温室小花.技术.博客 --纯粹的unix技术博客 » iptable

Linux操作系统下IPTables配置方法详解

admin — Thu, 19 Feb 2009 12:16:10 +0000

配置一个filter表的防火墙　　
1、查看本机关于IPTABLES的设置情况
　　[root@tp ~]# iptables -L -n
　　Chain INPUT (policy ACCEPT)
　　target prot opt source destination
　　Chain FORWARD (policy ACCEPT)
　　target prot opt source destination
　　Chain OUTPUT (policy ACCEPT)
　　target prot opt source destination
　　Chain RH-Firewall-1-INPUT (0 references)
　　target prot opt source destination
　　ACCEPT all — 0.0.0.0/0 0.0.0.0/0
　　ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 255
　　ACCEPT esp — 0.0.0.0/0 0.0.0.0/0
　　ACCEPT ah — 0.0.0.0/0 0.0.0.0/0
　　ACCEPT udp — 0.0.0.0/0 224.0.0.251 udp dpt:5353
　　ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:631
　　ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
　　ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
　　ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
　　ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
　　REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
　　可以看出俺在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
　　如果你在安装linux时没有选择启动防火墙,是这样的
　　[root@tp ~]# iptables -L -n
　　Chain INPUT (policy ACCEPT)
　　target prot opt source destination
　　Chain FORWARD (policy ACCEPT)
　　target prot opt source destination

Chain OUTPUT (policy ACCEPT)
　　target prot opt source destination
　　什么规则都没有.

　　2、清除原有规则.
　　不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
　　[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
　　[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
　　俺们在来看一下
　　[root@tp ~]# iptables -L -n
　　Chain INPUT (policy ACCEPT)
　　target prot opt source destination
　　Chain FORWARD (policy ACCEPT)
　　target prot opt source destination
　　Chain OUTPUT (policy ACCEPT)
　　target prot opt source destination
　　什么都没有了吧,和俺们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
　　[root@tp ~]# /etc/rc.d/init.d/iptables save
　　这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
　　[root@tp ~]# service iptables restart
　　现在IPTABLES配置表里什么配置都没有了,那俺们开始俺们的配置吧。
　　3、设定预设规则
　　[root@tp ~]# iptables -p INPUT DROP
　　[root@tp ~]# iptables -p OUTPUT ACCEPT
　　[root@tp ~]# iptables -p FORWARD DROP
　　上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.俺们要控制流入数据包
　　而对于OUTPUT链,也就是流出的包俺们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.

可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做俺认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
　　注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
　　怎么办,去本机操作呗!
　　4、添加规则.
　　首先添加INPUT链,INPUT链的默认规则是DROP,所以俺们就写需要ACCETP(通过)的链
　　为了能采用远程SSH登陆,俺们要开启22端口.
　　[root@tp ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
　　[root@tp ~]# iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
　　其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
　　[root@tp ~]# iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT ,其他同理.)
　　如果做了WEB服务器,开启80端口.
　　[root@tp ~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT
　　如果做了邮件服务器,开启25,110端口.
　　[root@tp ~]# iptables -A INPUT -p tcp –dport 110 -j ACCEPT
　　[root@tp ~]# iptables -A INPUT -p tcp –dport 25 -j ACCEPT
　　如果做了FTP服务器,开启21端口
　　[root@tp ~]# iptables -A INPUT -p tcp –dport 21 -j ACCEPT
　　[root@tp ~]# iptables -A INPUT -p tcp –dport 20 -j ACCEPT

如果做了DNS服务器,开启53端口
　　[root@tp ~]# iptables -A INPUT -p tcp –dport 53 -j ACCEPT
　　如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
　　上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
　　允许icmp包通过,也就是允许ping,
　　[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
　　[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)
　　允许loopback!(不然会导致DNS无法正常关闭等问题)
　　IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
　　IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
　　下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以俺们就写需要DROP(放弃)的链.
　　减少不安全的端口连接
　　[root@tp ~]# iptables -A OUTPUT -p tcp –sport 31337 -j DROP
　　[root@tp ~]# iptables -A OUTPUT -p tcp –dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会
　　还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139（smb）,2049(NFS)端口也应被禁止,俺在这写的也不全,有兴趣的朋友应该去查一下相关资料.
　　当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加
　　允许SSH登陆一样.照着写就行了.
　　下面写一下更加细致的规则,就是限制到某台机器

