iptables五元組過濾

A. 解釋此命令：iptables -t nat -A PREROUTING -i eth0 -s 192.16.0.0/24 -j DROP 求解釋啊！！！詳細一點

iptables -t nat "-t nat"為選擇nat表，iptables有四個表與五個鏈，
4個表:filter,nat,mangle,raw，默認表是filter（沒有指定表的時候就是filter表）。表的處理優先順序：raw>mangle>nat>filter。
filter：一般的過濾功能
nat:用於nat功能（埠映射，地址映射等）
mangle:用於對特定數據包的修改
raw:有限級最高，設置raw時一般是為了不再讓iptables做數據包的鏈接跟蹤處理，提高性能
-A 向PREROUTING末端添加一條規則
5個鏈：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:數據包進入路由表之前
INPUT:通過路由表後目的地為本機
FORWARDING:通過路由表後，目的地不為本機
OUTPUT:由本機產生，向外轉發
POSTROUTIONG:發送到網卡介面之前
-i -進入的（網路）介面
-s 指定源地址
-j 指定規則的目標
DROP 拒絕

B. iptables命令詳解是什麼

禁止進入本機的，源地址為所有，目的地址為所有，目的埠為TCP埠13，的數據包。

iptables－－靜態防火牆。iptables是復雜的，它集成到linux內核中。用戶通過iptables，可以對進出你的計算機的數據包進行過濾。通過iptables命令設置規則，來把守計算機網路——哪些數據允許通過，哪些不能通過，哪些通過的數據進行記錄（log）。

(2)iptables五元組過濾擴展閱讀：

iptables傳輸數據包的過程

① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。

② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。

C. iptables詳解

netfilter/iptables （簡稱為iptables）組成Linux平台下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網路地址轉換（NAT）等功能。
iptables和netfilter的關系：
這是第一個要說的地方，Iptables和netfilter的關系是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是 netfilter，它是Linux內核中實現包過濾的內部結構。

規則 （rules）其實就是網路管理員預定義的條件，規則一般的定義為「如果數據包頭符合這樣的條件，就這樣處理這個數據包」。規則存儲在內核空間的信息包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的 主要工作就是添加、修改和刪除這些規則。

① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。
② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。
③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。
過程圖如下：

Iptables採用「表」和「鏈」的分層結構。

表 （tables）提供特定的功能，iptables內置了4個表，即filter表、nat表、mangle表和raw表，分別用於實現包過濾，網路地址轉換、包重構(修改)和數據跟蹤處理。

（1）filter表——三個鏈：INPUT、FORWARD、OUTPUT
作用：過濾數據包 內核模塊：iptables_filter.
（2）Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
作用：用於網路地址轉換（IP、埠） 內核模塊：iptable_nat
（3）Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改數據包的服務類型、TTL、並且可以配置路由實現QOS內核模塊：iptable_mangle(別看這個表這么麻煩，咱們設置策略時幾乎都不會用到它)
（4）Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定數據包是否被狀態跟蹤機制處理 內核模塊：iptable_raw

Raw——mangle——nat——filter

鏈 （chains）是數據包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一 條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該數據包是否滿足規則所定義的條件。如果滿足，系統就會根據 該條規則所定義的方法處理該數據包；否則iptables將繼續檢查下一條規則，如果該數據包不符合鏈中任一條規則，iptables就會根據該鏈預先定 義的默認策略來處理數據包。

（1）INPUT——進來的數據包應用此規則鏈中的策略
（2）OUTPUT——外出的數據包應用此規則鏈中的策略
（3）FORWARD——轉發數據包時應用此規則鏈中的策略
（4）PREROUTING——對數據包作路由選擇前應用此鏈中的規則
（記住！所有的數據包進來的時侯都先由這個鏈處理）
（5）POSTROUTING——對數據包作路由選擇後應用此鏈中的規則（所有的數據包出來的時侯都先由這個鏈處理）

從外界到達防火牆的數據包，先被PREROUTING規則鏈處理（是否修改數據包地址等），之後會進行路由選擇（判斷該數據包應該發往何處），如果數據包 的目標主機是防火牆本機（比如說Internet用戶訪問防火牆主機中的web伺服器的數據包），那麼內核將其傳給INPUT鏈進行處理（決定是否允許通 過等），通過以後再交給系統上層的應用程序（比如Apache伺服器）進行響應。

