iptable设置 - 80VPS主机

INPUT外网访问本机 OUTPUT本机访问外网规则由上之下匹配 1）增加开放端口 iptables -A INPUT -p tcp --dport 8080 -j ACCEPT -p 协议 --dport 目标端口 -j ACCEPT允许、REJECT拒绝、DROP丢弃 iptables -I INPUT 5 -p tcp --dport 9443 -j ACCEPT 插入规则，将规则插入到INPUT链的第5条，由于规则是按顺序执行，所以开放端口应该在禁止端口前面
2）删除规则 iptables -D INPUT num num规则号码 3）查看规则 /etc/init.d/iptables status 或 iptables -L 4）保存修改 /etc/init.d/iptables save img/20170809/eynn2eogxf3.html img/20170809/qh1h421azy3.html 防火墙策略一般分为两种，一种叫“通”策略，一种叫“堵”策略，通策略，默认门是关着的，必须要定义谁能进。堵策略则是，大门是洞开的，但是你必须有身份认证，否则不能进。所以我们要定义，让进来的进来，让出去的出去，所以通，是要全通，而堵，则是要选择。当我们定义的策略的时候，要分别定义多条功能，其中：定义数据包中允许或者不允许的策略，filter过滤的功能，而定义地址转换的功能的则是nat选项。为了让这些功能交替工作，我们制定出了“表”这个定义，来定义、区分各种不同的工作功能和处理方式。我们现在用的比较多个功能有3个： 1.filter 定义允许或者不允许的 2.nat 定义地址转换的 3.mangle功能:修改报文原数据我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开，在里面做标记/修改内容的。而防火墙标记，其实就是靠mangle来实现的。小扩展: 对于filter来讲一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT 对于nat来讲一般也只能做在3个链上：PREROUTING ，OUTPUT ，POSTROUTING 而mangle则是5个链都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING iptables/netfilter（这款软件）是工作在用户空间的，它可以让规则进行生效的，本身不是一种服务，而且规则是立即生效的。而我们iptables现在被做成了一个服务，可以进行启动，停止的。启动，则将规则直接生效，停止，则将规则撤销。 iptables还支持自己定义链。但是自己定义的链，必须是跟某种特定的链关联起来的。在一个关卡设定，指定当有数据的时候专门去找某个特定的链来处理，当那个链处理完之后，再返回。接着在特定的链中继续检查。注意：规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。规则的写法: iptables定义规则的方式比较复杂: 格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t table ：3个filter nat mangle COMMAND：定义如何对规则进行管理 chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的 CRETIRIA:指定匹配标准 -j ACTION :指定如何进行处理比如：不允许172.16.0.0/24的进行访问。 iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP 当然你如果想拒绝的更彻底： iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT iptables -L -n -v #查看定义规则的详细信息详解COMMAND: 1.链管理命令（这都是立即生效的） -P :设置默认策略的（设定默认门是关着的还是开着的）默认策略一般只有两种 iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的比如： iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了。 -F: FLASH，清空规则链的(注意每个链的管理权限) iptables -t nat -F PREROUTING iptables -t nat -F 清空nat表的所有链 -N:NEW 支持用户新建一个链 iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。 -X: 用于删除用户自定义的空链使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了 -E：用来Rename chain主要是用来给用户自定义的链重命名 -E oldname newname -Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节） iptables -Z :清空 2.规则管理命令 -A：追加，在当前链的最后新增一个规则 -I num : 插入，把当前规则插入为第几条。 -I 3 :插入为第三条 -R num：Replays替换/修改第几条规则格式：iptables -R 3 ………… -D num：删除，明确指定删除第几条规则 3.查看管理命令 “-L” 附加子命令 -n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。 -v：显示详细信息 -vv -vvv :越多越详细 -x：在计数器上显示精确值，不做单位换算 --line-numbers : 显示规则的行号 -t nat：显示所有的关卡的信息详解匹配标准 1.通用匹配：源地址目标地址的匹配 -s：指定作为源地址匹配，这里不能指定主机名称，必须是IP IP | IP/MASK | 0.0.0.0/0.0.0.0 而且地址可以取反，加一个“!”表示除了哪个IP之外 -d：表示匹配目标地址 -p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP） -i eth0：从这块网卡流入的数据流入一般用在INPUT和PREROUTING上 -o eth0：从这块网卡流出的数据流出一般在OUTPUT和POSTROUTING上 2.扩展匹配 2.1隐含扩展：对协议的扩展 -p tcp :TCP协议的扩展。一般有三种扩展 --dport XX-XX：指定目标端口,不能指定多个非连续端口,只能指定单个端口，比如 --dport 21 或者 --dport 21-23 (此时表示21,22,23) --sport：指定源端口 --tcp-fiags：TCP的标志位（SYN,ACK，FIN,PSH，RST,URG）对于它，一般要跟两个参数： 1.检查的标志位 2.必须为1的标志位 --tcpflags syn,ack,fin,rst syn = --syn 表示检查这4个位，这4个位中syn必须为1，其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫做--syn -p udp：UDP协议的扩展 --dport --sport -p icmp：icmp数据报文的扩展 --icmp-type： echo-request(请求回显)，一般用8 来表示所以 --icmp-type 8 匹配请求回显数据包 echo-reply （响应的数据包）一般用0来表示 2.2显式扩展（-m）扩展各种模块 -m multiport：表示启用多端口扩展之后我们就可以启用比如 --dports 21,23,80 详解-j ACTION 常用的ACTION： DROP：悄悄丢弃一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表 REJECT：明示拒绝 ACCEPT：接受 custom_chain：转向一个自定义的链 DNAT SNAT MASQUERADE：源地址伪装 REDIRECT：重定向：主要用于实现端口重定向 MARK：打防火墙标记的 RETURN：返回在自定义链执行完毕后使用返回，来返回原规则链。