2.iptables常用命令

常用命令

配置允许ssh端口连接

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
# 22为你的ssh端口， -s 192.168.1.0/24表示允许这个网段的机器来连接，其它网段的ip地址是登陆不了你的机器的。 -j ACCEPT表示接受这样的请求

允许本地回环地址可以正常使用

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# 本地圆环地址就是那个127.0.0.1，是本机上使用的,它进与出都设置为允许

设置默认规则

iptables -P INPUT DROP    # 配置默认的不让进
iptables -P FORWARD DROP  # 默认的不允许转发
iptables -P OUTPUT ACCEPT # 默认的可以出去

配置白名单

iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT  # 允许机房内网机器可以访问
iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT  # 允许机房内网机器可以访问
iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT # 允许183.121.3.7访问本机的3380端口

开启相应的服务端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT        # 开启80端口，因为web对外都是这个端口
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT    # 允许被ping
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来

保存iptables规则

第一种方式：

iptables-save > 1.txt       # 将防火墙规则保存到文件中
iptables-save               # 将防火墙规则保存到配置文件中，防止重启后失效
iptables-restore < 1.txt    # 从配置文件里载入防火墙配置

第二种方式：

cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 改动任何配置文件之前先备份
iptables-save > /etc/sysconfig/iptables
cat /etc/sysconfig/iptables

禁止某个IP访问

iptables -I INPUT -p tcp -s 192.168.1.253 -i ens33 -j DROP
iptables -A INPUT -p tcp ! -s 192.168.1.1 -i ens33 -j DROP
iptables -A INPUT -p tcp ! -s 192.168.1.0/24 -i ens33 -j DROP

#选项解释：
-s # 指定源地址或网段(192.168.1.0/24)。 ! 取反；
-d # 指定目的地址(nat表prerouting)；
-i # 进入的网络接口(ens33,ens37)；
-o # 出去的网络接口(ens33,ens37)；

禁止初跳板机以外的IP访问

iptables -I INPUT -p tcp ! -s 192.168.1.1 -j DROP

匹配端口范围

iptables -I INPUT -p tcp -m multiport --dport 21,22,23,24 -j DROP
#放行3306~8809范围端口
iptables -I INPUT -p tcp --dport 3306:8809 -j ACCEPT   
iptables -I INPUT -p tcp --dport 18:80 -j DROP

# 允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT         
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT  
  
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
# 允许访问80端口11 端口映射
iptables -A INPUT -p tcp --dport 80 -j ACCEPT  
# 允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT  
# 允许FTP服务的20端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT  

# 禁止其他未允许的规则访问
iptables -A INPUT -j reject  
# 禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT

匹配ICMP类型

iptables -A INPUT -p icmp --icmp-type 8
# 例：iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT

例子

#封掉190.168.1.200
iptables -I INPUT -s 192.168.1.200 -j DROP
# 只允许192.168.1.1 192.168.1.10可以ping
iptables -I INPUT -p icmp --icmp-type 8 -s 192.168.1.10 -j ACCEPT
iptables -I INPUT 2 -p icmp ! -s 192.168.1.1 --icmp-type 8 -j DROP
# 将3306端口封掉
iptables -I INPUT -p tcp --dport 3306 -j DROP

# 屏蔽恶意主机(比如，192.168.0.8
iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP 
# 屏蔽单个IP的命令
iptables -I INPUT -s 123.45.6.7 -j DROP   
# 封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP   
# 封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP   
# 封IP段即从123.45.6.1到123.45.6.254
iptables -I INPUT -s 123.45.6.0/24 -j DROP

端口映射

iptables -t nat -A PREROUTING -d 10.0.1.61 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.7:22
#命令拆解：
表：nat
链：PREROUTING
源IP：10.0.1.61
源端口：9000
协议：tcp
动作：DNAT
目标IP：172.16.1.7
目标端口：22

# 本机的 2222 端口映射到内网 虚拟机的22 端口
iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222  -j DNAT --to-dest 192.168.188.115:22

IP映射

# 将10.0.1.62的访问请求转发到172.16.1.7
iptables -t nat -A PREROUTING -d 10.0.1.62 -j DNAT --to-destination 172.16.1.7

启动网络转发规则

# 只对 OUTPUT，FORWARD，POSTROUTING 三个链起作用
iptables -A FORWARD -o eth0

字符串匹配

比如，我们要过滤所有TCP连接中的字符串test，一旦出现它我们就终止这个连接，我们可以这么做：

iptables -A INPUT -p tcp -m string --algo kmp --string "test" -j REJECT --reject-with tcp-reset
iptables -L

