轉載

1.顯示防火墻的狀態

以root權限運行下面的命令：

1. # iptables -L -n -v 

參數說明：

• -L：列出規則。
• -v：顯示詳細信息。此選項會顯示接口名稱、規則選項和TOS掩碼，以及封包和字節計數。
• -n：以數字形式顯示IP地址和端口，不使用DNS解析。

如果希望輸出的結果中顯示行號，可以運行：

1. # iptables -L -n -v --line-nmubers 

這樣，就可以按照行號在防火墻中添加、刪除規則。

要顯示輸入或輸出鏈規則，可以運行：

1. # iptables -L INPUT -n -v  
2. # iptables -L OUTPUT -n -v --line-numbers 

2.停止、開啟和重啟防火墻

如果你使用的是RHEL/Fedora/CentOS系統，可以運行：

1. # service iptables stop  
2. # service iptables start  
3. # service iptables restart 

我們也可以使用iptables命令停止防火墻并刪除所有規則：

1. # iptables -F  
2. # iptables -X  
3. # iptables -t nat -F  
4. # iptables -t nat -X  
5. # iptables -t mangle -F  
6. # iptables -t mangle -X  
7. # iptables -P INPUT ACCEPT  
8. # iptables -P OUTPUT ACCEPT  
9. # iptables -P FORWARD ACCEPT 

參數說明：

• -F：刪除所有的規則
• -X：刪除鏈
• -t table_name：匹配表（稱為nat或mangle）
• -P：設置默認策略（如DROP、REJECT或ACCEPT）

3.刪除防火墻規則

以帶行號的形式顯示已有的防火墻規則，請運行：

1. # iptables -L INPUT -n --line-numbers  
2. # iptables -L OUTPUT -n --line-numbers  
3. # iptables -L OUTPUT -n --line-numbers | less  
4. # iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1 

下面我們使用行號刪除規則：

1. # iptables -D INPUT 4 

將IP地址202.54.1.1從規則中刪除：

1. # iptables -D INPUT -s 202.54.1.1 -j DROP 

參數說明：

• -D：從選擇的鏈中刪除一條或多條規則

4.插入防火墻規則

首先運行下面的命令：

1. # iptables -L INPUT -n --line-numbers 

得到運行結果：

1. Chain INPUT (policy DROP)  
2. num  target    PRot opt source     destination  
3. 1   DROP      all  --  202.54.1.1  0.0.0.0/0  
4. 2   ACCEPT    all  --  0.0.0.0/0    0.0.0.0/0 

在行1和行2之間插入規則：

1. # iptables -I INPUT 2 -s 202.54.1.2 -j DROP 

查看更新后的規則，會發現插入成功，下面是示例：

1. Chain INPUT (policy DROP)  
2. Num  target    prot opt source    destination     
3. 1     DROP    all  --  202.54.1.1  0.0.0.0/0  
4. 2     DROP    all  --  202.54.1.2  0.0.0.0/0  
5. 3     ACCEPT  all  --  0.0.0.0/0    0.0.0.0/0 

5.保存防火墻規則

在RHEL/Fedora/CentOS linux下，可以使用下面的命令保存防火墻規則：

1. # service iptables save 

在其它Linux發行版（如Ubuntu）上，可以使用iptables-save命令保存防火墻規則：

1. # iptables-save > /root/my.active.firewall.rules  
2. # cat /root/my.active.firewall.rules 

6.重新加載防火墻規則

我們可以使用iptables-restore命令重新加載使用iptables-save命令保存的防火墻規則：

1. # iptables-restore < /root/my.active.firewall.rules 

我們還可以利用這種特性來快速部署防火墻規則。

7.設置默認防火墻策略

我們首先來配置一個防火墻策略，它默認丟棄所有的網絡數據包：

1. # iptables -P INPUT DROP  
2. # iptables -P OUTPUT DROP  
3. # iptables -P FORWARD DROP  
4. # iptables -L -v -n
5. #連接失敗，因為防火墻丟棄所有的網絡數據包  
6. # ping cyberciti.biz  
7. # wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2 

在此基礎上，我們只關閉入站連接：

1. # iptables -P INPUT DROP  
2. # iptables -P FORWARD DROP  
3. # iptables -P OUTPUT ACCEPT  
4. # iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT  
5. # iptables -L -v -n  
6. #ping和wget可以正常工作  
7. # ping cyberciti.biz  
8. # wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2 

8.在公網網絡接口上停用私有網絡地址

我們可以從公網網絡接口上刪除私有IPv4網段，以防止IP欺騙。運行下面的命令，沒有源路由地址的數據包會被丟棄：

1. # iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP  
2. # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP 

下面是私有網絡IPv4地址范圍，請確認在公網接口予以屏蔽：

• 10.0.0.0/8 -j （A）
• 172.16.0.0/12 （B）
• 192.168.0.0/16 （C）
• 224.0.0.0/4 （多播 D）
• 240.0.0.0/5 （E）
• 127.0.0.0/8 （回環）

9.屏蔽IP地址訪問

如果我們想屏蔽一個IP地址，比如1.2.3.4，可以運行：

1. # iptables -A INPUT -s 1.2.3.4 -j DROP  
2. # iptables -A INPUT -s 192.168.0.0/24 -j DROP 

10.屏蔽入棧端口請求

如果我們想80端口上屏蔽所有的服務請求，可以運行：

1. # iptables -A INPUT -p tcp --dport 80 -j DROP  
2. # iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP 

只想屏蔽IP地址1.2.3.4對80端口的請求，可以運行：

1. # iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP  
2. # iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP 

