internet访问的自己服务端口
# init
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# set default ruler here
iptables -P INPUT DROP
# Allow inner Network access
iptables -A INPUT -i !ppp0 -j ACCEPT
# set stated ruler here,this is the most important ruler
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# set ruler so that other can access service on your server
for Port in "$Accept_Ports" ; do
iptables -A INPUT -i ppp0 -p udp --dport ${Port} -j ACCEPT
iptables -A INPUT -i ppp0 -p tpc --dport ${Port} -j ACCEPT
done
# the ruler can make you firewall betterd
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable
注：
有状态防火墙需要内核的支持，幸好，多数的发行版都支持这一特征
原文：
http://www.linuxsir.org/bbs/showthread.php?t=224682


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/10656/showart_240859.html