來自外界的數據包到達防火牆後，首先被PREROUTING規則鏈處理，之後會進行路由選擇，如果數據包的目標地址是其它外部地址（比如區域網用戶通過網 關訪問QQ站點的數據包），則內核將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），然後再交給POSTROUTING規則鏈（是否修改數據包的地 址等）進行處理。

防火牆本機向外部地址發送的數據包（比如在防火牆主機中測試公網DNS伺服器時），首先被OUTPUT規則鏈處理，之後進行路由選擇，然後傳遞給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

iptables-save把規則保存到文件中，再由目錄rc.d下的腳本（/etc/rc.d/init.d/iptables）自動裝載
使用命令iptables-save來保存規則。一般用
iptables-save > /etc/sysconfig/iptables
生成保存規則的文件 /etc/sysconfig/iptables，
也可以用
service iptables save
它能把規則自動保存在/etc/sysconfig/iptables中。
當計算機啟動時，rc.d下的腳本將用命令iptables-restore調用這個文件，從而就自動恢復了規則。
刪除INPUT鏈的第一條規則：

1.拒絕進入防火牆的所有ICMP協議數據包

2.允許防火牆轉發除ICMP協議以外的所有數據包

說明：使用「！」可以將條件取反。

3.拒絕轉發來自192.168.1.10主機的數據，允許轉發來自192.168.0.0/24網段的數據

說明：注意要把拒絕的放在前面不然就不起作用了啊。

4.丟棄從外網介面（eth1）進入防火牆本機的源地址為私網地址的數據包

5.封堵網段（192.168.1.0/24），兩小時後解封。

說明：這個策略咱們藉助crond計劃任務來完成，就再好不過了。
[1] Stopped at now 2 hours

6.只允許管理員從202.13.0.0/16網段使用SSH遠程登錄防火牆主機。

說明：這個用法比較適合對設備進行遠程管理時使用，比如位於分公司中的SQL伺服器需要被總公司的管理員管理時。

7.允許本機開放從TCP埠20-1024提供的應用服務。

8.允許轉發來自192.168.0.0/24區域網段的DNS解析請求數據包。

9.禁止其他主機ping防火牆主機，但是允許從防火牆上ping其他主機

10.禁止轉發來自MAC地址為00：0C：29：27：55：3F的和主機的數據包

說明：iptables中使用「-m 模塊關鍵字」的形式調用顯示匹配。咱們這里用「-m mac –mac-source」來表示數據包的源MAC地址。

11.允許防火牆本機對外開放TCP埠20、21、25、110以及被動模式FTP埠1250-1280

說明：這里用「-m multiport –dport」來指定目的埠及范圍

12.禁止轉發源IP地址為192.168.1.20-192.168.1.99的TCP數據包。

說明：此處用「-m –iprange –src-range」指定IP范圍。

13.禁止轉發與正常TCP連接無關的非—syn請求數據包。

說明：「-m state」表示數據包的連接狀態，「NEW」表示與任何連接無關的，新的嘛！

14.拒絕訪問防火牆的新數據包，但允許響應連接或與已有連接相關的數據包

說明：「ESTABLISHED」表示已經響應請求或者已經建立連接的數據包，「RELATED」表示與已建立的連接有相關性的，比如FTP數據連接等。

15.只開放本機的web服務（80）、FTP(20、21、20450-20480)，放行外部主機發住伺服器其它埠的應答數據包，將其他入站數據包均予以丟棄處理。

D. iptables的簡單使用方法

        mangle表的主要功能是根據規則修改數據包的一些標志位，以便其他規則或程序可以利用這種標志對數據包進行過濾或策略路由。

         定義允許或者不允許的

        iptables -t filter -A INPUT -j DROP -p tcp --dport 8081

         過濾發往本機的8081埠的所有包被丟棄

         用途：網路地址轉換；修改目的埠或目的地址以及原地址

         iptables -t nat -A PREROUTING -p tcp --dport 7788 -j DNAT --to 192.168.0.11:7799

         iptables -t nat -A POSTROUTE -p tcp -d 192.168.0.11 --dport 7799 -j SNAT --to 192.168.0.12

