linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟

Linux命令高级技巧使用iptables命令进行防火墙配置Linux系统中，iptables是一个非常常用的命令，用于配置Linux操作系统的防火墙规则。

掌握iptables的高级技巧，可以帮助我们更好地保护系统安全和网络通信。

本文将介绍使用iptables命令进行防火墙配置的一些高级技巧，以帮助读者更好地理解和运用这个强大的工具。

一、什么是iptables命令iptables是一个在Linux内核中实现的防火墙工具，用于管理网络通信规则。

它允许我们定义输入、输出和转发数据包的规则，从而控制网络流量。

使用iptables命令，我们可以过滤和转发数据包，以及进行网络地址转换和端口转发等操作。

二、iptables配置文件在开始使用iptables命令之前，了解iptables的配置文件将有助于更好地理解和调整防火墙规则。

iptables的配置文件位于"/etc/sysconfig/iptables"路径下，可以使用文本编辑器打开进行编辑。

三、基本的iptables规则1. 允许特定IP地址访问若想允许特定IP地址访问服务器的某个端口，可以使用如下命令：```iptables -A INPUT -p tcp -s IP地址 --dport 端口号 -j ACCEPT```例如，若要允许IP地址为192.168.1.100的主机访问SSH端口（22），可以使用以下命令：```iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT```2. 允许特定IP地址范围访问如果要允许一个IP地址范围访问特定端口，可以通过指定源IP范围来实现。

例如，要允许192.168.1.0/24子网段中的主机访问SSH端口，可以执行如下命令：```iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT```此规则将允许192.168.1.0/24网段中的所有主机访问SSH端口。

linux网关及安全应用-第2章（配置iptables防火墙一）理论课教案-焦可伟《linux网关及安全应用》理论课教案第2章（配置iptables防火墙一)《linux网关及安全应用》理论课教案 (1)一.课程回顾 (1)二.本章工作任务(问题列表) (1)三.本章技能目标 (2)四.本章重点难点 (2)4.1课程重点 (2)4.2课程难点 (2)五.整章授课思路[100分钟] (2)5.1本章授课思路： (2)5.2预习检查、任务、目标部分[10分钟] (2)5.3 技能点讲解[80分钟] (3)5.4 总结[6分钟] 采用提问方式，注意引导学员回答重点即可！ (8)六. 布置作业：[4 分钟] (8)6.1本章作业 (8)6.2 作业的提交方式与要求 (8)6.3 课后习题答案 (9)七．习题 (9)课时：2学时授课人：焦可伟一.课程回顾怎样设置用户帐号的密码有效期？chage -M 天数用户名普通用户如何才能切换为root用户身份？执行“su -”或“su - root”命令，并提供root用户的密码进行验证?如何使普通用户能以root的权限执行命令？由管理员预先在sudoers文件中进行授权设置，普通用户通过“sudo 命令”的形式以root权限执行命令，只需提供本用户的密码进行验证即可/etc/sudoers配置文件的默认权限是什么，怎样对其进行编辑？sudoers配置文件的默认权限为440，只有root用户才能够读取或修改。

通过“visudo”或者“vi /etc/sudoers”方式可以编辑该文件，推荐使用前者，直接使用vi编辑时，需要使用“w!”的形式才能强制保存二.本章工作任务(问题列表)1.如何设置iptables规则以拒绝指定IP地址的客户机对服务器的访问？2.如何设置iptables规则之开放本服务器上指定端口的服务？三.本章技能目标熟悉Linux防火墙的表、链结构理解数据包匹配的基本流程会管理和设置iptables规则会使用防火墙脚本的一般方法四.本章重点难点4.1课程重点Linux防火墙体系的表、链结构；数据包过滤匹配流程；管理和设置iptables规则；使用防火墙脚本的一般方法；4.2课程难点防火墙的规则表、链结构Iptables规则的条件匹配(强调：这个知识点即是重点也是难点，需要在课上强调)五.整章授课思路[100分钟]5.1本章授课思路：本章是linux防火墙及网关应用的重点内容，主要讲述linux防火墙体系的机构组成iptables命令的使用。

