51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

iptables的过滤规则

作者:loveigi
运维 系统运维
iptables的过滤规则:iptables是一种集成的、便捷的IP信息包过滤系统,如果连接LAN的使用,则更有利于iptables在Linux下控制IP信息包。本文讲述的是如何iptables的过滤规则。

iptables过滤规则:

  # 过滤表规则

  1.   *filter  
  2.  

  # 默认彻略

  1.   :FORWARD DROP [ ]  
  2.  
  3.   :INPUT DROP [ ]  
  4.  
  5.   :OUTPUT ACCEPT [ ]  
  6.  

  # 定义新链

  1.   -N ICMP_FORWARD  
  2.  
  3.   -N TCP_FORWARD  
  4.  
  5.   -N UDP_FORWARD  
  6.  
  7.   -N ICMP_INPUT  
  8.  
  9.   -N TCP_INPUT  
  10.  
  11.   -N UDP_INPUT  
  12.  
  13.   # Fix a bug  
  14.  
  15.   -A OUTPUT -p icmp -m state --state INVALID -j DROP  
  16.  

  # 以下是FORWARD链的规则

  # 若是ICMP协议则跳到 ICMP_FORWARD

  1.   -A FORWARD -p icmp -j ICMP_FORWARD  
  2.  

  # 若是TCP协议则跳到 TCP_FORWARD

  1.   -A FORWARD -p tcp -j TCP_FORWARD  
  2.  

  # 若是UDP协议则跳到 UDP_FORWARD

  1.   -A FORWARD -p udp -j UDP_FORWARD  
  2.  

  # 允许碎片通过的速率200个/s,从200开始计数

  1.   -A FORWARD -f -m limit --limit 200/s --limit-burst 200 -j ACCEPT  
  2.  

  # 不匹配FORWARD链的所有规则,丢弃数据包,结束FORWARD链

  1.   -A FORWARD -j DROP  
  2.  

  # 以下是FORWARD链中针对ICMP协议的规则

  # 从内网到外网的放行

  1.   -A ICMP_FORWARD -p icmp -s 192.168.0.0/24 -i eth0 -o ppp+ -j ACCEPT  
  2.  

  # 从外网进来的回应包放行

  1.   -A ICMP_FORWARD -p icmp -m state --state ESTABLISHED,RELATED -i ppp+ -j ACCEPT  
  2.  

  # 丢弃所有不匹配的ICMP数据包,结束FORWARD链

  1.   -A ICMP_FORWARD -p icmp -j DROP  
  2.  

  # 以下是FORWARD链中针对TCP协议的规则

  # 允许内网1024以上的端口连接外网

  1.   -A TCP_FORWARD -p tcp -s 192.168.0.0/24 -m tcp --sport 1024: -i eth0 -o ppp+ -j ACCEPT  
  2.  

  # 允许内网进行主动式的FTP

  1.   -A TCP_FORWARD -p tcp -m tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -i ppp+ -j ACCEPT  
  2.  
  3.   -A TCP_FORWARD -p tcp -m tcp --sport 20 --dport 1024: -m state --state ESTABLISHED,RELATED -i ppp+ -j ACCEPT  
  4.  

  # 允许外网进来的回应包通过

  1.   -A TCP_FORWARD -p tcp -m state --state ESTABLISHED -m tcp --dport 1024: -i ppp+ -j ACCEPT  
  2.  

  # 丢弃所有不匹配的TCP数据包,结束FORWARD链

  1.   -A TCP_FORWARD -p tcp -j DROP  
  2.  

  # 以下是FORWARD链中针对UDP协议的规则

  # 允许内网1024以上的端口连接外网

  1.   -A UDP_FORWARD -p udp -s 192.168.0.0/24 -m udp --sport 1024: -i eth0 -o ppp+ -j ACCEPT  
  2.  

  # 允许外网中指明的DNS服务器进行域名解析

  1.   -A UDP_FORWARD -p udp -s 202.96.96.68 -m udp --sport 53 --dport 1024: -i ppp+ -j ACCEPT  
  2.  
  3.   -A UDP_FORWARD -p udp -s 202.96.*.* -m udp --sport 53 --dport 1024: -i ppp+ -j ACCEPT  
  4.  

  # 开放IRC OICQ 端口

  1.   -A UDP_FORWARD -p udp -m multiport --source-port 4000,8000 -m udp --dport 1024: -i ppp+ -j ACCEPT  
  2.  

  # 允许从外网进来的UDP回应包通行

  1.   -A UDP_FORWARD -p udp -m state --state ESTABLISHED,RELATED -m udp --dport 1024: -i ppp+ -j ACCEPT  
  2.  

  # 丢弃所有不匹配的UDP数据包,结束FORWARD链

  1.   -A UDP_FORWARD -p udp -j DROP  
  2.  

  # 以下开始是对网关服务器的匹配规则

  # 允许数据包进入本地回环接口

  1.   -A INPUT -p all -i lo -j ACCEPT  
  2.  