1. 「四表」 是指，iptables的功能——filter, nat, mangle, raw.

filter, 控制數據包是否允許進出及轉發（INPUT、OUTPUT、FORWARD）,可以控制的鏈路有input, forward, output

nat, 控制數據包中地址轉換，可以控制的鏈路有prerouting, input, output, postrouting

mangle,修改數據包中的原數據，可以控制的鏈路有prerouting, input, forward, output, postrouting

raw,控制nat表中連接追蹤機制的啟用狀況，可以控制的鏈路有prerouting, output

註：在centos7中，還有security表，不過這里不作介紹

2. 「五鏈」 是指內核中控制網路的NetFilter定義的五個規則鏈，分別為

PREROUTING, 路由前

INPUT, 數據包流入口

FORWARD, 轉發管卡

OUTPUT, 數據包出口

POSTROUTING, 路由後

3 .堵通策略 是指對數據包所做的操作，一般有兩種操作——「通（ACCEPT）」、「堵（DROP）」，還有一種操作很常見REJECT.

談談REJECT和DROP之間的區別，Ming寫了一封信，向Rose示愛。Rose如果不願意接受，她可以不回應Ming,這個時候Ming不確定Rose是否接到了信；Rose也可以同樣寫一封信，在信中明確地拒絕Ming。前一種操作就如同執行了DROP操作，而後一種操作就如同REJECT操作。

4.iptables命令的語法規則

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

-t table，是指操作的表，filter、nat、mangle或raw, 默認使用filter

COMMAND，子命令，定義對規則的管理

chain, 指明鏈路

CRETIRIA, 匹配的條件或標准

ACTION,操作動作

例如，不允許10.8.0.0/16網路對80/tcp埠進行訪問，

                iptables -t filter -A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP

查看iptables列表

               iptables -nL

5.鏈管理

-N, --new-chain chain：新建一個自定義的規則鏈；

-X, --delete-chain [chain]：刪除用戶自定義的引用計數為0的空鏈；

-F, --flush [chain]：清空指定的規則鏈上的規則；

-E, --rename-chain old-chain new-chain：重命名鏈；

-Z, --zero [chain [rulenum]]：置零計數器；

-P, --policy chain target， 設置鏈路的默認策略

6.規則管理

-A, --append chain rule-specification：追加新規則於指定鏈的尾部；

-I, --insert chain [rulenum] rule-specification：插入新規則於指定鏈的指定位置，默認為首部；

-R, --replace chain rulenum rule-specification：替換指定的規則為新的規則；

-D, --delete chain rulenum：根據規則編號刪除規則；

7.查看規則

-L, --list [chain]：列出規則；

-v, --verbose：詳細信息；

                      -vv， -vvv  更加詳細的信息

-n, --numeric：數字格式顯示主機地址和埠號；

-x, --exact：顯示計數器的精確值；

--line-numbers：列出規則時，顯示其在鏈上的相應的編號；

-S, --list-rules [chain]：顯示指定鏈的所有規則；

查看規則的一般內容：

E. Linux免費防火牆iptables，

Iptables是Linux自帶的防火牆，包過濾防火牆，他自帶有三個表，每個表上都有相應的鏈，鏈上有一條到多條規則。規則可以是基於IP，埠，協議這些就是訪問條件。

F. iptables命令詳解是什麼

iptables的主要功能是實現對網路數據包進出設備及轉發的控制。當數據包需要進入設備、從設備中流出或者經該設備轉發、路由時，都可以使用iptables進行控制。

iptables命令的語法規則：

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION；

-t table，是指操作的表，filter、nat、mangle或raw, 默認使用filter；

COMMAND，子命令，定義對規則的管理；

chain：指明鏈路；

CRETIRIA：匹配的條件或標准；

ACTION：操作動作；

命令說明

Iptables 是用來設置、維護和檢查Linux內核的IP包過濾規則的。

可以定義不同的表，每個表都包含幾個內部的鏈，也能包含用戶定義的鏈。每個鏈都是一個規則列表，對對應的包進行匹配：每條規則指定應當如何處理與之相匹配的包。這被稱作'target'（目標），也可以跳向同一個表內的用戶定義的鏈。