使用iptables命令在Linux中配置和管理防火墙规则防火墙是计算机网络安全的重要组成部分，用于保护计算机免受恶意攻击和未经授权的访问。

在Linux系统中，可以使用iptables命令进行防火墙的配置和管理。

本文将介绍如何使用iptables命令来配置和管理防火墙规则。

一、iptables概述iptables是Linux系统中的一个用于配置和管理防火墙规则的命令行工具。

它可以通过定义规则集来限制、修改和重定向进出系统的网络数据流量。

二、iptables命令基本用法1. 查看当前的iptables规则使用以下命令可以查看当前系统上的iptables规则：```bashiptables -L```该命令将显示当前系统上的所有iptables规则，包括过滤规则、NAT规则和Mangle规则。

2. 清除所有的iptables规则使用以下命令可以清除当前系统上的所有iptables规则：```bashiptables -F```该命令会将所有的iptables规则删除，恢复到默认的配置。

3. 添加一条iptables规则使用以下命令可以添加一条iptables规则：```bashiptables -A [chain] -p [protocol] [--dport] [port] -j [target]```其中，[chain]是要添加规则的链的名称，常见的链包括INPUT、OUTPUT和FORWARD；[protocol]是要过滤的协议，如TCP、UDP或ICMP；[--dport]和[port]用于指定要过滤的端口；[target]是规则的动作，如ACCEPT、DROP或REJECT。

4. 删除一条iptables规则使用以下命令可以删除一条iptables规则：```bashiptables -D [chain] [rule number]```其中，[chain]是要删除规则的链的名称，[rule number]是要删除的规则的序号。

防火墙的应用代理技术
代理服务（Proxy Service）系统一般安装并运行在双宿 主机上。双宿主机是一个被取消路由功能的主机，与 双宿主机相连的外部网络与内部网络之间在网络层是 被断开的。这样做的目的是使外部网络无法了解内部 网络的拓扑。这与包过滤防火墙明显不同，就逻辑拓 扑而言，代理服务型防火墙要比包过滤型更安全。
IPTABLES的规则、链和表
在使用iptables之前，必须先理解规则、链和表的概 念。下面就开始分别介绍这3个概念。
IPTABLES的规则（RULES）
规则就是网络管理员预定义的条件，规则一般定义为 “如果数据包符合这样的条件，就这样处理这个数据 包”。规则存储在内核空间的信息包过滤表中，这些 规则分别指定了源地址、目的地址、传输协议（TCP、 UDP和ICMP）和服务类型（如HTTP、FTP和DNS）。当 数据包与规则匹配时，iptables就会根据规则所定义 的方法来处理这些数据包，如允许通过（ACCEPT）、 拒绝（REJECT）和丢弃（DROP）等。配置防火墙主要 就是添加、修改和删除这些规则。
防火墙的状态检测技术
状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用 层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。 检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。 一旦发现任何连接的参数有意外的变化，该连接就被中止。这种技术 提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。 状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。状 态检测检查OSI七层模型的所有层，以决定是否过滤，而不仅仅对网络 层检测，状态检测型防火墙如图所示。状态检测技术首先由CheckPoint 公司提出并实现。目前许多包过滤防火墙中都使用多层状态检测。

Linux命令高级技巧使用iptables命令进行网络防火墙配置随着互联网的迅速发展和大规模应用，网络安全问题也变得愈发重要。

作为保障网络安全的重要手段，网络防火墙在服务器配置中占据了重要的位置。

Linux系统中，我们可以使用iptables命令进行网络防火墙的配置和管理。

一、什么是iptables命令iptables是Linux系统中用于配置和管理网络防火墙的命令行工具。

它的作用是根据预设的规则集来过滤、转发和修改数据包。

通过iptables命令的灵活配置，我们可以实现各种复杂的网络安全策略。

二、iptables命令的基本结构和用法iptables命令的基本结构如下：```shelliptables [-t 表名] 命令 [链名] [规则参数]```其中，-t 表名用于指定具体的表，有filter、nat和mangle三种表，filter表用于数据包过滤，nat表用于网络地址转换，mangle表用于数据包修改。