  # 若是ICMP协议则跳到ICMP_INPUT进行规则匹配

  1.   -A INPUT -p icmp -j ICMP_INPUT  
  2.  

  # 若是TCP协议则跳到TCP_INPUT进行规则匹配

  1.   -A INPUT -p tcp -j TCP_INPUT  
  2.  

  # 若是UDP协议则跳到UDP_INPUT进行规则匹配

  1.   -A INPUT -p udp -j UDP_INPUT
     

  # 允许碎片通过的速率200个/s,从200开始计数

  1.   -A INPUT -f -m limit --limit 200/s --limit-burst 200 -j ACCEPT  
  2.  

  # 不匹配INPUT链的所有规则,丢弃数据包,结束INPUT链

  1.   -A INPUT -j DROP  
  2.  

  # 以下是INPUT链中针对ICMP协议的规则

  # 允许从内网来的ICMP数据包

  1.   -A ICMP_INPUT -p icmp -i eth0 -j ACCEPT  
  2.  

  # 允许从外网来的ICMP回应包通行

  1.   -A ICMP_INPUT -p icmp -m state --state ESTABLISHED,RELATED -i ppp+ -j ACCEPT  
  2.  

  # 丢弃所有不匹配的ICMP数据包,结束INPUT链

  1.   -A ICMP_INPUT -p icmp -j DROP  
  2.  

  # 以下是INPUT链中针对TCP协议的规则

  # 对内网机器提供 http https 网上邻居 透明代理服务

  1.   -A TCP_INPUT -p tcp -s 192.168.0.0/24 -m multiport --destination-port 80,443,137,138,139,8080 -i eth0 -j ACCEPT  
  2.  

  # 允许服务器以主动方式连接外网的FTP服务器

  1.   -A TCP_INPUT -p tcp -m tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -i ppp+ -j ACCEPT  
  2.  
  3.   -A TCP_INPUT -p tcp -m tcp --sport 20 --dport 1024: -m state --state ESTABLISHED,RELATED -i ppp+ -j ACCEPT  
  4.  

  # 提供 ssh smtp pop3 http https 服务

  1.   -A TCP_INPUT -p tcp -m multiport --destination-port 22,25,110,80,443 -j ACCEPT  
  2.  

  # 拒绝外网主动连接本服务器

  1.   -A TCP_INPUT -p tcp -m tcp --syn -i ppp+ -j DROP  
  2.  

  # 允许进来的回应包通过

  1.   -A TCP_INPUT -p tcp -m state --state ESTABLISHED -m tcp --dport 1024: -j ACCEPT  
  2.  

  # 丢弃所有不匹配的TCP数据包,结束INPUT链

  1.   -A TCP_INPUT -p tcp -j DROP  
  2.  

  # 以下是INPUT链中针对UDP协议的规则

  # 允许外网中指明的DNS服务器进行域名解析

  1.   -A UDP_INPUT -p udp -s 202.96.96.68 -m udp --sport 53 --dport 1024: -i ppp+ -j ACCEPT  
  2.  
  3.   -A UDP_INPUT -p udp -s 202.96.*.* -m udp --sport 53 --dport 1024: -i ppp+ -j ACCEPT  
  4.  

  # 为内网的机器提供DNS和SAMBA服务

  1.   -A UDP_INPUT -p udp -s 192.168.0.0/24 -m multiport --destination-port 53,137,138,139 -i eth0 -j ACCEPT  
  2.  

  # 允许服务器作为samba client

  1.   -A UDP_INPUT -p udp -s 192.168.0.0/24 -m udp --sport 137:139 --dport 1024: -i eth0 -j ACCEPT  
  2.  

  # 允许进来的回应包通过

  1.   -A UDP_INPUT -p udp -m state --state ESTABLISHED,RELATED -m udp --dport 1024: -j ACCEPT  
  2.  

  # 为内网的机器提供DHCP服务

  1.   -A UDP_INPUT -p udp -m udp --sport 68 --dport 67 -i eth0 -j ACCEPT  
  2.  

  # 丢弃所有不匹配的UDP数据包,结束INPUT链

  1.   -A UDP_INPUT -p udp -j DROP  
  2.  
  3.   COMMIT  
  4.  

  # 路由表规则

  *nat

  # 默认彻略

  1.   :PREROUTING ACCEPT [ ]  
  2.  
  3.   :POSTROUTING ACCEPT [ ]  
  4.  
  5.   :OUTPUT ACCEPT [ ]  
  6.  

  # 为内网机器使用squid透明代理进行端口重定向

  1.   -A PREROUTING -i eth0 -p tcp -d ! 192.168.0.1 -m tcp --dport 80 -j REDIRECT --to-ports 8080  
  2.  

  # 对内网机器应用IP伪装

  1.   -A POSTROUTING -o ppp+ -j MASQUERADE  
  2.  
  3.   COMMIT  
  4.  