如:俺们只允许192.168.0.3的机器进行SSH连接
　　[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp –dport 22 -j ACCEPT
　　如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
　　24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
　　-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
　　或采用命令方式:
　　[root@tp ~]# iptables -D INPUT -p tcp –dport 22 -j ACCEPT
　　然后保存,俺再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.
　　[root@tp ~]# /etc/rc.d/init.d/iptables save
　　这样写 !192.168.0.3 表示除了192.168.0.3的ip地址
　　其他的规则连接也一样这么设置.
　　在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以俺们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
　　[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT
　　[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
　　丢弃坏的TCP包
　　[root@tp ~]#iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP
　　处理IP碎片数量,防止攻击,允许每秒100个
　　[root@tp ~]#iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
　　设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
　　[root@tp ~]#iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT

俺在前面只所以允许ICMP包通过,就是因为俺在这里有限制。
　　配置一个NAT表放火墙
　　1、查看本机关于NAT的设置情况
　　[root@tp rc.d]# iptables -t nat -L
　　Chain PREROUTING (policy ACCEPT)
　　target prot opt source destination
　　Chain POSTROUTING (policy ACCEPT)
　　target prot opt source destination
　　SNAT all — 192.168.0.0/24 anywhere to:211.101.46.235
　　Chain OUTPUT (policy ACCEPT)
　　target prot opt source destination
　　俺的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考俺的另一篇文章
　　当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
　　如果你想清除,命令是
　　[root@tp ~]# iptables -F -t nat
　　[root@tp ~]# iptables -X -t nat
　　[root@tp ~]# iptables -Z -t nat
　　2、添加规则
　　添加基本的NAT地址转换,(关于如何配置NAT可以看俺的另一篇文章),
　　添加规则,俺们只添加DROP链.因为默认链全是ACCEPT.
　　防止外网用内网IP欺骗
　　[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
　　[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
　　[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
　　如果俺们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
　　例：
　　禁止与211.101.46.253的所有连接
　　[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP

禁用FTP(21)端口
　　[root@tp ~]# iptables -t nat -A PREROUTING -p tcp –dport 21 -j DROP
　　这样写范围太大了,俺们可以更精确的定义.
　　[root@tp ~]# iptables -t nat -A PREROUTING -p tcp –dport 21 -d 211.101.46.253 -j DROP
　　这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
　　按照俺写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
　　最后：
　　drop非法连接
　　[root@tp ~]# iptables -A INPUT -m state –state INVALID -j DROP
　　[root@tp ~]# iptables -A OUTPUT -m state –state INVALID -j DROP
　　[root@tp ~]# iptables-A FORWARD -m state –state INVALID -j DROP
　　允许所有已经建立的和相关的连接
　　[root@tp ~]# iptables-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
　　[root@tp ~]# iptables-A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
　　[root@tp ~]# /etc/rc.d/init.d/iptables save
　　这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用．
　　[root@tp ~]# service iptables restart

iptables设置基础

admin — Fri, 16 Jan 2009 07:41:51 +0000

iptables是针对Linux防火墙netfilter的管理配置工具。在进行iptables防火墙设置前，必须打开系统内核的IP转发功能，使系统成为路由器。在RedHat中有以下两种方法实现：
1.修改内核变量ip_forward
#echo”1″>/proc/sys/net/ipv4/ip_froward
2.修改脚本/etc/sysconfig/network
将FROWARD_IPV4=false改为FROWARD_IPV4=true

一、数据包流经netfilter防火墙的路径
1.流入本机数据包的路径：

注：①.路径上某表链规则匹配数据包并进行ACCEPT、DROP、REJECT操作时，ACCEPT使数据包直接到达目的地，DROP和REJECT则当场丢弃数据包，该数据包不会在后续路径上再出现，故会影响其它表的操作。
②.PREROUTING和POSTROUTING链只对请求连接的包进行操作，对属于该连接的后续包，不予比对规则，只按已确定的规则自动进行操作，因此建议不要在此链上作过滤操作，否则将漏掉对后续包的过滤。
二、iptables指令的基本格式：
[-ttable][chains][rule-matcher][-jtarget]
<指令>[指定表]<指定操作命令>[指定链][指定匹配规则][指定目标动作]
注：<>括起来的为必设项，[]括起来的为可设项。iptables指令要求严格区分大小写！
三、iptables指令的语法规则要素：
1、netfilter表(Table)
netfilter的表操作是以-t或–table

