1. 關於iptables做網關過濾數據包的一些問題
為了能採用遠程SSH登陸,我們要開啟22埠.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
只允許.168.0.3的機器進行SSH連接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子網掩碼數.但要記得把 /etc/sysconfig/iptables 里的這一行刪了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因為它表示所有地址都可以登陸.
寫 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的規則連接也一樣這么設置.
虛擬通道我沒明白你什麼意思,如果是指特定埠,上面就是,如果是指特定設備,舉個網卡的例子給你
開啟轉發功能,(在做NAT時,FORWARD默認規則是DROP時,必須做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丟棄壞的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
處理IP碎片數量,防止攻擊,允許每秒100個
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
設置ICMP包過濾,允許每秒1個包,限制觸發條件是10個包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
上面的操作做完之後別忘了
[root@tp ~]# /etc/rc.d/init.d/iptables save
這樣就可以寫到/etc/sysconfig/iptables文件里了.寫入後記得把防火牆重起一下,才能起作用.
[root@tp ~]# service iptables restart
2. 在linux 下如何設置iptables 防火牆
Linux系統內核內建了netfilter防火牆機制。Netfilter(數據包過濾機制),所謂的數據包過濾,就是分析進入主機的網路數據包,將數據包的頭部數據提取出來進行分析,以決該連接為放行或阻擋的機制。Netfilter提供了iptables這個程序來作為防火牆數據包過濾的命令。Netfilter是內建的,效率非常高。
我們可以通過iptables命令來設置netfilter的過濾機制。
iptables里有3張表:
> Filter(過濾器),進入Linux本機的數據包有關,是默認的表。
> NAT(地址轉換),與Linux本機無關,主要與Linux主機後的區域網內計算機相關。
> Mangle(破壞者),這個表格主要是與特殊的數據包的路由標志有關(通常不用涉及到這個表的修改,對這個表的修改破壞性很大,慎改之)。
每張表裡都還有多條鏈:
Filter:INPUT, OUTPUT, FORWARD
NAT:PREROUTING, POSTROUTING, OUTPUT
Mangle:PREROUTING, OUTPUT, INPUT, FORWARD
iptables命令的使用
基本格式:iptables [-t table] -CMD chain CRETIRIA -j ACTION
-t table:3張表中的其中一種filter, nat, mangle,如果沒有指定,默認是filter。
CMD:操作命令。查看、添加、替換、刪除等。
chain:鏈。指定是對表中的哪條鏈進行操作,如filter表中的INPUT鏈。
CRETIRIA:匹配模式。對要過濾的數據包進行描述
ACTION:操作。接受、拒絕、丟棄等。
查看
格式:iptables [-t table] -L [-nv]
修改
添加
格式:iptables [-t table] -A chain CRETIRIA -j ACTION
將新規則加入到表table(默認filter)的chain鏈的最後位置
插入
格式:iptables [-t table] -I chain pos CRETIRIA -j ACTION
將新規則插入到table表(默認filter)chain鏈的pos位置。原來之後的規則都往後推一位。pos的有效范圍為:1 ~ num+1
替換
格式:iptables [-t table] -R chain pos CRETIRIA -j ACTION
用新規則替換table表(默認filter)chain鏈的pos位置的規則。pos的有效范圍為:1 ~ num
刪除
格式:iptables [-t table] -D chain pos
刪除table表(默認filter)chain鏈的pos位置的規則。pos的有效范圍為:1 ~ num
包匹配(CRETIRIA)
上面沒有介紹CRETIRIA的規則,在這小節里詳細介紹。包匹配就是用於描述需要過濾的數據包包頭特殊的欄位。
指定網口:
-i :數據包所進入的那個網路介面,例如 eth0、lo等,需與INPUT鏈配合
-o: 數據包所傳出的那麼網路介面,需與OUTPUT鏈配合
指定協議:
-p:tcp, udp, icmp或all
指定IP網路:
-s:來源網路。可以是IP或網路
IP: 192.168.0.100
網路: 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可
可以在前加 ! 表示取反
-d:目標網格。同 -s
指定埠:
--sport:指定來源埠。可以是單個埠,還可以是連續的埠,例如:1024:65535。
--dport:指定目標埠。同--sport
注意:要指定了tcp或udp協議才會有效。
指定MAC地址:
-m mac --mac-source aa:bb:cc:dd:ee:ff
指定狀態:
-m state --state STATUS
STATUS可以是:
> INVALID,無效包
> ESTABLISHED,已經連接成功的連接狀態
> NEW,想要新立連接的數據包
> RELATED,這個數據包與主機發送出去的數據包有關,(最常用)
例如:只要已建立連接或與已發出請求相關的數據包就予以通過,不合法數據包就丟棄
-m state --state RELATED,ESTABLISHED
ICMP數據比對
ping操作發送的是ICMP包,如果不想被ping到,就可以拒絕。
--icmp-type TYPE
TYPE如下:
8 echo-request(請求)
0 echo-reply(響應)
注意:需要與 -p icmp 配合使用。
操作(ACTION)
DROP,丟棄
ACCEPT,接受
REJECT,拒絕
LOG,跟蹤記錄,將訪問記錄寫入 /var/log/messages
保存配置
將新設置的規則保存到文件
格式:iptables-save [-t table]
將當前的配置保存到 /etc/sysconfig/iptables
其它
格式:iptables [-t table] [-FXZ]
-F :請除所有的已制訂的規則
-X :除掉所有用戶「自定義」的chain
-Z :將所有的統計值清0
3. 配置iptables防火牆的方法(十萬火急)跪求
Linux系統里配置iptables代理防火牆視頻全過程
http://www.fzcpu.com/news_view.asp?newsid=1418
http://www.turbolinux.com.cn/turbo/wiki/doku.php?id=%E9%98%B2%E7%81%AB%E5%A2%99%E9%85%8D%E7%BD%AE%E5%9F%BA%E7%A1%80:iptables
配置iptables靜態防火牆
1、初始化防火牆
在shell提示符#下鍵入:
iptables -F
iptables -X
iptables -Z
利用iptables配置您自己的防火牆之前,首先要清除任何以前配置的規則。
2、配置規則:
2.1、配置默認策略
iptables -P INPUT DROP
這一條命令將阻止任何從網路進入電腦的數據包丟棄(drop)。此時,假如您ping 127.0.0.1,您就會發現屏幕一直停在那裡,因為ping收不到任何應答數據包。
2.2、創建用戶自定義的鏈
iptables -N MYINPUT
iptables -N MYDROPLOG
2.3 、添加規則
iptables -A INPUT -j MYINPUT
這條規則將任何進入電腦的包轉發到自定義的鏈進行過濾。
iptables -A MYINPUT -p icmp -j ACCEPT
此時再輸入命令 ping 127.0.0.1,結果還會和剛才相同嗎?
