我本善良 » iptables https://wbsl.org 一个不太正常的正常人 Fri, 05 Jul 2024 01:35:05 +0000 zh-CN hourly 1 http://wordpress.org/?v=4.2 Linux上iptables防火墙的基本应用 https://wbsl.org/linux/357.html https://wbsl.org/linux/357.html#comments Wed, 06 Jul 2022 13:23:10 +0000 https://wbsl.org/?p=357 Continue Reading]]> 1、安装iptables防火墙
如果没有安装iptables需要先安装,CentOS执行:

yum install iptables -y
yum install iptables-services -y #CentOS7需安装此iptables的service软件包#
CentOS 7上默认安装了firewalld建议关闭并禁用:

systemctl stop firewalld
systemctl mask firewalld
Debian/Ubuntu执行:

apt-get install iptables -y
apt-get install iptables-persistent -y #持久化iptables规则服务#
2、清除已有iptables规则
iptables -F
iptables -X
iptables -Z
3、开放指定的端口
-A和-I参数分别为添加到规则末尾和规则最前面。

#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许访问443端口
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT
4、屏蔽IP
#如果只是想屏蔽IP的话“3、开放指定的端口”部分设置可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
5、屏蔽或允许某IP访问指定端口
#屏蔽某IP访问指定端口,以22端口为例命令是
iptables -I INPUT -s 123.45.6.7 -p tcp --dport 22 -j DROP
#允许某IP访问指定端口,以22端口为例命令是
iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -s 123.45.6.7 -p tcp --dport 22 -j ACCEPT
6、查看已添加的iptables规则
iptables -L -n
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M) vps侦探
n:只显示IP地址和端口号,不将ip解析为域名

7、删除已添加的iptables规则
将所有iptables以序号标记显示,执行:

iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则(要删除OUTPUT的话就改成OUTPUT,以此类推),执行:

iptables -D INPUT 8
8、iptables的开机启动及规则保存
有可能系统并未安装iptables的service文件,可以先执行:

yum -y install iptables-services
进行安装。
CentOS上可能会存在安装好iptables后,iptables并不开机自启动,可以执行一下:

chkconfig --level 345 iptables on
CentOS7可执行:
有可能系统并未安装iptables的service文件,可以执行:

yum -y install iptables-services
systemctl enable iptables
将其加入开机启动。

CentOS上可以执行:service iptables save保存规则。

另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的,也是前面说的持久化iptables规则。
需要先执行一下,安装持久化脚本:

apt-get --no-install-recommends install -y iptables-persistent
Debian或Ubuntu 16.04或更高版本执行:/etc/init.d/netfilter-persistent save 可以进行保存规则,/etc/init.d/netfilter-persistent reload 可以将规则生效。
Ubuntu 14.04之前版本执行:/etc/init.d/iptables-persistent save 可以进行保存规则,/etc/init.d/iptables-persistent reload 可以将规则生效。

开机启动的话执行:systemctl enable netfilter-persistent.service 或 systemctl enable iptables-persistent.service

这样就完成了Debian或Ubuntu下的关机自动保存规则,开机自动加载规则的设置。

]]> https://wbsl.org/linux/357.html/feed 0 CentOS保存iptables规则 https://wbsl.org/linux/310.html https://wbsl.org/linux/310.html#comments Tue, 08 Sep 2020 00:57:20 +0000 https://wbsl.org/?p=310 Continue Reading]]> 需关闭firewalld防火墙:

systemctl stop firewalld.service

systemctl disable firewalld.service

安装iptables服务:

yum install iptables-services

保存iptables规则:

service iptables save

配置iptables开机启动:

systemctl enable iptables.service
(老版本命令为:service iptables on)

]]> https://wbsl.org/linux/310.html/feed 0 通过iptables防火墙限制端口与放行端口 https://wbsl.org/linux/276.html https://wbsl.org/linux/276.html#comments Thu, 27 Feb 2020 05:04:38 +0000 https://wbsl.org/?p=276 

iptables -A INPUT -p tcp --dport 1234 -j DROP
iptables -I INPUT 1 -p tcp --dport 1234 -j ACCEPT

]]> https://wbsl.org/linux/276.html/feed 0 CentOS7安装iptables防火墙 https://wbsl.org/linux/249.html https://wbsl.org/linux/249.html#comments Wed, 09 Oct 2019 11:17:49 +0000 https://wbsl.org/?p=249 Continue Reading]]> CentOS7 默认的防火墙不是iptables,而是firewalle.
安装 iptable iptable-service