来指定的，未指定时默认为filte表。共有以下三种表：
①.Filter表(过滤表)
②.Nat表(网络地址转换表)
③.Mangle表(数据包处理表)
2、常用操作命令(Command)
-A或–append在所选的链尾加入一条或多条规则。
-D或–delete从所选的链中删除一条或多条匹配的规则。
-R或–replace在所选的链中替换一条匹配的规则，需指定规则中的数字。
-I或–insert按给出的规则号在所选的链中插入一条规则。
-L或–list列出指定链的全部规则，如未指定链，则列出所有链的全部规则。
-F或–flush清除指定链和表中的全部规则，如未指定链，则所有链都将被清。
-N或–new-chain以给定的名字创建一条新的用户自定义链，不能与已有的链同名。
-X或–delete-chain删除指定的用户自定义链，必须保证链中的规则不在使用才能删除，若未指定链，则删除所有用户自定义链。
-P或–policy为内置链指定默认规则(链政策)。用户自定义链没有默认规则，其默认规则是规则链中的最后一条规则，用-L命令时它显示在第一行。
-E或–rename-chain根据用户给出的名字对指定的自定义链进行重命名，该命令不影响Table的结构。
-C或–check检查给定的包是否与指定的规则相匹配。
-Z或–zero将指定链中所有规则的数据包(PKTS)和字节(byte)计数器清零。该计数器用来计算同一数据包出现的次数，是过滤阻断式攻击不可或缺的工具。
-h或–help给出当前命令语法的简短说明。
3、链(Chains)
①.INPUT链处理输入包的规则链。
②.OUTPUT链处理输出包的规则链。
③.FORWARD链处理转发包的规则链。
④.PREROUTING链对到达且未经路由判断之前的包进行处理的规则链。
⑤.POSTROUTING链对发出且经过路由判断之后的包进行处理的规则链。
⑥.用户自定义链是由filter表内置链来调用的，它是针对调用链获取的数据包进行处理的规则链。
注：①.Filter表有INPUT、OUTPUT、FORWARD和自定义四种链形式。
②.Nat表有OUTPUT、PREROUTING、POSTROUTING三种链形式。
③.Mangle表有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五种链形式。
4、常用匹配规则(ruleMatcher)
-c或–set-counters重新设置规则的计数器,可指定PKTS和BYTES选项来设置计数器计数规则。
-s或–source[!]address[/mask]指定匹配规则的源主机名称、源IP地址或源IP地址范围。
–sport或–source-port[!]port[:port]
指定匹配规则的源端口或源端口范围，可用端口号，也可用/etc/services文件中的名字,端口范围格式xxx:yyy。
-d或–destination[!]address[/mask]指定匹配规则的目的地址或目的地址范围。
–dport或–destination-port[!]port[:port]
指定匹配规则的目的端口或目的端口范围，可用端口号，也可用/etc/services文件中的名字,端口范围格式xxx:yyy。
-i或–in-interface[!]interfacename[+]
指定匹配规则的对内网络接口名，默认则符合所有接口，可制定暂未工作的接口，待其工作后才起作用，该选项只对INPUT、FROWARD和PREROUTING链是合法的。
-o或—out-interface[!]interfacename[+]
指定匹配规则的对外网络接口名，默认则符合所有接口，可制定暂未工作的接口，待其工作后才起作用，该选项只对OUTPUT、FROWARD和POSTROUTING链是合法的。
-j或–jump指定规则的目标即动作或跳转，如未指定则此规则无任何效果。
-p或–protocol[!]protocol
指定匹配规则的通讯协议，如：tcp、udp、icmp、all，如未指定则匹配所有通讯协议。
–icmp-type[!]typename指定匹配规则的ICMP消息类型,选项后需有一个icmp名称类型、数字类型（如3）、或一对用/号分隔的数字类型和编码（如3/3），可用以下命令查看有效的icmp类型名表：iptables-picmp-h
-f规则应用于IP数据包第二分片以后的分片。
–tcp-option这个选项后需接一个数字，用来匹配tcp选项等于该数字的数据包。如果需要检查tcp选项，那些tcp表头部完整的数据包就会被自动删除。