假如要訪問www服務
iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT
這條規則允許來自網路並且源埠是80的數據進入電腦。80埠正是www服務所使用的埠。現在能夠看網頁了。但是,假如您在瀏覽器的地址中輸入www..com,能看到網頁嗎?您得到的結果一定是:很難找到主機www..com。假如您再輸入211.94.144.100,您仍然能夠訪問的網頁。為什麼?因為假如訪問www..com,電腦需要先進行域名解析獲取www..com對應的ip地址211.94.144.100才能正常訪問。我們還需要打開DNS。
iptables -A MYINPUT -p udp --sport 53 -j ACCEPT
這條規則接受任何UDP協議53埠的數據。53正是DNS服務所用的埠。此時測試一下,您能通過域名訪問www嗎?您能通過ip訪問www嗎?當然,都能夠!
丟棄其他的任何網路數據包
iptables -A MYINPUT -j MYDROPLOG
iptables -A MYDROPLOG -j DROP
2.4、記錄日誌
iptables -I MYDROPLOG 1 -j LOG --log-prefix '〔IPTABLES DROP LOGS〕:' --log-level debug
這樣任何被丟棄的網路數據包都被記錄下來了,訪問網路的周詳信息能夠查看日誌。至此,一個安全的個人靜態防火牆已構建,能夠根據訪問網路的具體需求再次配置防火牆,滿足各種需求。
3、查看防火牆
此時能夠查看防火牆了
iptables -L --line-number
能夠將上面的實驗內容總結一下,寫成一個腳本。
#!/bin/bash
# This is a script of
# a personal static firewall
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -N MYINPUT
iptables -N MYDROPLOG
iptables -A INPUT -j MYINPUT
iptables -A MYINPUT -p icmp -j ACCEPT
iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT
iptables -A MYINPUT -p udp --sport 53 -j ACCEPT
iptables -A MYINPUT -j MYDROPLOG
iptables -A MYDROPLOG -j DROP
iptables -I MYDROPLOG 1 -j LOG --log-prefix '〔IPTABLES DROP LOGS〕:' --log-level debug
iptables -L --line-number
運行腳本快速實現自己的防火牆。
4. linux出現syn是什麼進程
Linux syn攻擊是一種黑客攻擊,如何處理和減少這種攻擊是系統管理員比較重要的工作,怎麼才能出色的完成這項工作,希望通過本文能給你一啟發,讓你在以後工作中能輕松完成抵禦Linux syn攻擊的任務。
虛擬主機服務商在運營過程中可能會受到黑客攻擊,常見的攻擊方式有SYN,DDOS等。通過更換IP,查找被攻擊的站點可能避開攻擊,但是中斷服務的時間比較長。比較徹底的解決方法是添置硬體防火牆。不過,硬體防火牆價格比較昂貴。可以考慮利用Linux 系統本身提供的防火牆功能來防禦。
抵禦SYN SYN攻擊是利用TCP/IP協議3次握手的原理,發送大量的建立連接的網路包,但不實際建立連接,最終導致被攻擊伺服器的網路隊列被占滿,無法被正常用戶訪問。
Linux內核提供了若干SYN相關的配置,用命令: sysctl -a | grep syn 看到:
net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN隊列的長度,tcp_syncookies是一個開關,是否打開SYN Cookie 功能,該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN 的重試次數。加大SYN隊列長度可以容納更多等待連接的網路連接數,打開SYN Cookie功能可以阻止部分 SYN攻擊,降低重試次數也有一定效果。
調整上述設置的方法是:
增加SYN隊列長度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打開SYN COOKIE功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重試次數:
sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3
為了系統重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local文件中。
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
也有人寫作
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn並發數每秒1次,可以根據自己的需要修改
防止各種埠掃描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻擊(Ping of Death)
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
到這里Linux syn攻擊問題的處理就可以解決了。
5. 急!!!利用 iptables 實現 linux 防火牆功能有關問題的3條命令的解釋.
自己看:
什麼是Iptables?