以上內容參考：網路-IPTABLES

G. 如何用Iptables實現URL過濾

iptables的配置文件保存在/etc/sysconfig/iptables-config下，書寫了iptables規則以後如果需要保存規則，則可以使用命令：iptables-save，使專用此命令保存的屬規則位置可以是任意的，此時保存的規則在重啟機器後無法自動生效，需要使用命令iptables

H. 什麼是iptables

IPTABLES 是與最新的 3.5 版本 Linux 內核集成的 IP 信息包過濾系統。如果 Linux 系統連接到網際網路或 LAN、伺服器或連接 LAN 和網際網路的代理伺服器， 則該系統有利於在 Linux 系統上更好地控制 IP 信息包過濾和防火牆配置。
防火牆在做信息包過濾決定時，有一套遵循和組成的規則，這些規則存儲在專用的信 息包過濾表中，而這些表集成在 Linux 內核中。在信息包過濾表中，規則被分組放在我們所謂的鏈（chain）中。而netfilter/iptables IP 信息包過濾系統是一款功能強大的工具，可用於添加、編輯和移除規則。
雖然 netfilter/iptables IP 信息包過濾系統被稱為單個實體，但它實際上由兩個組件netfilter 和 iptables 組成。
netfilter 組件也稱為內核空間（kernelspace），是內核的一部分，由一些信息包過濾表組成，這些表包含內核用來控制信息包過濾處理的規則集。
iptables 組件是一種工具，也稱為用戶空間（userspace），它使插入、修改和除去信息包過濾表中的規則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否則需要下載該工具並安裝使用它。

I. linux下iptables如何過濾同一網段的連續幾個IP

過濾源地址范圍：

iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP

過濾目標地址范圍：

iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP

J. linux/unix -shell值iptables基礎知識

原文參考：
iptables防火牆可以用於創建過濾(filter)與NAT規則。所有Linux發行版都能使用iptables，因此理解如何配置 iptables將會幫助你更有效地管理Linux防火牆。如果你是第一次接觸iptables，你會覺得它很復雜，但是一旦你理解iptables的工 作原理，你會發現其實它很簡單。

首先介紹iptables的結構：iptables -> Tables -> Chains -> Rules. 簡單地講，tables由chains組成，而chains又由rules組成。如下圖所示。 [圖片上傳失敗...(image-ba5408-1536195185275)]

圖: IPTables Table, Chain, and Rule Structure

一、iptables的表與鏈

iptables具有Filter, NAT, Mangle, Raw四種內建表：

1. Filter表

Filter表示iptables的默認表，因此如果你沒有自定義表，那麼就默認使用filter表，它具有以下三種內建鏈：

2. NAT表

NAT表有三種內建鏈：

3. Mangle表

Mangle表用於指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈：

4. Raw表

Raw表用於處理異常，它具有2個內建鏈：

5.小結

下圖展示了iptables的三個內建表：

[圖片上傳失敗...(image-753d8c-1536195185272)]

圖: IPTables 內建表

二、IPTABLES 規則(Rules)

牢記以下三點式理解iptables規則的關鍵：

目標值（Target Values）

下面是你可以在target里指定的特殊值：

如果你執行iptables –list你將看到防火牆上的可用規則。下例說明當前系統沒有定義防火牆，你可以看到，它顯示了默認的filter表，以及表內默認的input鏈, forward鏈, output鏈。

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

查看mangle表：

查看NAT表：

查看RAW表：

!注意：如果不指定 -t 選項，就只會顯示默認的 filter 表。因此，以下兩種命令形式是一個意思：

(or)

以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則：

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all – 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah – 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp – 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

