20条IPTables防火墙规则用法！

IPTables 包括一组内置和由用户定义规则的「链」，管理员能够在「链」上附加各类数据包处理规则。

• FILTER 默认过滤表，内建的链有：
  • INPUT：处理流入本地的数据包
  • FORWARD：处理经过系统路由的数据包
  • OUTPUT：处理本地流出的数据包
• NAT 实现网络地址转换的表，内建的链有：
  • PREROUTING：处理即将接收的数据包
  • OUTPUT：处理本地产生的数据包
  • POSTROUTING：处理即将传出的数据包
• MANGLE 此表用于改变数据包，共 5 条链：
  • PREROUTING：处理传入链接
  • OUTPUT：处理本地生成的数据包
  • INPUT：处理报文
  • POSTROUTING：处理即将传出数据包
  • FORWARD：处理经过本机转发的数据包

接下来咱们将由简入难介绍 25 条 Linux 管理员最常会用到的 IPTables 规则。

一、启动、中止和重启IPTables

虽然 IPTables 并非一项服务，但在 Linux 中仍是能够像服务同样对其状态进行管理。

基于SystemD的系统

systemctl start iptables
systemctl stop iptables
systemctl restart iptables

基于SysVinit的系统

/etc/init.d/iptables start
/etc/init.d/iptables stop
/etc/init.d/iptables restart

二、查看IPtables防火墙策略

你可使用以下命令来查看 IPtables 防火墙策略：

iptables -L -n -v

以上命令应该返回数据下图的输出：

以上命令是查看默认的 FILTER 表，若是你只但愿查看特定的表，能够在 -t 参数后跟上要单独查看的表名。例如只查看 NAT 表中的规则，可使用以下命令：

iptables -t nat -L -v –n

三、屏蔽某个IP地址

若是你发布有某个 IP 向服务器导入攻击或非正常流量，可使用以下规则屏蔽其 IP 地址：

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

注意须要将上述的 XXX 改为要屏蔽的实际 IP 地址，其中的 -A 参数表示在 INPUT 链的最后追加本条规则。（IPTables 中的规则是从上到下匹配的，一旦匹配成功就再也不继续往下匹配）

若是你只想屏蔽 TCP 流量，可使用 -p 参数的指定协议，例如：

iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP

四、解封某个IP地址

要解封对 IP 地址的屏蔽，可使用以下命令进行删除：

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

其中 -D 参数表示从链中删除一条或多条规则。

五、使用IPtables关闭特定端口

不少时候，咱们须要阻止某个特定端口的网络链接，可使用 IPtables 关闭特定端口。

阻止特定的传出链接：

iptables -A OUTPUT -p tcp --dport xxx -j DROP

阻止特定的传入链接：

iptables -A INPUT -p tcp --dport xxx -j ACCEPT

六、使用Multiport控制多端口

使用 multiport 咱们能够一次性在单条规则中写入多个端口，例如：

iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT

七、在规则中使用 IP 地址范围

在 IPtables 中 IP 地址范围是能够直接使用 CIDR 进行表示的，例如：

iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT

八、配置端口转发

有时咱们须要将 Linux 服务器的某个服务流量转发到另外一端口，此时可使用以下命令：

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525

上述命令会将全部到达 eth0 网卡 25 端口的流量重定向转发到 2525 端口。

九、屏蔽HTTP服务Flood攻击

有时会有用户在某个服务，例如 HTTP 80 上发起大量链接请求，此时咱们能够启用以下规则：

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT

上述命令会将链接限制到每分钟 100 个，上限设定为 200。

十、禁止PING

对 Linux 禁 PING 可使用以下规则屏蔽 ICMP 传入链接：

iptables -A INPUT -p icmp -i eth0 -j DROP

十一、容许访问回环网卡

环回访问（127.0.0.1）是比较重要的，建议你们都开放：

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

十二、屏蔽指定MAC地址

使用以下规则能够屏蔽指定的 MAC 地址：

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP

1三、限制并发链接数

若是你不但愿来自特定端口的过多并发链接，可使用以下规则：

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

以上规则限制每客户端不超过 3 个链接。

1四、清空IPtables规则

要清空 IPtables 链可使用以下命令：

iptables -F

要清空特定的表可使用 -t 参数进行指定，例如：

iptables -t nat –F

1五、保存IPtables规则

默认状况下，管理员对 IPtables 规则的操做会当即生效。但因为规则都是保存在内存当中的，因此重启系统会形成配置丢失，要永久保存 IPtables 规则可使用 iptables-save 命令：

iptables-save > ~/iptables.rules

保存的名称你们能够本身改。

1六、还原IPtables规则

有保存天然就对应有还原，你们可使用 iptables-restore 命令还原已保存的规则：

iptables-restore < ~/iptables.rules

1七、容许创建相关链接

随着网络流量的进出分离，要容许创建传入相关链接，可使用以下规则：

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

容许创建传出相关链接的规则：

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

1八、丢弃无效数据包

不少网络攻击都会尝试用黑客自定义的非法数据包进行尝试，咱们可使用以下命令来丢弃无效数据包：

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

1九、IPtables屏蔽邮件发送规则

若是你的系统不会用于邮件发送，咱们能够在规则中屏蔽 SMTP 传出端口：

iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT

20、阻止链接到某块网卡

若是你的系统有多块网卡，咱们能够限制 IP 范围访问某块网卡：

iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP

源地址能够是 IP 或 CIDR。

免费提供最新Linux技术教程书籍，为开源技术爱好者努力作得更多更好：http://www.linuxprobe.com/