#先检查是否安装了iptables
service iptables status
#安装iptables
yum install -y iptables
#升级iptables
yum update iptables 
#安装iptables-services
yum install iptables-services

禁用 / 停止自带的 firewalld 服务

#停止firewalld服务
systemctl stop firewalld
#禁用firewalld服务
systemctl mask firewalld

设置现有规则

#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则
iptables -X
#所有计数器归0
iptables -Z
#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丢弃
iptables -P INPUT DROP
#所有出站一律绿灯
iptables -P OUTPUT ACCEPT
#所有转发一律丢弃
iptables -P FORWARD DROP

其他规则设定

#如果要添加内网ip信任(接受其所有TCP请求)
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
#过滤所有非以上规则的请求
iptables -P INPUT DROP
#要封停一个IP,使用下面这条命令:
iptables -I INPUT -s ***.***.***.*** -j DROP
#要解封一个IP,使用下面这条命令:
iptables -D INPUT -s ***.***.***.*** -j DROP

保存规则设定

#保存上述规则
service iptables save

开启 iptables 服务

#注册iptables服务
#相当于以前的chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.service

解决 vsftpd 在 iptables 开启后 , 无法使用被动模式的问题

1. 首先在 /etc/sysconfig/iptables-config 中修改或者添加以下内容

#添加以下内容,注意顺序不能调换
IPTABLES_MODULES="ip_conntrack_ftp"
IPTABLES_MODULES="ip_nat_ftp"

2. 重新设置 iptables 设置

iptables -A INPUT -m state --state  <strong>RELATED,</strong>ESTABLISHED -j ACCEPT

以下为完整设置脚本

#!/bin/sh
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
service iptables save
systemctl restart iptables.service

]]> https://wbsl.org/linux/249.html/feed 0 使用iptables进行端口转发 https://wbsl.org/other/244.html https://wbsl.org/other/244.html#comments Mon, 07 Oct 2019 03:25:04 +0000 https://wbsl.org/?p=244 Continue Reading]]> 第一步:开启系统的转发功能

vi /etc/sysctl.conf

将 net.ipv4.ip_forward=0
修改成 net.ipv4.ip_forward=1

编辑后使用命令让配置马上生效

sysctl -p

第二步: iptables 的命令

iptables -t nat -A PREROUTING -p tcp --dport [端口号] -j DNAT --to-destination [目标IP]
iptables -t nat -A PREROUTING -p udp --dport [端口号] -j DNAT --to-destination [目标IP]
iptables -t nat -A POSTROUTING -p tcp -d [目标IP] --dport [端口号] -j SNAT --to-source [本地服务器IP]
iptables -t nat -A POSTROUTING -p udp -d [目标IP] --dport [端口号] -j SNAT --to-source [本地服务器IP]

第三步:重启 iptables 使配置生效

service iptables save
service iptables restart

扩展需求
多端口转发修改方案: ( 将本地服务器的 50000~65535 转发至目标 IP 为 1.1.1.1 的 50000~65535 端口 )

-A PREROUTING -p tcp -m tcp --dport 50000:65535 -j DNAT --to-destination 1.1.1.1
-A PREROUTING -p udp -m udp --dport 50000:65535 -j DNAT --to-destination 1.1.1.1
-A POSTROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 50000:65535 -j SNAT --to-source [本地服务器IP]
-A POSTROUTING -d 1.1.1.1/32 -p udp -m udp --dport 50000:65535 -j SNAT --to-source [本地服务器IP]

非同端口号修改方案:(使用本地服务器的 60000 端口来转发目标 IP 为 1.1.1.1 的 50000 端口)

-A PREROUTING -p tcp -m tcp --dport 60000 -j DNAT --to-destination 1.1.1.1:50000
-A PREROUTING -p udp -m udp --dport 60000 -j DNAT --to-destination 1.1.1.1:50000
-A POSTROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 50000 -j SNAT --to-source [本地服务器IP]
-A POSTROUTING -d 1.1.1.1/32 -p udp -m udp --dport 50000 -j SNAT --to-source [本地服务器IP]

]]> https://wbsl.org/other/244.html/feed 0