iptables 是建立在 netfilter 架構基礎上的一個包過濾管理工具,最主要的作用是用來做防火牆或透明代理。Iptables 從 ipchains 發展而來,它的功能更為強大。Iptables 提供以下三種功能:包過濾、NAT(網路地址轉換)和通用的 pre-route packet mangling。包過濾:用來過濾包,但是不修改包的內容。Iptables 在包過濾方面相對於 ipchians 的主要優點是速度更快,使用更方便。NAT:NAT 可以分為源地址 NAT 和目的地址 NAT。
Iptables 可以追加、插入或刪除包過濾規則。實際上真正執行這些過慮規則的是 netfilter 及其相關模塊(如 iptables 模塊和 nat 模塊)。Netfilter 是 Linux 核心中一個通用架構,它提供了一系列的 「表」(tables),每個表由若干 「鏈」(chains)組成,而每條鏈中可以有一條或數條 「規則」(rule)組成。
系統預設的表為 「filter」,該表中包含了 INPUT、FORWARD 和 OUTPUT 3 個鏈。
每一條鏈中可以有一條或數條規則,每一條規則都是這樣定義的:如果數據包頭符合這樣的條件,就這樣處理這個數據包。當一個數據包到達一個鏈時,系統就會從第一條規則開始檢查,看是否符合該規則所定義的條件: 如果滿足,系統將根據該條規則所定義的方法處理該數據包;如果不滿足則繼續檢查下一條規則。最後,如果該數據包不符合該鏈中任一條規則的話,系統就會根據該鏈預先定義的策略來處理該數據包。
? table,chain,rule
iptables 可以操縱3 個表:filter 表,nat 表,mangle 表。
NAT 和一般的 mangle 用 -t 參數指定要操作哪個表。filter 是默認的表,如果沒有 -t 參數,就默認對 filter 表操作。
Rule 規則:過濾規則,埠轉發規則等,例如:禁止任何機器 ping 我們的伺服器,可以在伺服器上設置一條規則:
iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP
從 –s 開始即是一條規則,-j 前面是規則的條件,-j 開始是規則的行為(目的)。整條命令解釋為,在filter 表中的 INPUT 規則鏈中插入一條規則,所有源地址不為 127.0.0.1 的 icmp 包都被拋棄。
Chain 規則鏈:由一系列規則組成,每個包順序經過 chain 中的每一條規則。chain 又分為系統 chain和用戶創建的 chain。下面先敘述系統 chain。
filter 表的系統 chain: INPUT,FORWAD,OUTPUT
nat 表的系統 chain: PREROUTING,POSTROUTING,OUTPUT
mangle 表的系統 chain: PREROUTING,OUTPUT
每條系統 chain 在確定的位置被檢查。比如在包過濾中,所有的目的地址為本地的包,則會進入INPUT 規則鏈,而從本地出去的包會進入 OUTPUT 規則鏈。
所有的 table 和 chain 開機時都為空,設置 iptables 的方法就是在合適的 table 和系統 chain 中添相應的規則。
--------------------------------------------------------------
IPTABLES 語法:
表: iptables從其使用的三個表(filter、nat、mangle)而得名, 對包過濾只使用 filter 表, filter還是默認表,無需顯示說明.
操作命令: 即添加、刪除、更新等。
鏈:對於包過濾可以針對filter表中的INPUT、OUTPUT、FORWARD鏈,也可以操作用戶自定義的鏈。
規則匹配器:可以指定各種規則匹配,如IP地址、埠、包類型等。
目標動作:當規則匹配一個包時,真正要執行的任務,常用的有:
ACCEPT 允許包通過
DROP 丟棄包
一些擴展的目標還有:
REJECT 拒絕包,丟棄包同時給發送者發送沒有接受的通知
LOG 包有關信息記錄到日誌
TOS 改寫包的TOS值
為使FORWARD規則能夠生效,可使用下面2種方法的某種:
[root@rhlinux root]# vi /proc/sys/net/ipv4/ip_forward
[root@rhlinux root]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@rhlinux root]# vi /etc/sysconfig/network
[root@rhlinux root]# echo "FORWARD_IPV4=true" > /etc/sysconfig/network
--------------------------------------------------------
iptables語法可以簡化為下面的形式:
iptables [-t table] CMD [chain] [rule-matcher] [-j target]
--------------------------------------------------------
常用操作命令:
-A 或 -append 在所選鏈尾加入一條或多條規則
-D 或 -delete 在所選鏈尾部刪除一條或者多條規則
-R 或 -replace 在所選鏈中替換一條匹配規則
-I 或 -insert 以給出的規則號在所選鏈中插入一條或者多條規則. 如果規則號為1,即在鏈頭部.
-L 或 -list 列出指定鏈中的所有規則,如果沒有指定鏈,將列出鏈中的所有規則.
-F 或 -flush 清除指定鏈和表中的所由規則, 假如不指定鏈,那麼所有鏈都將被清空.
-N 或 -new-chain 以指定名創建一條新的用戶自定義鏈,不能與已有鏈名相同.
-X 或 -delete-chain 刪除指定的用戶定義簾,必需保證鏈中的規則都不在使用時才能刪除,若沒有指定鏈,則刪除所有用戶鏈.
-P 或 -policy 為永久簾指定默認規則(內置鏈策略),用戶定義簾沒有預設規則,預設規則也使規則鏈中的最後一條規則,用-L顯示時它在第一行顯示.
-C 或 -check 檢查給定的包是否與指定鏈的規則相匹配.
-Z 或 -zero 將指定簾中所由的規則包位元組(BYTE)計數器清零.
-h 顯示幫助信息.
-------------------------------------------------------------
常用匹配規則器:
-p , [!] protocol 指出要匹配的協議,可以是tcp, udp, icmp, all, 前綴!為邏輯非,表示除該協議外的所有協議.
-s [!] address[/mask] 指定源地址或者地址范圍.
-sport [!] port[:port] 指定源埠號或范圍,可以用埠號也可以用/ETC/SERVICES文件中的名子.
-d [!] address[/mask] 指定目的地址或者地址范圍.
-dport [!] port[:port] 指定目的埠號或范圍,可以用埠號也可以用/ETC/SERVICES文件中的名子.
-icmp-type [!] typename 指定匹配規則的ICMP信息類型(可以使用 iptables -p icmp -h 查看有效的ICMP類型名)
-i [!] interface name[+] 匹配單獨或某種類型的介面,此參數忽略時,默認符合所有介面,介面可以使用"!"來匹配捕食指定介面來的包.參數interface是介面名,如 eth0, eht1, ppp0等,指定一個目前不存在的介面是完全合法的,規則直到介面工作時才起作用,折中指定對於PPP等類似連接是非常有用的."+"表示匹配所有此類型介面.該選項只針對於INPUT,FORWARD和PREROUTING鏈是合法的.
-o [!] interface name[+] 匹配規則的對外網路介面,該選項只針對於OUTPUT,FORWARD,POSTROUTING鏈是合法的.