11.屏蔽出棧IP地址

現在我們來演示如何屏蔽對主機名和IP地址的出棧訪問。

首先，我們來獲取一個域名的IP地址：

1. # host -t a cyberciti.biz 

輸出示例：

1. cyberciti.biz has address 75.126.153.206 

要屏蔽訪問域名cyberciti.biz的網絡數據包，可以運行：

1. # iptables -A OUTPUT -d 75.126.153.206 -j DROP 

下面是使用子網掩碼的示例：

1. # iptables -A OUTPUT -d 192.168.1.0/24 -j DROP  
2. # iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP 

下面我們以屏蔽facebook.com為例，進行說明。首先，我們需要facebook的所有IP地址：

1. # host -t a www.facebook.com 

示例輸出：

1. www.facebook.com has address 69.171.228.40 

找出IP地址69.171.228.40的CIDR:

1. # whois 69.171.228.40 | grep CIDR 

示例輸出：

1. CIDR：69.171.224.0/19 

現在我們來阻止對facebook.com的訪問：

1. # iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP 

我們也可以直接屏蔽域名：

1. # iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP  
2. # iptables -A OUTPUT -p tcp -d facebook.com -j DROP 

12.記錄并丟棄數據包

在公網網絡接口上記錄并丟棄IP地址欺騙數據包：

1. # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "  
2. # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP 

默認情況下日志記錄在/var/log/messages文件中：

1. # tail -f /var/log/messages  
2. # grep --color 'IP SPOOF' /var/log/messages 

我們還可以用-m參數對日志記錄進行限制，以防止日志文件過度膨脹。

1. # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "  
2. # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP 

13.根據MAC地址允許或阻止數據包的傳入

我們可以根據MAC地址允許或阻止數據包的傳入：

1. # iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP 

14.屏蔽ICMP ping請求

我們可以通過允許下面的命令屏蔽ping請求：

1. # iptables -A INPUT -p icmp --icmp-type echo-request -j DROP  
2. # iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP 

也可以按照特定的網段和主機限制ping請求：

1. # iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT 

以下命令只接受受限制的ping請求：

1. #假定默認INPUT策略為丟棄數據包  
2. # iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT  
3. # iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT  
4. # iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT  
5. #所有的服務器都對ping請求作出應答  
6. # iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT 

15.開啟端口序列

下面的命令可以允許7000到7010范圍內的TCP端口訪問：

1. # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT 

16.允許一系列IP地址訪問

下面的命令可以允許IP地址范圍

1. #運行IP地址范圍192.168.1.100 到192.168.1.200 訪問80端口  
2. # iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT  
3. #NAT示例  
4. # iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25 

17.建立連接并重啟防火墻

當重啟iptables服務時，它會斷開所有已建立的連接。這是因為在重啟防火墻時，會卸載IPTABLES_MODULES_UNLOAD模塊。

要解決這個問題，可以編輯/etc/sysconfig/iptables-config

1. IPTABLES_MODULES_UNLOAD = no 

18.使用Crit日志級別

1. # iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit 

19.屏蔽或開啟常見端口

屏蔽或開啟常用的TCP、UDP端口：

1. #可以使用DROP替換ACCEPT，實現端口屏蔽。  
2. #打開22端口（SSH）  
3. # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT  
4. # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT  
5. #打開TCP/UDP631端口（打印服務）  
6. # iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT  
7. # iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT  
8. # 打開123端口，允許局域網用戶進行NTP時間同步  
9. # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT  
10. #打開25端口（SMTP）  
11. # iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT  
12. # 打開DNS端口  
13. # iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT  
14. # iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT  
15. #打開http/https端口  
16. # iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT  
17. # iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT  
18. #打開TCP110端口（POP3）  
19. # iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT  
20. #打開TCP143端口  
21. # iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT  
22. #為局域網用戶開啟Samba訪問  
23. # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT  
24. # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT  
25. # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT  
26. # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT  
27. #為局域網用戶開啟代理服務器訪問  
28. # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT  
29. #為局域網用戶開啟MySQL訪問  
30. # iptables -I INPUT -p tcp --dport 3306 -j ACCEPT 

20.限制客戶端IP的并發連接數

我們可以使用connlimit模塊限制客戶端IP的并發連接數。下面的命令允許每個客戶端只能并發3個ssh連接：

1. # iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT 

設置HTTP并發連接為20個：

1. # iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP 

參數說明：

• --connlimit-above 3：連接數超過3個自動匹配
• --connlimit-mask 24：子網掩碼匹配

更好的使用iptables

首先，我們要學會查看man手冊：

1. $ man iptables 

 我們還可以這樣查看幫助：

1. # iptables -h 

我們還可以查看特定命令的幫助：

1. # iptables -j DROP -h 

測試防火墻

測試端口是否開放：

1. # netstat -tulpn 

測試TCP 80端口是否開放：

1. # netstat -tulpn | grep :80 

如果80端口未開放，請確保啟動Apache服務器：

1. # service httpd start 

并確保打開iptables防火墻80端口：

1. # iptables -L INPUT -v -n | grep 80 

如果80端口沒有開放，可以運行下面的命令：

1. # iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT  
2. # service iptables save 

下面使用telnet命令測試是否可以連接到80端口：

1. $ telnet www.cyberciti.biz 80 

下面是示例輸出：

1. Trying 75.126.153.206...  
2. Connected to www.cyberciti.biz.  
3. Escape character is '^]'.  
4. ^]  
5. telnet> quit  
6. Connection closed. 

最后，我們也推薦使用嗅探工具（如tcpdump、ngrep）對防火墻設置進行測試。

以上只是一些基本的防火墻配置策略，如果你想構造更復雜的防火墻策略，需要對TCP/IP和Linux內核配置文件sysctl.conf進行更深入的學習。（張志平/編譯）

原文鏈接：Linux: 20 Iptables Examples For New SysAdmins