Iptables的常用防火墙配置

最新推荐文章于 2025-09-12 14:22:25 发布
原创 最新推荐文章于 2025-09-12 14:22:25 发布 · 129 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防火墙 #EXT #J# #SSH #F#

本文介绍了一个详细的防火墙规则配置方案,包括内外网接口设置、禁止特定端口的恶意流量、允许正常网络通信和服务请求等。此外,还展示了如何实现网络地址转换(NAT),确保内部网络与外部网络之间的安全通信。
本脚本环境为eth0外网,eth1内网;

#!/bin/sh

#外网网卡

EXT_IF="eth0"

FW_IP="61.137.85.21"

#内网网卡

INT_IF="eth1"

LAN_IP="192.168.0.1"

LAN_IP_RANGE="192.168.0.0/255.255.255.0"

#加阅模块,一般已内建

#Module loading.

#echo "modprobe modules"

#modprode ip_tables

#modprode ip_nat_ftp

#modprode ip_conntrack

#modprobe ip_conntrack_ftp

#启用转发(forward)功能

echo "enabling IP FORWARDING......"

echo "1" >; /proc/sys/net/ipv4/ip_forward

#规则初始化,设置默认都为drop

echo "enabling iptables rules"

#reset the default policies in the tables

iptables -F

iptables -X

iptables -F -t mangle

iptables -X -t mangle

iptables -F -t nat

iptables -X -t nat

iptables -Z -t nat

#set policies

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

###-----------------------------------------------------------------###

#过虑蠕虫病毒

#444/445/69/135/139

###-----------------------------------------------------------------###

iptables -A FORWARD -p tcp --dport 4444 -j DROP

iptables -A FORWARD -p udp --dport 4444 -j DROP

iptables -A FORWARD -p tcp --dport 445 -j DROP

iptables -A FORWARD -p udp --dport 445 -j DROP

iptables -A FORWARD -p tcp --dport 69 -j DROP

iptables -A FORWARD -p udp --dport 69 -j DROP

iptables -A FORWARD -p tcp --dport 135 -j DROP

iptables -A FORWARD -p udp --dport 135 -j DROP

iptables -A FORWARD -p tcp --dport 139 -j DROP

iptables -A FORWARD -p udp --dport 139 -j DROP

#允许ping localhost,ping 192.168.0.1/2

#allow loopback access

iptables -A INPUT -p icmp -i lo -j ACCEPT

iptables -A OUTPUT -p icmp -o lo -j ACCEPT

#打开内对内连接

#iptables -A INPUT -i lo -j ACCEPT

#允许代理和内网客户机相互传输数据(包括ping)

#allow ping LAN

iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

iptables -A OUTPUT -p ALL -o $INT_IF -d $LAN_IP_RANGE -j ACCEPT

#允许外网的网卡与内网相互通讯.接受数据只接受响应封包,否则不予放行.发送数据没有限制.

iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

#拒绝外部使用内网进行欺骗

#deny local cheat

iptables -A INPUT -i $EXT_IF -s 192.168.0.0/16 -j DROP

iptables -A INPUT -i $EXT_IF -s 10.0.0.0/8 -j DROP

iptables -A INPUT -i $EXT_IF -s 172.16.0.0/12 -j DROP

iptables -A INPUT -i $EXT_IF -s 127.0.0.0/8 -j DROP

#从LAN进入防火墙主机的dhcp封包,不于放行,只有防火墙担任DHCP时才放行

#deny DHCP_packets from LAN

iptables -A INPUT -p udp -i $INT_IF --dport 67 --sport 68 -j DROP

###-----------------------------------------------------------------------------------###

#配置向外方向的TCP规则,其中,--state ESTABLISHED ,NEW参数指定要检查哪个状态.

#ESTABLISHED标志匹配属于已有的TCP连接的封包.

#NEW标志指定试图创建一条新的TCP连接的第一个封包,这条规则指明属于新建的和已建立的

#TCP连接的封包将会通过eth0端口向外发送.

