iptables防火墙

iptables防火墙

linux中防火墙分三张表，分别是filter，nat，mangle。filter表是用来做基于IP地址过滤的，nat表是用来进行网络地址转换，mangle表是用来给某些应用程序（http和https）打标记。

filter表分为INPUT链，OUTPUT链，FORWARD链。INPUT链是指目标地址是自己，OUTPUT链是指源地址是自己，FORWARD链只是提供转发功能（在linux内核中需打开转发功能）。

nat表分为POSTROUTING链，PREROUTING链，POSTROUTING链是指先路由然后再NAT，PREROUTING链是指先NAT然后再路由。

mangle表是用来给相应协议打标记用的。分为POSTROUTING链，PREROUTING链。

实例：

一 包过滤型防火墙

1.设置防火墙的默认规则

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

2.iptables的分层设计

iptables -N NET1 为防火墙新建一条链，链名NET1。

iptables -A INPUT -s 192.168.1.0/24 -j NET1 跳转到NET1链.

iptables -A NET1 -s 192.168.1.254 -j DROP 设置更详细的规则。

3. 删除一个链

iptables -D INPUT 删除INPUT链（与NET1链有关）

iptables -X NET1 删除NET1链

iptables -F NET1 清空链规则

-F是清空指定某个 chains 内所有的 rule 设定。比方 iptables -F -t filter，那就是把 filter table 内所有的INPUT/OUTPUT/FORWARD chain 设定的规则都清空。

-X是删除使用者自订 table 项目，一般使用 iptables -N xxx 新增自订 chain 后，可以使用 iptables -X xxx 删除之。

-D是删除某个链。

二 状态检测型防火墙
NEW 新建连接
　 ESTABLISH 连接已经建立

RELATED 由某个连接派生的子连接（如ftp派生的子连接）

iptables -A INPUT -m state --state RELATED,ESTABLISH -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT (25端口允许)

iptables -A INPUT -m state --state NEW -j DROP 其他端口都拒绝。

三 基于应用代理防火墙

在Linux 上，可以用iptables 直接将对Web 端口80 的请求直接转发到Squid 端口3128，由Squid 接手，而用户浏览器仍然认为它访问的是对方的80端口。例如以下这条命令：

iptables -t nat -A PREROUTING -s 192.168.0.0/32 -p tcp --dport 80 -j REDIRECT --to-ports 3128

所有设置完成后，关键且重要的任务是访问控制。Squid 支持的管理方式很多，使用起来也非常简单（这也是有人宁愿使用不做任何缓存的 Squid，也不愿意单独使用iptables 的原因）。

四 NAT地址转换

iptables -t nat -A POSTROUTING -s 1922.168.1.0/24 -o eth2 -j SNAT --to-source 1.1.1.1

iptables -t nat -A PREROUTING -d 2.2.2.2 -p tcp --dport 80 -i eth2 -j DNAT --to-destination 192.168.0.1:80

iptables -t nat -A POSTROUTING -s 1922.168.1.0/24 -o eth2 -j MASQUERADE(用于IP地址不固定)

iptables -F -t nat 清空nat表的规则

五 保存iptables规则

service iptables save

规则保存在/etc/sysconfig/iptables

注意：如果把/etc/sysconfig/iptables文件进行分发之后，每台系统都要执行/sbin/service iptables restart命令来使规则生效。