以上輸出包含下列欄位：

三、清空所有iptables規則

在配置iptables之前，你通常需要用iptables –list命令或者iptables-save命令查看有無現存規則，因為有時需要刪除現有的iptables規則：

iptables –flush
或者
iptables -F

這兩條命令是等效的。但是並非執行後就萬事大吉了。你仍然需要檢查規則是不是真的清空了，因為有的linux發行版上這個命令不會清除NAT表中的規則，此時只能手動清除：

iptables -t NAT -F

四、永久生效

當你刪除、添加規則後，這些更改並不能永久生效，這些規則很有可能在系統重啟後恢復原樣。為了讓配置永久生效，根據平台的不同，具體操作也不同。下面進行簡單介紹：

1.Ubuntu

首先，保存現有的規則：

iptables-save > /etc/iptables.rules

然後新建一個bash腳本，並保存到 /etc/network/if-pre-up.d/ 目錄下：

iptables-restore < /etc/iptables.rules

這樣，每次系統重啟後iptables規則都會被自動載入。

！注意：不要嘗試在.bashrc或者.profile中執行以上命令，因為用戶通常不是root，而且這只能在登錄時載入iptables規則。

2.CentOS, RedHat

service iptables save

service iptables stop
service iptables start

查看當前規則：

cat /etc/sysconfig/iptables

五、追加iptables規則

可以使用iptables -A命令追加新規則，其中 -A 表示 Append 。因此， 新的規則將追加到鏈尾。

一般而言，最後一條規則用於丟棄(DROP)所有數據包。如果你已經有這樣的規則了，並且使用 -A 參數添加新規則，那麼就是無用功。

1.語法

iptables -A chain firewall-rule

2.描述規則的基本參數

以下這些規則參數用於描述數據包的協議、源地址、目的地址、允許經過的網路介面，以及如何處理這些數據包。這些描述是對規則的基本描述。

-p 協議（protocol）

-s 源地址（source）

-d 目的地址（destination）

-j 執行目標（jump to target）

-i 輸入介面（input interface）

-o 輸出（out interface）

3.描述規則的擴展參數

對規則有了一個基本描述之後，有時候我們還希望指定埠、TCP標志、ICMP類型等內容。

–sport 源埠（source port）針對 -p tcp 或者 -p udp

–-dport 目的埠（destination port）針對-p tcp 或者 -p udp

-–tcp-flags TCP標志 針對-p tcp

-–icmp-type ICMP類型 針對-p icmp

4.追加規則的完整實例：僅允許SSH服務

本例實現的規則將僅允許SSH數據包通過本地計算機，其他一切連接（包括ping）都將被拒絕。

iptables -F

iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -j DROP

六、更改默認策略

上例的例子僅對接收的數據包過濾，而對於要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略，以改變鏈的行為。

1. 默認鏈策略

/!警告 ：請勿在遠程連接的伺服器、虛擬機上測試！

當我們使用-L選項驗證當前規則是發現，所有的鏈旁邊都有 policy ACCEPT 標注，這表明當前鏈的默認策略為ACCEPT：

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

這種情況下，如果沒有明確添加DROP規則，那麼默認情況下將採用ACCEPT策略進行過濾。除非：

a)為以上三個鏈單獨添加DROP規則：

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改默認策略：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕！！如果你嚴格按照上一節的例子配置了iptables，並且現在使用的是SSH進行連接的，那麼會話恐怕已經被迫終止了！

為什麼呢？因為我們已經把OUTPUT鏈策略更改為DROP了。此時雖然伺服器能接收數據，但是無法發送數據：

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination

七、配置應用程序規則

盡管5.4節已經介紹了如何初步限制除SSH以外的其他連接，但是那是在鏈默認策略為ACCEPT的情況下實現的，並且沒有對輸出數據包進行限 制。本節在上一節基礎上，以SSH和HTTP所使用的埠為例，教大家如何在默認鏈策略為DROP的情況下，進行防火牆設置。在這里，我們將引進一種新的 參數-m state，並檢查數據包的狀態欄位。

1.SSH

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

如果伺服器也需要使用SSH連接其他遠程主機，則還需要增加以下配置：

iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置與SSH類似：

iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

3.完整的配置

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

References

[1] Linux Firewall Tutorial: IPTables Tables, Chains, Rules Fundamentals

[2] IPTables Flush: Delete / Remove All Rules On RedHat and CentOS Linux

[3] Linux IPTables: How to Add Firewall Rules (With Allow SSH Example)

[4] Linux IPTables: Incoming and Outgoing Rule Examples (SSH and HTTP)

[5] 25 Most Frequently Used Linux IPTables Rules Examples

[6] man 8 iptables