###-----------------------------------------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -m state --state ESTABLISHED,NEW -j ACCEPT

###----------------------------------------------------------------------------------###

#配置封包从一个端口转发到另一个端口

###----------------------------------------------------------------------------------###

iptables -A FORWARD -i $INT_IF -j ACCEPT

# same to above 和上面的规则功能相同

#iptables -A FORWARD -i $EXT_IF -m state --state ESTABLISHED,RELATED -j ACCEPT

###-------------------------------------------------------------------------------------###

#检查到达外部网络接口的封包状态.属于已有TCP连接的封包都允许通过

# 从WAN到LAN的封包仅放行回应封包

###-------------------------------------------------------------------------------------###

iptables -A INPUT -i $EXT_IF -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

# 限制过滤规则的比对频率为每分钟平均流量三个封包(超过上限的封包将暂停比对),

#并将瞬间流量设定为一次最多处理三个封包(超过上限的封包将丢弃不予处理),

#这类封包通常是黑客用来进行阻断式攻击

iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packets died:"

###-------------------------------------------------------------------------###

#不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片

###-------------------------------------------------------------------------###

iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

###-------------------------------------------------------------------------###

#icmp包通过的控制,防止icmp黑客攻击

###-------------------------------------------------------------------------###

iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

###-------------------------------------------------------------------------###

# 防止DDOS

###-------------------------------------------------------------------------###

#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

###-------------------------------------------------------------------------###

# UDP包一律放行

# allow UDP

###-------------------------------------------------------------------------###

iptables -A FORWARD -p udp -d $LAN_IP_RANGE -i $EXT_IF -j ACCEPT

###-------------------------------------------------------------------------###

#根据mac屏蔽主机上网

###-------------------------------------------------------------------------###

#iptables -t nat -I PREROUTING -m mac --mac-source 4C:00:10:D8:57:F3 -j DROP

###-----------------------------------------------------###

# 开放内部主机可以telnet至外部主 telnet port 23

###-----------------------------------------------------###

#没必要打开23端口

#iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT

#iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT

###-----------------------------------------------------###

# 开放邮包转送通道 open SMTP port 25

###-----------------------------------------------------###

#以下是别人可以送信给你

iptables -A INPUT -i $EXT_IF -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT

iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

#以下是你可以送信给别人

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT

###-----------------------------------------------------###

# 开放对外离线下载信件的通道 POP3 port 110

###-----------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT

###-----------------------------------------------------###

# 开放浏览网页的通道 http port 80

###-----------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT

###-----------------------------------------------------###

# 开放查询外部网络的DNS主机 DNS port:53

###-----------------------------------------------------###

#第一次会用udp封包来查询

iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

#若有错误,会改用tcp包来查询

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

#开放这台主机上的DNS和外部的DNS主机互动查询:使用udp

iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

#开放这台主机上的DNS和外部的DNS主机互动查询:使用udp

iptables -A OUTPUT -o EXT_IF -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

###------------------------------------------------------------------------###

#开放内部主机可以SSH至外部的主机 SSH port:22

###------------------------------------------------------------------------###

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT

#以下是SSH protocol比较不同的地方

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT

###------------------------------------------------------------------------###

###开放内部网络,可以ftp至外部主机

###------------------------------------------------------------------------###

#以下是打开命令 channel 21

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT

#以下是打开资料 channel 20

iptables -A INPUT -i $EXT_IF -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT

iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT

#以下是打开 passive mode FTP 资料通道

iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT

iptables -A INPUT -i $EXT_IF -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT

#-------------------------------------NAT------------------------------------------------

#透明代理设定:将WWW服务转向squid

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

###-------------------------------------------------------------------------###

#启动内部对外部转址:源网络地址转换SNAT

###-------------------------------------------------------------------------###

iptables -t nat -A POSTROUTING -o $EXT_IF -s $LAN_IP_RANGE -j SNAT --to $FW_IP

###-------------------------------------------------------------------------###

#启动外部对内部转址(设置内网WWWW服务器映射)DNAT

###-------------------------------------------------------------------------###

iptables -t nat -A PREROUTING -i $EXT_IF -p tcp -d $FW_IP --dport 80 -j DNAT --to 192.168.0.16:80

双线原理是一样的:

如果内网1[或者外网]是192.168.1.0/24

内网2[或者外网]是192.168.2.0/24

只要改相应部分就行了

#启动内部对外部转址:源网络地址转换SNAT

###-------------------------------------------------------------------------###

iptables -t nat -A POSTROUTING -o $EXT_IF -s 192.168.1.0/24 -j SNAT --to $FW_IP

iptables -t nat -A POSTROUTING -o $EXT_IF -s 192.168.2.0/24 -j SNAT --to $FW_IP
iteye_14071
关注
iptables防火墙配置及Netfilter框架
weixin_48579910的博客
07-13 1588
iptables是一个功能强大且灵活的防火墙工具,通过定义和管理规则,可以有效地控制和保护网络流量。了解并掌握iptables的基本概念、命令和配置示例,可以帮助管理员在多种网络环境下构建安全的防火墙策略。对于更简化的管理,可以考虑使用ufw或firewalld等工具。Netfilter框架是Linux内核中强大且灵活的网络数据包处理框架,通过钩子点、表、链和规则的组合,实现复杂的网络过滤、地址转换和数据包修改功能。
iptables防火墙
w1251427056的博客
05-21 989
防火墙分为两大类:硬件防火墙和软件防火墙
iptables为什么需要增加loopback回环的规则
angou6476的博客
11-21 599
先说loopback回环的大致个人理解: 1、lo的主要作用是基于本地访问本地的数据包会经过lo这张网卡。 2、比如ping 127.0.0.1时,你在eth0抓不到,只能在lo这张网卡捕获。 再来看下简单的iptables的几个链的规则: PREROUTING:在做出路由决策之前,数据包将进入此链。 INPUT:数据包将在本地交付。它与打套接字的进程没有任何关系;本地...
Linux 防火墙放特定端口 (iptables
热门推荐
weixin_44260459的博客
02-09 2万+
查看状态: iptables -L -n 下面添加对特定端口放的方法: 使用iptables放如下端口 /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT 保存 /etc/rc.d/init.d/iptables save 重启服务 service iptables restart 查看需要打的端口是否生效? /etc/init.d/iptables status 法2: 或直接编辑/etc/sysconfig/iptables -A INPUT
iptables 防火墙配置指南
Maomao_op_nger的博客
07-28 1041
iptables配置
深入解析Iptables防火墙配置
2502_92917225的博客
09-12 955
,如果都是放通状态的会经过路由选择,然后根据目的地址一层一层往上送,经过有。中,表是一个规则的集合,每个表都包含若干个链和一些相关的规则。链: 在对数据包作路由选择之前,应用此链中的规则,用来修改目的地址,如。链: 在对数据包作路由选择之后,应用此链中的规则,用来修改源地址,如。链: 当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过。中,链是一个规则的集合,每个链都包含一些相关联的规则。表:确定是否对该数据包进行状态跟踪。
iptables 防火墙配置
来日可期的博客
09-15 5007
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。
iptables 防火墙
2501_91344566的博客
04-17 1307
在 Linux 系统中,iptables 作为一款强大的防火墙工具,因其高度的灵活性和强大的功能,被广泛用于保护服务器免受未经授权的访问和恶意攻击。iptables 不仅能够在网络层对 TCP/IP 数据包进行精细的过滤和限制,还能够通过其复杂的规则系统实现多种网络策略。
iptables配置网络防火墙
佛系摆烂
10-11 715
链是数据包传播的途径,每条链对应多条规则。数据包进入服务器需要经过多道关卡,以下是三条应用在“主机防火墙”中的链。配置防火墙规则时,对于指定的数据包,我们通常可以对它执行相关的动作,以下是常用动作。
利用Linux自带的iptables配置防火墙
野原新之助
06-05 9343
利用Linux自带的iptables配置防火墙,完成如下配置: (1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP和HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加。
详解Linux iptables常用防火墙规则
01-20
如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些...
系统安全之iptables防火墙
EsDeath_99的博客
06-17 1278
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