[!] --syn 僅僅匹配設置了SYN位, 清除了ACK, FIN位的TCP包. 這些包表示請求初始化的TCP連接.阻止從介面來的這樣的包將會阻止外來的TCP連接請求.但輸出的TCP連接請求將不受影響.這個參數僅僅當協議類型設置為了TCP才能使用. 此參數可以使用"!"標志匹配已存在的返回包,一般用於限制網路流量,即只允許已有的,向外發送的連接所返回的包.
----------------------------------------------------------
如何制定永久規則集:
/etc/sysconfig/iptables 文件是 iptables 守護進程調用的默認規則集文件.
可以使用以下命令保存執行過的IPTABLES命令:
/sbin/iptables-save > /etc/sysconfig/iptables
要恢復原來的規則庫,可以使用:
/sbin/iptables-restore < /etc/sysconfig/iptables
iptables命令和route等命令一樣,重啟之後就會恢復,所以:
[root@rhlinux root]# service iptables save
將當前規則儲存到 /etc/sysconfig/iptables: [ 確定 ]
令一種方法是 /etc/rc.d/init.d/iptables 是IPTABLES的啟動腳本,所以:
[root@rhlinux root]# /etc/rc.d/init.d/iptables save
將當前規則儲存到 /etc/sysconfig/iptables: [ 確定 ]
以上幾種方法只使用某種即可.
若要自定義腳本,可直接使用iptables命令編寫一個規則腳本,並在啟動時執行:
例如若規則使用腳本文件名/etc/fw/rule, 則可以在/etc/rc.d/rc.local中加入以下代碼:
if [-x /etc/fw/rule]; then /etc/fw/sule; fi;
這樣每次啟動都執行該規則腳本,如果用這種方法,建議NTSYSV中停止IPTABLES.
----------------------------------------------------------
實例:
鏈基本操作:
[root@rh34 root]# iptables -L -n
(列出表/鏈中的所有規則,包過濾防火牆默認使用的是filter表,因此使用此命令將列出filter表中所有內容,-n參數可加快顯示速度,也可不加-n參數。)
[root@rh34 root]# iptables -F
(清除預設表filter中所有規則鏈中的規則)
[root@rh34 root]# iptables -X
(清除預設表filter中使用者自定義鏈中的規則)
[root@rh34 root]# iptables -Z
(將指定鏈規則中的所有包位元組計數器清零)
------------------------------------------------------------
設置鏈的默認策略,默認允許所有,或者丟棄所有:
[root@rh34 root]# iptables -P INPUT ACCEPT
[root@rh34 root]# iptables -P OUTPUT ACCEPT
[root@rh34 root]# iptables -P FORWARD ACCEPT
(以上我們在不同方向設置默認允許策略,若丟棄則應是DROP,嚴格意義上防火牆應該是DROP然後再允許特定)
---------------------------------------------------------------
向鏈中添加規則,下面的例子是開放指定網路介面(信任介面時比較實用):
[root@rh34 root]# iptables -A INPUT -i eth1 -j ACCEPT
[root@rh34 root]# iptables -A OUTPUT -o eth1 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -i eth1 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -o eth1 -j ACCEPT
--------------------------------------------------------------
使用用戶自定義鏈:
[root@rh34 root]# iptables -N brus
(創建一個用戶自定義名叫brus的鏈)
[root@rh34 root]# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP
(在此鏈中設置了一條規則)
[root@rh34 root]# iptables -A INPUT -s 0/0 -d 0/0 -j brus
(向默認的INPUT鏈添加一條規則,使所有包都由brus自定義鏈處理)
----------------------------------------------------------------
基本匹配規則實例:
匹配協議:
iptables -A INPUT -p tcp
(指定匹配協議為TCP)
iptables -A INPUT -p ! tcp
(指定匹配TCP以外的協議)
匹配地址:
iptables -A INPUT -s 192.168.1.1
(匹配主機)
iptables -A INPUT -s 192.168.1.0/24
(匹配網路)
iptables -A FORWARD -s ! 192.168.1.1
(匹配以外的主機)
iptables -A FORWARD -s ! 192.168.1.0/24
(匹配以外的網路)
匹配介面:
iptables -A INPUT -i eth0
iptables -A FORWARD -o eth0
(匹配某個指定的介面)
iptables -A FORWARD -o ppp+
(匹配所有類型為ppp的介面)
匹配埠:
iptables -A INPUT -p tcp --sport www
iptables -A INPUT -p tcp --sport 80
(匹配單一指定源埠)
iptables -A INPUT -p ucp --dport 53
(匹配單一指定目的埠)
iptables -A INPUT -p ucp --dport ! 53
(指定埠以外)
iptables -A INPUT -p tcp --dport 22:80
(指定埠范圍,這里我們實現的是22到80埠)
---------------------------------------------------------------------------------
指定IP碎片的處理:
[root@rh34 root]# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -f -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT
[root@rh34 root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.0/24 192.168.1.234 tcp dpt:http
ACCEPT tcp -f 192.168.1.0/24 192.168.1.234 tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
----------------------------------------------------------------------------------
設置擴展的規測匹配:
(希望獲得匹配的簡要說明,可使用: iptables -m name_of_match --help)
多埠匹配擴展:
iptables -A INPUT -p tcp -m multiport --source-port 22,53,80
(匹配多個源埠)
iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80
(匹配多個目的埠)
iptables -A INPUT -p tcp -m multiport --port 22,53,80
(匹配多個埠,無論是源還是目的埠)
-----------------------------------------------------------------------------
TCP匹配擴展:
iptables -A INPUT -p tcp --tcp-flags SYN,FIN,ACK SYN
(表示SYN、ACK、FIN的標志都要被檢查,但是只有設置了SYN的才匹配)
iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK
(表示ALL:SYN、ACK、FIN、RST、URG、PSH的標志都被檢查,但是只有設置了SYN和ACK的才匹配)
iptables -p tcp --syn
(選項--syn是以上的一種特殊情況,相當於「--tcp-flags SYN,RST,ACK SYN」的簡寫)
--------------------------------------------------------------------------------
limit速率匹配擴展:
[root@redhatlinux9 root]# iptables -A FORWARD -m limit --limit 300/hour
(表示限制每小時允許通過300個數據包)
[root@redhatlinux9 root]# iptables -A INPUT -m limit --limit-burst 10
(--limit-burst指定觸發時間的值(默認為5),用來比對瞬間大量數據包的數量。)
(上面的例子用來比對一次同時湧入的數據包是否超過十個,超過此上限的包將直接被丟棄)
[root@redhatlinux9 root]# iptables -A FORWARD -p icmp -m limit --limit 3/m --limit-burst 3
(假設均勻通過,平均每分鍾3個,那麼觸發值burst保持為3。如果每分鍾通過的包的數目小於3,那麼觸發值busrt將在每個周期(若每分鍾允許通過3個,則周期數為20秒)後加1,但最大值為3。每分鍾要通過的包數量如果超過3,那麼觸發值busrt將減掉超出的數值,例如第二分鍾有4個包,那麼觸發值變為2,同時4個包都可以通過,第三分鍾有6個包,則只能通過5個,觸發值busrt變為0。之後,每分鍾如果包數量小於等於3個,則觸發值busrt將加1,如果每分鍾包數大於3,觸發值busrt將逐漸減少,最終維持為0)
(即每分鍾允許的最大包數量等於限制速率(本例中為3)加上當前的觸發值busrt數。任何情況下,都可以保證3個包通過,觸發值busrt相當於是允許額外的包數量)
---------------------------------------------------------------------------------
基於狀態的匹配擴展(連接跟蹤):
每個網路連接包括以下信息:源和目的地址、源和目的埠號,稱為套接字對(cocket pairs);協議類型、連接狀態(TCP協議)和超時時間等。防火牆把這些叫做狀態(stateful)。能夠監測每個連接狀態的防火牆叫做狀態寶過濾防火牆,除了能完成普通包過濾防火牆的功能外,還在自己的內存中維護一個跟蹤連接狀態的表,所以擁有更大的安全性。
其命令格式如下:
iptables -m state --state [!] state [,state,state,state]
state表示一個用逗號隔開的的列表,用來指定的連接狀態可以有以下4種:
NEW:該包想要開始一個連接(重新連接或將連接重定向)。
RELATED:該包屬於某個已經建立的連接所建立的新連接。例如FTP的數據傳輸連接和控制連接之間就是RELATED關系。
ESTABLISHED:該包屬於某個已經建立的連接。
INVALID:該包不匹配於任何連接,通常這些包會被DROP。
例如:
[root@redhatlinux9 root]# iptables -A INPUT -m state --state RELATED,ESTABLISHED
(匹配已經建立的連接或由已經建立的連接所建立的新連接。即匹配所有的TCP回應包)
[root@redhatlinux9 root]# iptables -A INPUT -m state --state NEW -i ! eth0
(匹配所有從非eth0介面來的連接請求包)
下面是一個被動(Passive)FTP連接模式的典型連接跟蹤
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
[root@redhatlinux9 root]# iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
下面是一個主動(Active)FTP連接模式的典型連接跟蹤
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
--------------------------------------------------------------------------------------
日誌記錄:
格式為: -j LOG --log-level 7 --log-prefix "......"
[root@redhatlinux9 root]# iptables -A FORWARD -m tcp -p tcp -j LOG
[root@redhatlinux9 root]# iptables -A FORWARD -m icmp -p icmp -f -j LOG
[root@redhatlinux9 root]# iptables -A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -p tcp --sport 80 -j LOG
[root@redhatlinux9 root]# iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "INPUT packet died:"
[root@redhatlinux9 root]# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New net syn:"
------------------------------------------------
回答你的問題:
1:設置為DROP默認不允許,然後你再開啟,這樣比門戶大開再阻止某些服務來的安全(避免遺漏)
2:前面阻止了後面就無效了,有先後順序的.
3:你了解了服務和埠號等即可用規則限制.
6. 怎麼阻止syn-flood攻擊高手請進
用iptables對付syn-flood攻擊:
使用說明:
1、 下圖為打開SYNKFW.EXE的界面形狀,其中包括了新建攻擊、激活線程和退出選項。
在此我們要說一下為什麼要發布這個SYNKFW的終結者的DDOS類工具,原因是正版的KFW也就是傲盾防火牆被所謂的中國黑客聯盟破解,並且正
在向網友進行銷售,並且對外宣傳是他們自己開發的產品,對於這種卑鄙的行為,我們感到可恥!不過我們勸告大家,使用抗DDOS類產品的防
火牆最好使用正版授權,不要貪圖便宜而去購買被破解後的版本,如果使用被破解後的KFW防火牆給自己帶來任何的損失那後果將是慘重的,
發布這個版本就是打擊使用破解後的KFW防火牆,如果正在使用破解後的KFW防火牆,在收到此工具發來的攻擊包或許會導致你的硬碟損壞,請
正在使用盜版KFW防火牆的用戶立即停止使用,否則給自己帶來的損失將是慘重的!(同樣黑盟也將會為此事付出代價的)
2、 下圖是SYNKFW攻擊屬性設置的界面,我們簡單介紹一下各個功能。攻擊目標:你要攻擊的機器,比如 192.168.0.1或者域名。
連接:選中連接選項後,攻擊過去的SYN數據包全部是ESTABLISHED狀態,但此選種此選項後攻擊過去後,在被攻擊機器上可以查到真實的攻
擊IP地址,所以不建議選中此選項。
轉移:只有在攻擊目標那裡輸入的是被攻擊的域名此功能才起作用,比如在攻擊目標里輸入的是www.syn.com 那麼會自動攻擊解析的IP地址
,如果域名更換IP後,攻擊工具會自動刷新攻擊新的IP地址,此功能只對部分的DNS伺服器有效,例如萬網,新網的DNS。如果攻擊目標那裡輸
入的是IP地址,請不要選中轉移選項。
偽造源地址:這里也可以不做任何設置,可以使用默認的,那麼攻擊過去的包是隨機的,如果你想指定某一段或者某多段IP地址攻擊,請設
置。例如我想偽造61段攻擊目標,那麼在那裡改為 61.0.0.0到61.255.255.255 那麼攻擊過去數據包都是為 61.x.x.x開頭的攻擊包。
偽造源埠:這里同樣也可以不設置,那麼攻擊所偽造的埠也是隨機的,如果你想偽造某一個或者某一個范圍的埠,請自己設置,例如
80-8000 然後選添加就可以了。建議使用默認的。
默認的攻擊是不需要採用任何設置的,直接在攻擊目標那裡寫如你要攻擊的域名或者IP地址,然後按確定SYNKFW就開始攻擊。一般3個線程可
以掛掉國內比較好的硬體防火牆。
3、開始實戰了。我們去查一個開區著的私服吧。如下圖,就拿第一行的私服來演習。IP地址:218.66.104.138,攻擊埠:7000.