–tcp-flags此选项后需接2个参数，以对TCP标志进行筛选。第一个参数表示屏蔽（MASK），它可用来指定数据包中需要检查的TCP标志，而第二个参数表示需要设置的标准，可用的标志包括：SYN、ACK、FIN、RST、URG、PSH、ALL和NONE等，如果指定多个标志，则每个标志间需以逗号分隔。以下范例表示所有标志都要检查，但只有SYN和ACK被设置。
iptables–AINPUT–protocoltcp–tcp-flagsALLSYN,ACK–jDENY
-l在系统日志/var/log/messages中记录与该规则匹配的数据包。
-v详细输出。
-n当显示时,不对IP地址执行DNS查找。
[!]-y-y表明tcp握手中的连接请求标志位SYN；!-y表示对该请求的响应。
[!]-syn指定仅仅匹配设置了SYN位，清除了ACK、FIN位的TCP包，该参数仅针对TCP协议类型使用。
-m-state标记数据包。
注：“！”为逻辑非；接口名后跟“+”表示所有以此接口名开头的接口都会被匹配。
附：匹配条件扩展：
TCP—–匹配源端口，目的端口，及tcp标记的任意组合，tcp选项等。
UPD—–匹配源端口和目的端口
ICMP—-匹配ICMP类型
MAC—–匹配接收到的数据的mac地址
MARK—-匹配nfmark
OWNE—-(仅仅应用于本地产生的数据包)来匹配用户ID，组ID，进程ID及会话ID
TOS——匹配IP头的TOS字段的值。
LIMIT—匹配特定时间段内的数据包。这个扩展匹配对于限制dos攻击数据流非常有用。
STATE—匹配特定状态下的数据包(由连接跟踪子系统来决定状态)，可能的状态包括：
INVALID不匹配于任何连接的数据包
ESTABLISHED属于某个已经建立的连接的数据包
NEW请求建立连接的数据包
RELATED属于某个已建立连接产生的新连接的数据包，例如一个ICMP错误消息或ftp数据连接
5、目标动作(Target)
当规则匹配一个包时，要执行的目标动作以-j参数标识。
①.Filter表的目标动作：
ACCEPT允许数据包通过。
DROP丢弃数据包。
②.Nat表的目标动作：
SNAT修改数据包的源地址。
MASQUERADE修改数据包的源地址，只用于动态分配IP地址的情况。
DNAT修改数据包的目标地址。
REDIRECT将包重定向到进入系统时网络接口的IP地址，目标端口改为指定端口。
③.Mangle表的目标动作：
TTL
TOS用来设置IP表头中8位长度的TOS字段的值，此选项只在使用MangleTables时才有效。
MARK对数据包进行标记，供其它规则或数据包处理程序使用，此选项只在Mangle表中使用。
④.扩展的目标动作：
REJECT丢弃数据包的同时返回给发送者一个可配置的错误信息。
LOG将匹配的数据包信息，传递给syslog()进行记录。
ULOG将匹配的数据包信息，使用用户空间的log进程进行记录。
MIRROR互换源和目的地址以后重新传输该数据包。
TOS改写包的TOS值。
QUEUE表示把这个包重导入本机的队列中。
RETURN表示跳离这条链的匹配，如果是用户自定义链，就会返回原链的下一个规则处继续检查，如果是内置链，那会参考政策来处理数据包。
注：要使用扩展的目标动作，必须在内核中激活相应选项或装载相应内核模块。
四、iptables规则集的保存、恢复和启动
1、保存与恢复
用iptables指令在内存中逐条建立起来的规则集，经测试通过后，可用iptables-save命令保存，其中/etc/sysconfig/iptables是iptables守护进程调用的默认规则集文件。
保存规则集命令：
#/sbin/iptables-save>/etc/sysconfig/iptables
恢复规则集命令：
#/sbin/iptables-restore 2、iptables规则集脚本的启动
①.默认脚本的启动
RedHatiptables的启动脚本文件/etc/rc.d/init.d/iptables在每次启动时都要使用/etc/sysconfig/iptables提供的规则进行规则恢复，并可以使用如下命令保存规则：
#serviceiptablessave
②.自定义脚本的启动
用户可以在自定义脚本中直接用iptables命令编写一个规则集，并在启动时执行这个脚本。设用户自定义脚本文件名为/etc/fw/rules,则可以在启动脚本/etc/rc.d/rc.local中加入代码：if[-x/etc/fw/rules]；then/etc/fw/rules；fi；即可在每次启动时执行该脚本。
注：如果使用此种方式，建议使用ntsysv命令关闭系统的iptables守护进程。