多功能仿真软件Multisim中MC1496信号乘法混合电路仿真资源
最新发布
11-27
本资源包含了一个使用Multisim仿真软件实现的MC1496信号乘法混合电路的工程文件。此电路是根据网络上的电路图自主绘制的,旨在帮助电子爱好者、工程师及学生更好地理解和学习信号乘法混合电路的原理及其在实际应用中的表现。 文件描述 文件名:multisim仿真MC1496实现的信号乘法混合.rar 内容:Multisim仿真工程文件,包含电路图和相关仿真设置。 注意事项 本资源为仿真文件,运行前请确保已安装Multisim仿真软件。 电路图仅供参考,如有任何疑问或需要帮助,请根据个人学习途径寻求解答。 本资源中所包含的电路图是根据网上资料自主绘制,如有不准确之处,请以实际应用为准。 使用说明 解压下载的文件至指定文件夹。 打Multisim软件,选择“打工程”功能,找到并打解压后的工程文件。 根据个人需求进行仿真实验或修改电路参数。
基于PyQt5的Python图书管理系统发实践
11-27
采用PyQt5框架与Python编程语言构建图书信息管理平台 本项目基于Python编程环境,结合PyQt5图形界面发库,设计实现了一套完整的图书信息管理解决方案。该系统主要面向图书馆、书店等机构的日常运营需求,通过模块化设计实现了图书信息的标准化管理流程。 系统架构采用典型的三层设计模式,包含数据存储层、业务逻辑层和用户界面层。数据持久化方案支持SQLite轻量级数据库与MySQL企业级数据库的双重配置选项,通过统一的数据库操作接口实现数据存取隔离。在数据建模方面,设计了包含图书基本信息、读者档案、借阅记录等核心数据实体,各实体间通过主外键约束建立关联关系。 核心功能模块包含六大子系统: 1. 图书编目管理:支持国际标准书号、中国图书馆分类法等专业元数据的规范化著录,提供批量导入与单条录入两种数据采集方式 2. 库存动态监控:实时追踪在架数量、借出状态、预约队列等流通指标,设置库存预警阈值自动提醒补货 3. 读者服务管理:建立完整的读者信用评价体系,记录借阅历史与违规行为,实施差异化借阅权限管理 4. 流通业务处理:涵盖借书登记、归还处理、续借申请、逾期计算等标准业务流程,支持射频识别技术设备集成 5. 统计报表生成:按日/月/年周期自动生成流通统计、热门图书排行、读者活跃度等多维度分析图表 6. 系统维护配置:提供用户权限分级管理、数据备份恢复、操作日志审计等管理功能 在技术实现层面,界面设计遵循Material Design设计规范,采用QSS样式表实现视觉定制化。通过信号槽机制实现前后端数据双向绑定,运用多线程处理技术保障界面响应流畅度。数据验证机制包含前端格式校验与后端业务规则双重保障,关键操作均设有二次确认流程。 该系统适用于中小型图书管理场景,通过可扩展的插件架构支持功能模块的灵活组合。发过程中特别注重代码的可维护性,采用面向对象编程范式实现高内聚低耦合的组件设计,为后续功能迭代奠定技术基础。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
理工科研究生学习课程-最优化理论与方法
11-27
文档主要为最优化理论与方法学习过程中的笔记记录,包含各类题型,牛顿法,最速下降法,单纯形法,动态规划法,大M法等
【硕士论文完美复现】【价格型需求响应】基于需求侧响应的配电网供电能力综合评估(Python代码实现)
11-27
【硕士论文完美复现】【价格型需求响应】基于需求侧响应的配电网供电能力综合评估(Python代码实现)内容概要:本文档是一份关于“基于需求侧响应的配电网供电能力综合评估”的硕士论文复现资源,重点围绕价格型需求响应展,结合Python代码实现,对配电网在考虑用户侧响应情况下的供电能力进行建模与评估。内容涵盖电力系统中需求响应机制的设计、负荷调整模型的构建、优化算法的应用以及供电能力的量化分析,旨在通过仿真手段提升配电网运行效率与可靠性,并验证所提方法的有效性。文档还附带完整的代码资源链接,便于读者复现实验结果。; 适合人群:具备一定电力系统基础知识和Python编程能力的研究生、科研人员及从事智能电网相关工作的技术人员。; 使用场景及目标:①用于学习和复现硕士论文中的需求响应模型与供电能力评估方法;②支撑科研项目中对配电网灵活性与用户侧互动机制的研究;③为微电网、虚拟电厂等领域的优化调度提供技术参考。; 阅读建议:建议结合文中提供的网盘资源下载完整代码与数据,边运行代码边理解模型细节,重点关注需求响应建模与供电能力计算的实现逻辑,同时可扩展应用于其他优化场景。
解锁编程技能:从零基础启你的Python编程之旅
11-27
解锁编程技能:从零基础启你的Python编程之旅
关于串口与UDP通讯的实验
11-27
通讯测试
城陵矶至湖口右岸.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打,放心使用
iptables防火墙配置与常见规则详解
这个文档详细列举了一些常用iptables配置规则,旨在帮助用户根据实际需求来设置防火墙策略。 1. **iptables-tnat-FFlood和iptables-tnat-IFlood**: 这两个规则涉及流量检测和限制。`iptables-tnat-FFlood`可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值