選擇7000埠作為目標埠,原因跟上一篇xdos攻擊文章一樣,只要傳奇私服開放著,它的7000埠就開放並且服務著。除非他要人為去修改
這個埠。要是伺服器修改掉7000埠,他一定會公布出來,不然玩家都不能連接上伺服器,因為登陸器連接伺服器的埠默認為7000。
另外,攻擊7000埠效果更為明顯,直觀,伺服器失去抵抗能力的時候,我們從登陸器上檢測它的連接狀態是否良好,連接速度是否減慢。
就能立即知道伺服器現在的防禦狀態。
4、反復建立攻擊線程,建議使用我們站內提供的流量檢測軟體檢測你的機器打出的攻擊流量。可以一直建立攻擊線程,直到機器流量打到峰值。
如果你要停止掉攻擊,點"退出"就可以了。或者選中線程,點"激活線程"就可以執行攻擊或則暫停的操作。
圖片傳不上來,你到這看:http://3000sf.com/synkfw.html
被syn-flood攻擊和區域網裡面的電腦中毒無直接關系,但是會感染導致你的防火牆無效~~呵呵,希望你得到解決~~~
7. 查看linux的iptables配置,都是什麼意思各個參數
-L 比較慢,要用-vnL
8. iptables conntrack有什麼用
我們先來看看怎樣閱讀/proc/net/ip_conntrack里的conntrack記錄。這些記錄表示的是當前被跟蹤的連接。如果安裝了ip_conntrack模塊,cat /proc/net/ip_conntrack 的顯示類似:
tcp 6 117 syn_sent src=192.168.1.6 dst=192.168.1.9 sport=32775 dport=22 [unreplied] src=192.168.1.9 dst=192.168.1.6 sport=22 dport=32775 use=2
conntrack模塊維護的所有信息都包含在這個例子中了,通過它們就可以知道某個特定的連接處於什麼狀態。首先顯示的是協議,這里是tcp,接著是十進制的6(譯者註:tcp的協議類型代碼是6)。之後的117是這條conntrack記錄的生存時間,它會有規律地被消耗,直到收到這個連接的更多的包。那時,這個值就會被設為當時那個狀態的預設值。接下來的是這個連接在當前時間點的狀態。上面的例子說明這個包處在狀態 syn_sent,這個值是iptables顯示的,以便我們好理解,而內部用的值稍有不同。syn_sent說明我們正在觀察的這個連接只在一個方向發送了一tcp syn包。再下面是源地址、目的地址、源埠和目的埠。其中有個特殊的詞unreplied,說明這個連接還沒有收到任何回應。最後,是希望接收的應答包的信息,他們的地址和埠和前面是相反的。
連接跟蹤記錄的信息依據ip所包含的協議不同而不同,所有相應的值都是在頭文件linux/include/netfilter-ipv4/ip_conntrack*.h中定義的。ip、tcp、udp、icmp協議的預設值是在linux/include/netfilter-ipv4/ip_conntrack.h里定義的。具體的值可以查看相應的協議,但我們這里用不到它們,因為它們大都只在conntrack內部使用。隨著狀態的改變,生存時間也會改變。
9. iptables如何同時限制同網段和不同網段的連接
只有三塊網卡實現兩台xp共享adsl上網的方法
(說明:需要三塊網卡,我們把安裝有adsl設備的主機命名為"主機a」,把需要通過主機a上網的機器命名為"主機b」)
主機a上安裝有兩塊網卡,第一塊用於連接adsl設備,它在"網路連接」中會顯示為"本地連接」,第二塊網卡可以通過一條雙機互聯網線連接主機a和主機b,它在"網路連接」
中會顯示為"本地連接2」,我們假定所需設備已經准備好,並且已經連接好.
1.
在主機a上安裝好adsl設備,並建立好撥號連接(建立方法參見adsl上網的設置)
2.
滑鼠右鍵點擊建立好的adsl撥號連接,點擊"屬性」,
點擊"高級」選項卡,在"允許其他網路用戶通過此計算機的
internet連接來連接」前打勾,在"家庭網路連接」中選擇"本地連接2」,點擊"確定」。
3.
然後我們需要在主機a上建立"家庭或小型辦公網路設置」,步驟是:滑鼠右鍵點擊"網上鄰居」,左鍵點屬性,打開"網路連接」.點擊"左側網路任務」下的"設置家庭或小型辦公網路」,會彈出"網路安裝向導」的窗口,點擊第一項"這台計算機直接連接到internet.我的網路上的其他計算機通過這台計算機連接到internet.」選擇adsl,點擊"下一步」,完成網路安裝向導.
之後在網上鄰居屬性中,有「寬頻」,「網路橋」,本地連接,本地連接2。如果是,繼續下一步。在「網路橋」的屬性中,設置ip地址:192.168.0.2」,網關192.168.1.1,dns隨意。
4.
我們需要在主機b上同樣設置網路安裝向導,步驟如下:滑鼠右鍵點擊"網上鄰居」,左鍵點屬性,打開"網路連接」.點擊"左側網路任務」下的"設置家庭或小型辦公網路」,會彈出"網路安裝向導」的窗口,點擊第二項"這台計算機通過我的網路上的另一台計算機或住宅網關連接到internet.」選擇"使用windows
xp
cd」,點擊"下一步」,完成"網路安裝向導」.向導安裝完成,會在"網路連接」中產生一個新的類似於本地連接的圖標,叫做"網關」,至此所有需要設置的部分都已完成.