iptables权限控制

admin — Thu, 15 Jan 2009 09:09:52 +0000

以下是一个脚本，用来做基本的权限控制。包括的内容有：禁止被访问的IP，特权用户的设置，开启平常要用的端口，封锁某个人的MAC，NAT转发等。

注：此脚本是以MAC地址为管理基础的，如果客户端更改了MAC地址，那么所做的设置就无效。

^?View Code SHELL

#!/bin/sh
/etc/init.d/iptables restart
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F
 
############################## Net Admin ################################
#网管员的MAC地址，没有任何限制
/sbin/iptables -t nat -A PREROUTING -m mac --mac-source $MAC -j ACCEPT
/sbin/iptables -A INPUT -m mac --mac-source  $MAC  -j ACCEPT
/sbin/iptables -A FORWARD -m mac --mac-source $MAC  -j ACCEPT
 
############################## Deny URL #################################
#要禁止访问的地址，下面两个分别是veryCD和互联星空的IP
/sbin/iptables -t nat -A PREROUTING --dst 218.30.64.121 -j DROP
/sbin/iptables -t nat -A PREROUTING --dst 58.218.179.162 -j DROP
 
##############################  Manager #################################
#老板，特权用户
/sbin/iptables -t nat -A PREROUTING -m mac --mac-source $MAC  -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -m mac --mac-source $MAC  -j ACCEPT
/sbin/iptables -A FORWARD -m mac --mac-source $MAC -j ACCEPT
 
############################ open port ################################
#允许访问的端口
 
#没有Squid做代理的话，下面一句需要启用。
#/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 1863 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 8008 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3000 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
 
##############################attack######################################
#内网中攻击或中毒的机器，先封掉他，不能上网，他会来找你的。
#/sbin/iptables -A INPUT -m mac --mac-source $MAC -j DROP
#/sbin/iptables -A FORWARD -m mac --mac-source $MAC -j DROP
 
################################ NAT #####################################
#做个转发
/sbin/iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8989 -j DNAT --to-destination 10.10.0.X:80
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/22 -d 10.10.0.X -p tcp -m tcp --dport 8989 -j SNAT --to-source 10.10.0.1
 
 
############################### Internet ################################
#把其他包DROP掉
/sbin/iptables -A INPUT -s 10.10.0.0/22 -j DROP
 
#将内网的http请求转给squid
/sbin/iptables -t nat -A PREROUTING -s 10.10.0.0/22 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
 
#完成转发
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/22 -o ppp0 -j MASQUERADE

用linux加iptable与squid来构建机房的安全

admin — Fri, 19 Dec 2008 13:51:04 +0000

eth0是我外网网卡，eth1是我内网网卡

1.建立静态IP/MAC捆绑

方法：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

[root@test2root]#more/etc/ethers

192.168.10.1800:10:DC:6B:C6:31

192.168.10.11100:10:5C:C0:2B:C1

192.168.10.134C:00:10:A3:38:5D

192.168.10.11300:E0:4C:00:0C:2B

192.168.10.16600:10:DC:61:B4:78

192.168.10.1078:06:18:25:88:40

192.168.10.17300:0F:1F:4D:EC:99

192.168.10.21200:10:DC:6A:C0:C0

192.168.10.2300:07:95:D8:C6:39

然后在/etc/rc.d/rc.local最后添加：arp-f即可实现IP/MAC捆绑

2.编写假包上网脚本

[root@test2root]#cat/etc/xxx

#!/bin/bash

echo”1″>/proc/sys/net/ipv4/ip_forward

INET_IFACE=”eth0″

INET_IP=”210.75.18.36″

LAN_IFACE=”eth1″

LAN_IP=”192.168.10.2″

LAN_IP_RANGE=”192.168.10.0/24″

IPT=”/sbin/iptables”