命令可以为-A（追加规则）、-D（删除规则）、-I（插入规则）、-R（替换规则）等。

链名指定了规则要应用到的具体链，常见的链有INPUT、OUTPUT和FORWARD。

规则参数为具体的规则内容，如源地址、目标地址、端口等。

下面以实际例子来介绍iptables命令的使用。

1. 添加规则要添加一条规则，可以使用-A选项，并指定表名、链名和规则参数。

```shelliptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT```以上命令表示在filter表的INPUT链上添加一条规则，允许来自192.168.1.0/24网段的TCP协议的22端口的数据包通过。

2. 删除规则要删除一条规则，可以使用-D选项，并指定表名、链名和规则参数。

```shelliptables -t filter -D INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT```以上命令表示在filter表的INPUT链上删除一条规则，该规则与添加规则的例子相同。

模块3 LINUX网络管理及 服务配置
主讲人：芮坤坤
Network Optimization Expert Team
3.7 Linux Iptabeam
3.7.2 IPTables状态机制
netfilter/iptables的最大优点是其可以配置有状态的防火墙 有状态的防火墙能够指定并记住为发送或接收信息包所建立
ESTABLISHED，而且该状态会继续匹配这个连接的后继数
据包
RELATED状态
当一个连接和某个已处于ESTABLISHED状态的连接有关系
时，就被认为是RELATED
INVALID状态
INVALID状态说明数据包不能被识别属于哪个连接或没有
任何状态
UNTRACKED状态
表示该数据的RELATED状态将被防火墙忽略不会进行状态
的连接的状态 防火墙可以从信息包的连接跟踪状态获得该信息。在决定新
的信息包过滤时，防火墙所使用的这些状态信息可以增加其 效率和速度
Network Optimization Expert Team
3.7.2 IPTables状态机制
netfilter/iptables的最大优点是其可以配置有状态的防火 墙
Network Optimization Expert Team
3.7.2 IPTables状态机制
NEW状态
NEW状态的数据包说明这个数据包是收到的第一个数据包
。比如收到一个SYN数据包，它是一个连接的第一个数据
包，就会匹配NEW状态
ESTABLISHED状态
只要发送并接到应答，一个数据连接就从NEW变为
跟踪
Network Optimization Expert Team

Linux命令高级技巧使用iptables命令配置防火墙Linux命令高级技巧：使用iptables命令配置防火墙防火墙是保护计算机网络安全的重要工具。

在Linux系统中，iptables是一款强大的防火墙管理工具，可以通过配置规则，限制网络访问和数据传输，提高系统的安全性。

本文将介绍如何使用iptables命令进行高级配置和技巧应用。

一、iptables命令简介iptables是Linux系统中的一个工具集，用于配置ipv4数据包的过滤，转发和网络地址转换（NAT）。

通过iptables命令，可以设置规则来控制数据包的流动，实现防火墙的功能。

iptables命令的主要参数包括：- A: 添加规则- D: 删除规则- I: 插入规则- L: 列出规则- F: 清空规则- P: 设置默认策略- S: 保存规则- R: 替换规则- N: 新建自定义链二、iptables配置基础1. 清空规则链在配置iptables之前，可以使用以下命令清空所有规则链，以确保开始时处于一个干净的状态：```shelliptables -Fiptables -Xiptables -Ziptables -t nat -F```2. 设置默认策略默认情况下，iptables会根据规则链上的规则来对数据包进行过滤，如果没有匹配到任何规则，则会根据默认策略来处理。

可以使用以下命令设置默认策略：```shelliptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT```3. 添加规则可以使用以下命令添加规则到指定的规则链，例如，添加允许SSH 访问的规则：```shelliptables -A INPUT -p tcp --dport 22 -j ACCEPT```4. 保存规则配置完iptables后，可以使用以下命令将规则保存到文件中，以便重启后自动加载：```shelliptables-save > /etc/iptables/rules.v4```三、高级配置和技巧1. 自定义链iptables支持用户自定义链，可以将一组规则封装到一个新链中，提高规则的可读性和管理性。