# Chain INPUT (policy ACCEPT)
# target     prot opt source               destination
# REJECT     tcp  --  anywhere             anywhere            STRING match "test" ALGO name kmp TO 65535 reject-with tcp-reset
#
# Chain FORWARD (policy ACCEPT)
# target     prot opt source               destination
#
# Chain OUTPUT (policy ACCEPT)
# target     prot opt source               destination

阻止Windows蠕虫

iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"

防止SYN洪水

iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT

列出已设置的规则

四个表名 raw，nat，filter，mangle

五个规则链名 INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING

filter表包含INPUT、OUTPUT、FORWARD三个规则链

iptables -L [-t 表名] [链名]
iptables -L -t nat                  # 列出 nat 上面的所有规则
#            ^ -t 参数指定，必须是 raw， nat，filter，mangle 中的一个
iptables -L -t nat  --line-numbers  # 规则带编号
iptables -L INPUT
iptables -L -nv  # 查看，这个列表看起来更详细

使用场景实例

场景一

开放 tcp 10-22/80 端口开放 icmp 其他未被允许的端口禁止访问

存在的问题: 本机无法访问本机; 本机无法访问其他主机

iptables -I INPUT -p tcp --dport 80 -j ACCEPT     # 允许 tcp 80 端口
iptables -I INPUT -p tcp --dport 10:22 -j ACCEPT  # 允许 tcp 10-22 端口
iptables -I INPUT -p icmp -j ACCEPT               # 允许 icmp
iptables -A INPUT -j REJECT                       # 添加一条规则, 不允许所有

# 优化场景一
iptables -I INPUT -i lo -j ACCEPT                 # 允许本机访问
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许访问外网
iptables -I INPUT -p tcp --dport 80 -s 10.10.188.233 -j ACCEPT   # 只允许固定ip访问80

场景二

ftp: 默认被动模式(服务器产生随机端口告诉客户端, 客户端主动连接这个端口拉取数据)

vsftpd: 使 ftp 支持主动模式(客户端产生随机端口通知服务器, 服务器主动连接这个端口发送数据)

vi /etc/vsftpd/vsftpd.conf # 使用 vsftpd 开启 ftp 主动模式
port_enable=yes
connect_from_port_20=YES

iptables -I INPUT -p tcp --dport 21 -j ACCEPT


vi /etc/vsftpd/vsftpd.conf # 建议使用 ftp 被动模式
pasv_min_port=50000
pasv_max_port=60000

iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT

# 还可以使用 iptables 模块追踪来自动开发对应的端口

场景三

允许外网访问: web http -> 80/tcp; https -> 443/tcp mail smtp -> 25/tcp; smtps -> 465/tcp pop3 -> 110/tcp; pop3s -> 995/tcp imap -> 143/tcp

内部使用: file nfs -> 123/udp samba -> 137/138/139/445/tcp ftp -> 20/21/tcp remote ssh -> 22/tcp sql mysql -> 3306/tcp oracle -> 1521/tcp

iptables -I INPUT -i lo -j ACCEPT                                  # 允许本机访问
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT   # 允许访问外网
iptables -I INPUT -s 10.10.155.0/24 -j ACCEPT                      # 允许内网访问
iptables -I INPUT -p tcp -m multiport --dports 80,1723 -j ACCEPT   # 允许端口80http,1723vpn
iptables -A INPUT -j REJECT # 添加一条规则, 不允许所有

iptables-save # 保存设置到配置文件

场景四

nat 转发

iptables -t nat -L # 查看 nat 配置
iptables -t nat -A POST_ROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232 # SNAT

vi /etc/sysconfig/network # 配置网关
iptables -t nat -A POST_ROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.232:80 # DNAT

场景五

防CC

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT # 限制并发连接访问数
iptables -I INPUT -m limit --limit 3/hour --limit-burst 10 -j ACCEPT # limit模块; --limit-burst 默认为5

Reference Links：

#文章内容来自以下链接

#iptables详解

https://blog.csdn.net/shujuliu818/article/details/125649998

常用命令​

配置允许ssh端口连接​

允许本地回环地址可以正常使用​

设置默认规则​

配置白名单​

开启相应的服务端口​

保存iptables规则​

禁止某个IP访问​

禁止初跳板机以外的IP访问​

匹配端口范围​

匹配ICMP类型​

例子​

端口映射​

IP映射​

启动网络转发规则​

字符串匹配​

阻止Windows蠕虫​

防止SYN洪水​

列出已设置的规则​

使用场景实例​

场景一​

场景二​

场景三​

场景四​

场景五​

Reference Links：​