5.
b主機的網上鄰居的屬性中,有「本地連接3」,adsl電信上網連接,在本地連接3中,設置ip地址:192.168.0.1(自動設置的),網關、dns隨意。在adsl電信的上網連接屬性中,不要設置ip地址,選擇「自動選擇ip地址」。b主機需要在連接電信的adsl連接中,左鍵點屬性,在「高級」選項卡中選中全部選項,如"許其他網路用戶通過此計算機的internet連接來連接「及其它選項,全部打勾。完成。
6.
在主機a中進行adsl撥號,輸入用戶名,密碼.撥通後,主機a可以上網,主機b也可同時上網,打開ie便可以同時瀏覽網頁了。
如果a關機,b電腦直接把網線接到貓上就可以上網了。更容易的。
10. 什麼是iptables規則鏈
什麼是Iptables? iptables 是建立在 netfilter 架構基礎上的一個包過濾管理工具,最主要的作用是用來做防火牆或透明代理。Iptables 從 ipchains 發展而來,它的功能更為強大。Iptables 提供以下三種功能:包過濾、NAT(網路地址轉換)和通用的 pre-route packet mangling。包過濾:用來過濾包,但是不修改包的內容。Iptables 在包過濾方面相對於 ipchians 的主要優點是速度更快,使用更方便。NAT:NAT 可以分為源地址 NAT 和目的地址 NAT。 Iptables 可以追加、插入或刪除包過濾規則。實際上真正執行這些過慮規則的是 netfilter 及其相關模塊(如 iptables 模塊和 nat 模塊)。Netfilter 是 Linux 核心中一個通用架構,它提供了一系列的 「表」(tables),每個表由若干 「鏈」(chains)組成,而每條鏈中可以有一條或數條 「規則」(rule)組成。 系統預設的表為 「filter」,該表中包含了 INPUT、FORWARD 和 OUTPUT 3 個鏈。 每一條鏈中可以有一條或數條規則,每一條規則都是這樣定義的:如果數據包頭符合這樣的條件,就這樣處理這個數據包。當一個數據包到達一個鏈時,系統就會從第一條規則開始檢查,看是否符合該規則所定義的條件: 如果滿足,系統將根據該條規則所定義的方法處理該數據包;如果不滿足則繼續檢查下一條規則。最後,如果該數據包不符合該鏈中任一條規則的話,系統就會根據該鏈預先定義的策略來處理該數據包。 ? table,chain,rule iptables 可以操縱3 個表:filter 表,nat 表,mangle 表。 NAT 和一般的 mangle 用 -t 參數指定要操作哪個表。filter 是默認的表,如果沒有 -t 參數,就默認對 filter 表操作。 Rule 規則:過濾規則,埠轉發規則等,例如:禁止任何機器 ping 我們的伺服器,可以在伺服器上設置一條規則: iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP 從–s 開始即是一條規則,-j 前面是規則的條件,-j 開始是規則的行為(目的)。整條命令解釋為,在filter 表中的 INPUT 規則鏈中插入一條規則,所有源地址不為 127.0.0.1 的 icmp 包都被拋棄。 Chain 規則鏈:由一系列規則組成,每個包順序經過 chain 中的每一條規則。chain 又分為系統 chain和用戶創建的 chain。下面先敘述系統 chain。 filter 表的系統 chain: INPUT,FORWAD,OUTPUT nat 表的系統 chain: PREROUTING,POSTROUTING,OUTPUT mangle 表的系統 chain: PREROUTING,OUTPUT 每條系統 chain 在確定的位置被檢查。比如在包過濾中,所有的目的地址為本地的包,則會進入INPUT 規則鏈,而從本地出去的包會進入 OUTPUT 規則鏈。 所有的 table 和 chain 開機時都為空,設置 iptables 的方法就是在合適的 table 和系統 chain 中添相應的規則。 -------------------------------------------------------------- IPTABLES 語法: 表: iptables從其使用的三個表(filter、nat、mangle)而得名, 對包過濾只使用 filter 表, filter還是默認表,無需顯示說明. 操作命令: 即添加、刪除、更新等。 鏈:對於包過濾可以針對filter表中的INPUT、OUTPUT、FORWARD鏈,也可以操作用戶自定義的鏈。 規則匹配器:可以指定各種規則匹配,如IP地址、埠、包類型等。 目標動作:當規則匹配一個包時,真正要執行的任務,常用的有: ACCEPT 允許包通過 DROP 丟棄包 一些擴展的目標還有: REJECT 拒絕包,丟棄包同時給發送者發送沒有接受的通知 LOG 包有關信息記錄到日誌 TOS 改寫包的TOS值 為使FORWARD規則能夠生效,可使用下面2種方法的某種: [root@rhlinux root]# vi /proc/sys/net/ipv4/ip_forward [root@rhlinux root]# echo "1" > /proc/sys/net/ipv4/ip_forward [root@rhlinux root]# vi /etc/sysconfig/network [root@rhlinux root]# echo "FORWARD_IPV4=true" > /etc/sysconfig/network -------------------------------------------------------- iptables語法可以簡化為下面的形式: iptables [-t table] CMD [chain] [rule-matcher] [-j target] -------------------------------------------------------- 常用操作命令: -A 或 -append 在所選鏈尾加入一條或多條規則 -D 或 -delete 在所選鏈尾部刪除一條或者多條規則 -R 或 -replace 在所選鏈中替換一條匹配規則 -I 或 -insert 以給出的規則號在所選鏈中插入一條或者多條規則. 如果規則號為1,即在鏈頭部. -L 或 -list 列出指定鏈中的所有規則,如果沒有指定鏈,將列出鏈中的所有規則. -F 或 -flush 清除指定鏈和表中的所由規則, 假如不指定鏈,那麼所有鏈都將被清空. -N 或 -new-chain 以指定名創建一條新的用戶自定義鏈,不能與已有鏈名相同. -X 或 -delete-chain 刪除指定的用戶定義簾,必需保證鏈中的規則都不在使用時才能刪除,若沒有指定鏈,則刪除所有用戶鏈. -P 或 -policy 為永久簾指定默認規則(內置鏈策略),用戶定義簾沒有預設規則,預設規則也使規則鏈中的最後一條規則,用-L顯示時它在第一行顯示. -C 或 -check 檢查給定的包是否與指定鏈的規則相匹配. -Z 或 -zero 將指定簾中所由的規則包位元組(BYTE)計數器清零. -h 顯示幫助信息. ------------------------------------------------------------- 常用匹配規則器: -p , [!] protocol 指出要匹配的協議,可以是tcp, udp, icmp, all, 前綴!