iptables 相關

[http://linux.vbird.org/linux_server/0250simple_firewall.php](http://linux.vbird.org/linux_server/0250simple_firewall.php)  基本存檔與讀檔的方式 ``` sudo iptables-save > iptables-script sudo iptables-restore ./iptables-script sudo iptables-restore < iptables.conf ``` 更方便的作法──iptables-persistent ``` sudo apt install iptables-persistent sudo dpkg-reconfigure iptables-persistent #儲存目的設定值 ``` ``` -A DOCKER-USER -j RETURN #代表結束 DOCKER-USER 這個 Chain 並返回前一個 Chain ``` 建立自訂 Chain ``` iptables -N BLACKLIST iptables -A BLACKLIST -s 140.113.235.151 -j DROP IPTABLES -A input -j BLACKLIST ``` 限速 ``` iptables -A FORWARD -d 192.168.0.203 -m limit --limit=500/s --limit-burst=1000 -j ACCEPT iptables -A FORWARD -d 192.168.0.203 -m limit --limit=500/s --limit-burst=1000 -j DROP iptables -A FORWARD -s 192.168.0.203 -m limit --limit=500/s --limit-burst=1000 -j ACCEPT iptables -A FORWARD -s 192.168.0.203 -m limit --limit=500/s --limit-burst=1000 -j DROP iptables -A FORWARD -m iprange --dst-range 192.168.0.100-192.168.0.199 -m limit --limit=1000/s --limit-burst=1000 -j ACCEPT iptables -A FORWARD -m iprange --dst-range 192.168.0.100-192.168.0.199 -m limit --limit=1000/s --limit-burst=1000 -j DROP iptables -A FORWARD -m iprange --src-range 192.168.0.100-192.168.0.199 -m limit --limit=1000/s --limit-burst=1000 -j ACCEPT iptables -A FORWARD -m iprange --src-range 192.168.0.100-192.168.0.199 -m limit --limit=1000/s --limit-burst=1000 -j DROP ``` ### 查看鏈中規則的編號 ``` iptables -L --line-numbers ``` ### 移除 iptables 中的指定規則 ``` # iptables -D [chain] [rule-number] iptables -D INPUT 3 iptables -D <chain> -m <match> -j <target> # <chain> 是要刪除規則的鏈的名稱，<match> 是規則的匹配條件，<target> 是規則的動作目標。 ``` ### basic.rule ```bash #!/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH # 1. 清除規則 iptables -F iptables -X iptables -Z # 2. 設定政策 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # 3~5. 制訂各項規則 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT # 6. 寫入防火牆規則設定檔 /etc/init.d/iptables save ``` ### [iptables.rule](https://linux.vbird.org/linux_server/centos6/0250simple_firewall.php#netfilter) ```bash #!/bin/bash # 請先輸入您的相關參數，不要輸入錯誤了！ EXTIF="eth0" # 這個是可以連上 Public IP 的網路介面 INIF="eth1" # 內部 LAN 的連接介面；若無則寫成 INIF="" INNET="192.168.100.0/24" # 若無內部網域介面，請填寫成 INNET="" export EXTIF INIF INNET # 第一部份，針對本機的防火牆設定！########################################## # 1. 先設定好核心的網路功能： # 啟用 TCP SYN cookies，這是一種防止 SYN 攻擊的機制。當系統檢測到 SYN 攻擊時，會啟用 SYN cookies 來處理連接請求。 echo "1" > /proc/sys/net/ipv4/tcp_syncookies # 禁用 ICMP Echo 對廣播地址的回應。這有助於防止某些類型的 ICMP 攻擊 echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # 啟用反向路徑過濾（rp_filter）和 log_martians。反向路徑過濾是一種防止 IP 欺詐的機制，而 log_martians 用於記錄對非路由地址的非法封包。 for i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians}; do echo "1" > $i done # 禁用接受源路由、接受 ICMP 重定向和發送 ICMP 重定向。這有助於防止路由攻擊。 for i in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,\ send_redirects}; do echo "0" > $i done # 2. 清除規則、設定預設政策及開放 lo 與相關的設定值 PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin; export PATH iptables -F # 清除（Flush）所有的防火牆規則，刪除所有的防火牆規則。 iptables -X # 刪除所有使用者自定義的防火牆規則的附加鏈。 iptables -Z # 將所有的封包計數器歸零。 iptables -P INPUT DROP # 設定預設的輸入（INPUT）規則為 DROP，即拒絕所有入站封包。 iptables -P OUTPUT ACCEPT # 設定預設的輸出（OUTPUT）規則為 ACCEPT，即允許所有出站封包。 iptables -P FORWARD ACCEPT # 設定預設的轉發（FORWARD）規則為 ACCEPT，即允許所有轉發的封包。 # 允許本地回環接口（lo）的所有封包，這是確保本機之間的通信不受防火牆影響的重要規則。 iptables -A INPUT -i lo -j ACCEPT # 允許與已建立連接或相關連接有關的入站封包，這是允許伺服器正常處理回應的重要規則。 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 3. 啟動額外的防火牆 script 模組 if [ -f /usr/local/virus/iptables/iptables.deny ]; then sh /usr/local/virus/iptables/iptables.deny fi if [ -f /usr/local/virus/iptables/iptables.allow ]; then sh /usr/local/virus/iptables/iptables.allow fi if [ -f /usr/local/virus/httpd-err/iptables.http ]; then sh /usr/local/virus/httpd-err/iptables.http fi # 4. 允許某些類型的 ICMP 封包進入 AICMP="0 3 3/4 4 11 12 14 16 18" for tyicmp in $AICMP do iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT done # 5. 允許某些服務的進入，請依照你自己的環境開啟 # iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j ACCEPT # FTP # iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65534 -j ACCEPT # SSH # iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j ACCEPT # SMTP # iptables -A INPUT -p UDP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT # DNS # iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT # DNS # iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT # WWW # iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65534 -j ACCEPT # POP3 # iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65534 -j ACCEPT # HTTPS # 第二部份，針對後端主機的防火牆設定！############################### # 1. 先載入一些有用的模組 modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack ip_conntrack_ftp ip_conntrack_irc" for mod in $modules do testmod=`lsmod | grep "^${mod} " | awk '{print $1}'` if [ "$testmod" == "" ]; then modprobe $mod fi done # 2. 清除 NAT table 的規則吧！ iptables -F -t nat iptables -X -t nat iptables -Z -t nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT # 3. 若有內部介面的存在 (雙網卡) 開放成為路由器，且為 IP 分享器！ if [ "$INIF" != "" ]; then # 允許進入介面為 $INIF 的所有封包。這樣的設定通常是為了允許內部網路的通信。 iptables -A INPUT -i $INIF -j ACCEPT # 啟用 IP 轉發功能，允許 Linux 系統將收到的封包轉發到其他網絡。這是實現 NAT（Network Address Translation）或路由功能的前提。 echo "1" > /proc/sys/net/ipv4/ip_forward if [ "$INNET" != "" ]; then for innet in $INNET do iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE done fi fi # 4. NAT 伺服器後端的 LAN 內對外之伺服器設定 # iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 80 \ # -j DNAT --to-destination 192.168.1.210:80 # WWW # 5. 特殊的功能，包括 Windows 遠端桌面所產生的規則，假設桌面主機為 1.2.3.4 # iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --dport 6000 \ # -j DNAT --to-destination 192.168.100.10 # iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --sport 3389 \ # -j DNAT --to-destination 192.168.100.20 # 6. 最終將這些功能儲存下來吧！ /etc/init.d/iptables save ```