【编辑推荐】

netfilter/iptables系统的安装

如何用iptables实现NAT

iptables常用命令及参数

责任编辑:zhaolei 来源: 163
iptables过滤
相关推荐
常用iptables过滤
常用的iptables过滤:在Linux内核中有一个功能强大的联网子系统netfilter。netfilter子系统提供了有状态的或无状态的分组过滤,还提供了NAT和IP伪装服务。netfilter是通过IPTables工具来控制的。本文讲述的是常用的iptables过滤.

2011-03-15 09:59:54

常用iptables过滤
常用的iptables过滤:在Linux内核中有一个功能强大的联网子系统netfilter。netfilter子系统提供了有状态的或无状态的分组过滤,还提供了NAT和IP伪装服务。netfilter是通过IPTables工具来控制的。本文讲述的是常用的iptables过滤.

2011-03-15 09:59:54

iptables基础知识-iptables规则
iptables规则:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,详细地来讲iptables包在转发时是怎样被送出呢?本文介绍的是iptables的基础知识iptables规则。

2011-03-18 09:26:13

Iptables规则
iptables规则小结
本文详细的讲述了iptables规则里的细节部分和内容矫正。

2011-03-17 17:45:45

iptables规则
如何清空iptables规则
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。我们在使用iptables时,有许多iptables垃圾规则不想要,如何清空iptables规则呢,答案就在正文中!

2011-03-16 16:41:57

清空iptables
创建iptables NAT 规则
用过iptables工具的人都知道,这是个非常好用而且非常实用的,本文教大家下创建iptablesNAT规则的具体过程!

2011-03-16 10:59:57

Iptables基本语法规则
Iptables的基本语法规则:为了运行iptables,需要在内核配置期间,选择一些选项,无论用什么命令。本文讲述的是Iptables的基本语法规则

2011-03-14 15:46:35

Iptables语法
25个常用Linux iptables规则
这篇文章主要分享一些常用的Linuxiptables规则,请根据自己的具体需要再修改。

2017-09-11 20:16:58

linux下清空所有iptables规则
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。我们在使用iptables时,有许多iptables垃圾规则不想要,如何清空iptables规则呢,答案就在正文中!

2011-03-16 16:54:10

iptables 清空linux
保存iptables防火墙规则方法
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。在上篇文章里我为大家介绍了如何保存iptables日志,本文教大家保存iptables的防火墙规则的方法

2011-03-16 16:23:23

保存iptables防火墙
netfilter/iptables系统建立规则和链
netfilteriptables系统建立规则和链:在Linux中,提供了一个非常优秀的防火墙工具netfilteriptables。netfilteriptables是完全免费的,而且功能强大,使用灵活。netfilteriptables可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。本文讲述的是netfilteriptables系统建立规则和链

2011-03-15 15:47:34

netfilteriptables
Fedora iptables初始化工作开始设置规则
Fedoraiptables是复杂的,它集成到linux内核中。用户通过Fedoraiptables,可以对进出你的计算机的数据包进行过滤。通过Fedoraiptables命令设置你的规则,来把守你的计算机网络──哪些数据允许通过,哪些不能通过,哪些通过的数据进行记录(log)。接下来,我将告诉你如何设置自己的规则,从现在就开始吧。

2010-02-24 15:10:18

如何清空其中一条iptables规则
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。我们在使用iptables时,有许多iptables垃圾规则不想要,如何清空iptables规则呢,但是不想全部清空,就想选一条,看看文章中是怎么办到的!

2011-03-16 16:48:32

iptables 清空
绕过防火墙过滤规则传输ICMP
ICMP和ICMPv6是Internet的主要协议。这些协议设计用于在数据包未到达目的地时进行连接测试和错误信令。接收ICMP消息让应用程序了解故障原因:数据包太大,没有可用路由等。

2019-07-04 22:54:15

防火墙CMP系统安全
iptables 学习笔记
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。iptables很好用很强大,本文是我整理出来的学习笔记,有iptables服务语法规则等。

2011-03-17 16:43:49

iptables做地址映射
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。在上篇我们讲了如何清空iptables规则,本文我为大家介绍下用iptables做地址映射的具体方法。

2011-03-16 16:59:46

iptables 映射
如何提高效率批量开启IPS过滤规则
本篇介绍了如何通过UTM安全防护系统中的批量开启IPS过滤规则的实用功能,来同时添加多个IPS防护规则,起到对企业安全进行防护的目的。

2010-09-09 16:51:50

iptables基础知识-iptablesICMP
iptables的基础知识iptables中的ICMP:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,它可以实现iptables防火墙、NAT(网络地址翻译)和数据包的分割等功能。本文介绍的是iptables的基础知识iptables中的ICMP。

2011-03-16 11:17:56

IptablesICMP
iptables编译
iptables的编译:为了运行iptables,需要在内核配置期间,选择一些选项,无论用什么命令。本文讲述的是iptables的编译

2011-03-14 14:40:11

iptables编译
网络安全攻防:Linux系统安全之iptables配置
iptables是用来设置、维护和检查Linux内核的IP分组过滤规则的。作为Linux下的一款防火墙,它的功能十分强大,它有3个表,每个表内有规则链。

2021-03-02 14:02:19

网络安全系统安全iptables
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服