為邏輯非,表示除該協議外的所有協議. -s [!] address[/mask] 指定源地址或者地址范圍. -sport [!] port[:port] 指定源埠號或范圍,可以用埠號也可以用/ETC/SERVICES文件中的名子. -d [!] address[/mask] 指定目的地址或者地址范圍. -dport [!] port[:port] 指定目的埠號或范圍,可以用埠號也可以用/ETC/SERVICES文件中的名子. -icmp-type [!] typename 指定匹配規則的ICMP信息類型(可以使用 iptables -p icmp -h 查看有效的ICMP類型名) -i [!] interface name[+] 匹配單獨或某種類型的介面,此參數忽略時,默認符合所有介面,介面可以使用"!"來匹配捕食指定介面來的包.參數interface是介面名,如 eth0, eht1, ppp0等,指定一個目前不存在的介面是完全合法的,規則直到介面工作時才起作用,折中指定對於PPP等類似連接是非常有用的."+"表示匹配所有此類型介面.該選項只針對於INPUT,FORWARD和PREROUTING鏈是合法的. -o [!] interface name[+] 匹配規則的對外網路介面,該選項只針對於OUTPUT,FORWARD,POSTROUTING鏈是合法的. [!] --syn 僅僅匹配設置了SYN位, 清除了ACK, FIN位的TCP包. 這些包表示請求初始化的TCP連接.阻止從介面來的這樣的包將會阻止外來的TCP連接請求.但輸出的TCP連接請求將不受影響.這個參數僅僅當協議類型設置為了TCP才能使用. 此參數可以使用"!"標志匹配已存在的返回包,一般用於限制網路流量,即只允許已有的,向外發送的連接所返回的包. ---------------------------------------------------------- 如何制定永久規則集: /etc/sysconfig/iptables 文件是 iptables 守護進程調用的默認規則集文件. 可以使用以下命令保存執行過的IPTABLES命令: /sbin/iptables-save > /etc/sysconfig/iptables 要恢復原來的規則庫,可以使用: /sbin/iptables-restore < /etc/sysconfig/iptables iptables命令和route等命令一樣,重啟之後就會恢復,所以: [root@rhlinux root]# service iptables save 將當前規則儲存到 /etc/sysconfig/iptables: [ 確定 ] 令一種方法是 /etc/rc.d/init.d/iptables 是IPTABLES的啟動腳本,所以: [root@rhlinux root]# /etc/rc.d/init.d/iptables save 將當前規則儲存到 /etc/sysconfig/iptables: [ 確定 ] 以上幾種方法只使用某種即可. 若要自定義腳本,可直接使用iptables命令編寫一個規則腳本,並在啟動時執行: 例如若規則使用腳本文件名/etc/fw/rule, 則可以在/etc/rc.d/rc.local中加入以下代碼: if [-x /etc/fw/rule]; then /etc/fw/sule; fi; 這樣每次啟動都執行該規則腳本,如果用這種方法,建議NTSYSV中停止IPTABLES. ---------------------------------------------------------- 實例: 鏈基本操作: [root@rh34 root]# iptables -L -n (列出表/鏈中的所有規則,包過濾防火牆默認使用的是filter表,因此使用此命令將列出filter表中所有內容,-n參數可加快顯示速度,也可不加-n參數。) [root@rh34 root]# iptables -F (清除預設表filter中所有規則鏈中的規則) [root@rh34 root]# iptables -X (清除預設表filter中使用者自定義鏈中的規則) [root@rh34 root]# iptables -Z (將指定鏈規則中的所有包位元組計數器清零) ------------------------------------------------------------ 設置鏈的默認策略,默認允許所有,或者丟棄所有: [root@rh34 root]# iptables -P INPUT ACCEPT [root@rh34 root]# iptables -P OUTPUT ACCEPT [root@rh34 root]# iptables -P FORWARD ACCEPT (以上我們在不同方向設置默認允許策略,若丟棄則應是DROP,嚴格意義上防火牆應該是DROP然後再允許特定) --------------------------------------------------------------- 向鏈中添加規則,下面的例子是開放指定網路介面(信任介面時比較實用): [root@rh34 root]# iptables -A INPUT -i eth1 -j ACCEPT [root@rh34 root]# iptables -A OUTPUT -o eth1 -j ACCEPT [root@rh34 root]# iptables -A FORWARD -i eth1 -j ACCEPT [root@rh34 root]# iptables -A FORWARD -o eth1 -j ACCEPT -------------------------------------------------------------- 使用用戶自定義鏈: [root@rh34 root]# iptables -N brus (創建一個用戶自定義名叫brus的鏈) [root@rh34 root]# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP (在此鏈中設置了一條規則) [root@rh34 root]# iptables -A INPUT -s 0/0 -d 0/0 -j brus (向默認的INPUT鏈添加一條規則,使所有包都由brus自定義鏈處理) ---------------------------------------------------------------- 基本匹配規則實例: 匹配協議: iptables -A INPUT -p tcp (指定匹配協議為TCP) iptables -A INPUT -p ! tcp (指定匹配TCP以外的協議) 匹配地址: iptables -A INPUT -s 192.168.1.1 (匹配主機)