/sbin/depmod-a

/sbin/modprobeip_tables

/sbin/modprobeiptable_nat

/sbin/modprobeip_nat_ftp

/sbin/modprobeipt_mac

/sbin/modprobeipt_state

/sbin/modprobeipt_LOG

forTABLEinfilternatmangle;do

$IPT-t$TABLE-F

$IPT-t$TABLE-X

done

iptables-PINPUTDROP

iptables-POUTPUTDROP

iptables-PFORWARDDROP

$IPT-tnat-PPREROUTINGACCEPT

$IPT-tnat-PPOSTROUTINGACCEPT

$IPT-tnat-POUTPUTACCEPT

iptables-AINPUT-ilo-jACCEPT

iptables-AOUTPUT-olo-jACCEPT

iptables-AINPUT-ieth1-jACCEPT

iptables-AOUTPUT-oeth1-jACCEPT

iptables-AINPUT-ieth0-jACCEPT

iptables-AOUTPUT-oeth0-jACCEPT

iptables-AFORWARD-mstate–stateESTABLISHED,RELATED-jACCEPT

iptables-AFORWARD-s192.168.10.18-mmac–mac-source00:10:DC:6B:C6:31-jACCEPT#MAC、IP地址绑定校验

iptables-AFORWARD-s192.168.10.111-mmac–mac-source00:10:5C:C0:2B:C1-jACCEPT

iptables-AFORWARD-s192.168.10.13-mmac–mac-source4C:00:10:A3:38:5D-jACCEPT

iptables-AFORWARD-s192.168.10.113-mmac–mac-source00:E0:4C:00:0C:2B-jACCEPT

iptables-AFORWARD-s192.168.10.166-mmac–mac-source00:10:DC:61:B4:78-jACCEPT

iptables-AFORWARD-s192.168.10.10-mmac–mac-source78:06:18:25:88:40-jACCEPT

iptables-AFORWARD-s192.168.10.173-mmac–mac-source00:0F:1F:4D:EC:99-jACCEPT

iptables-AFORWARD-s192.168.10.212-mmac–mac-source00:10:DC:6A:C0:C0-jACCEPT

iptables-AFORWARD-s192.168.10.23-mmac–mac-source00:07:95:D8:C6:39-jACCEPT

iptables-AFORWARD-s192.168.10.52-mmac–mac-source00:02:A5:2E:B9:56-jACCEPT

/sbin/iptables-AFORWARD-ptcp–dport6881:6890-jDROP#限制BT下载

/sbin/iptables-AINPUT-ptcp–dport6881:6890-jDROP

/sbin/iptables-AOUTPUT-ptcp–dport6881:6890-jDROP

iptables-AFORWARD-ptcp-jLOG–log-levelinfo–log-prefix”INPUTpackets”#加入iptablesLOG信息,注意，要启用

if["$INET_IFACE"=ppp0];theniptablesLOG需要在/etc/syslog.conf

$IPT-tnat-APOSTROUTING-o$INET_IFACE-jMASQUERADE中加入kern.=info/var/log/iptables

else并重启syslog服务

$IPT-tnat-APOSTROUTING-o$INET_IFACE-jSNAT–to$INET_IP

3.启动SQUID

修改/etc/squid/squid.conf配置文件

将53行的#http_port3128修改为http_port3128

在1975行加入visible_hostnamexxx#也可以写机器名

修改cache_mem8MB为cache_mem170MB#在480行，大约使用内存的1/3

修改cache_dirufs/var/spool/squid10016256为cache_dirufs/var/spool/squid51224256#在679行，512代表缓存空间容量，24代表第一层目录数，256代表第二层目录数

在1699行加入aclmyclientsrc192.168.10.0/24#定义ip网段代码

在1760行加入http_accessallowmyclient#在http_accessallowlocalhosthttp_accessdenyall两行配置之前加入该配置

将错误信息页面链接到简体中文

[root@test2squid]#cd/etc/squid/

[root@test2squid]#rm-ferrors

[root@test2squid]#ln-s/usr/share/squid/errors/Simplify_Chinese/errors

[root@test2squid]#ll-derrors

lrwxrwxrwx1rootroot413月1710:11errors->/usr/share/squid/errors/Simplify_Chinese/

[root@test2squid]#

初始化和启动squid

[root@test2squid]#squid-z#创建squid缓存目录

2005/03/1710:27:44|CreatingSwapDirectories

[root@test2squid]#servicesquidstart#启动squid

启动squid：.[确定]

4.设置透明代理

编辑/etc/squid/squid.conf

在2067行添加以下配置

httpd_accel_hostvirtual

httpd_accel_port80

httpd_accel_with_proxyon

httpd_accel_uses_host_headeron

重新启动squid

[root@test2squid]#servicesquidrestart

停止squid：..[确定]