/var/log/sudo
13
使用sudo提升执行权限
应用示例1（续）：
测试sudo配置的效果
查看允许执行的命令列表（-l选项） 通过sudo执行命令（sudo 命令行） 清除用户密码验证的时间戳（-k） 重新校验密码（-v）
教员演示操作过程
14
使用sudo提升执行权限
为sudo配置项定义别名
用户帐号安全管理、文件 及文件系统权限安全、进 程/程序安全的使用、系统 引导和终端登录安全
iptables防火墙的过滤策 略、网关应用策略、 squid代理服务器及用户 上网控制
常用扫描和嗅探工具的 使用、服务器漏洞检测、 远程登录管理及访问控 制、监控服务器性能和 流量、监控局域网流量
第1章
第2～4章
禁止普通用户执行init.d目录中的脚本
限制“other”组的权限
禁止普通用户执行控制台程序
consolehelper控制台助手 配置目录：/etc/security/console.apps/
[root@localhost ~]# cd /etc/security/console.apps/ [root@localhost ~]# tar zcpvf conpw.tgz poweroff halt reboot --remove
文件系统级安全控制 安全使用应用程序和服务
开关机安全控制 GRUB引导菜单加密 终端及登录控制
6
用户帐号安全优化
帐号安全基本措施
删除不使用的帐号、禁用暂时不使用的帐号 检查程序用户的登录Shell是否异常 强制用户定期修改密码（设置密码有效期）
/etc/login.defs文件、chage命令
增强普通用户的密码强度

第二节 iptables基础操作
Байду номын сангаас
iptables [-t 表名] <命令> [链名] [规则号] [规则] [-j 目标]
第二节 iptables基础操作
-t 表名 -t选项用于指定所使用的表，iptables防火墙默 认有filter、nat和mangle 3张表，也可以是用 户自定义的表。表中包含了分布在各个位置的 链，iptables命令所管理的规则就是存在于各 种链中的。该选项不是必需的，如果未指定一 个具体的表，则默认使用的是filter表。
附录1 特殊规则
限制访问的mac地址 iptables -A INPUT -p tcp -m mac --mac-source 00:01:02:03:04:05 -j DROP
拦截部分攻击 iptables -A INTPUT -d 192.168.0.1 -p tcp ! --syn -m state --state NEW -j DROP因为开始新连接的包肯定是syn的，所以不合条件的就是非法的。
附录1 特殊规则
限速(限制每秒通过的数据包个数） iptables -A INTPUT -d 192.168.0.2 -p tcp -m limit --limit 30/second -j ACCEPT 限制连接数 iptables -A INTPUT -d 192.168.0.2 -p tcp -m connlimit –connlimit-above 10 -j ACCEPT 对ip段操作 iptables -A INTPUT -m iprange --src-range 192.168.0.3-192.168.0.100 -j DROP 多个端口 iptables -A INTPUT -m multiport -sports 22,80,6900:6910 -j ACCEPT

Linux命令高级技巧使用iptables命令进行网络防火墙的高级配置和管理Linux命令高级技巧：使用iptables命令进行网络防火墙的高级配置和管理在现代网络环境下，网络安全已经成为了一个非常重要的议题。

为了保护网络的安全性，人们采取了各种手段，其中防火墙是最重要的一项。

在Linux系统中，iptables命令是一种非常强大的工具，可以用于配置和管理网络防火墙。

本文将介绍iptables命令的高级技巧，以帮助读者更好地使用它来保护自己的网络。

一、iptables简介iptables是一个基于Linux内核的防火墙软件，可以通过过滤和转发数据包来实现网络的安全访问控制。

它是Linux系统中最重要的网络安全工具之一，具有强大的功能和灵活的配置选项。

iptables命令可以通过创建规则来过滤和修改数据包，从而实现对网络流量的控制。

二、iptables的基本用法1. 查看当前iptables规则使用以下命令可以查看当前系统的iptables规则：```shelliptables -L```该命令将列出当前系统中所有的iptables规则。

2. 添加和删除规则可以使用iptables命令来添加和删除iptables规则。

下面是一些常用的命令示例：```shelliptables -A INPUT -s 192.168.0.0/24 -j ACCEPT```这个命令将允许来自192.168.0.0/24网段的所有数据包进入系统。

"-A"参数表示添加规则，"-s"参数指定数据包的源地址，"-j ACCEPT"表示接受数据包。

如果要删除一条规则，可以使用以下命令：```shelliptables -D INPUT -s 192.168.0.0/24 -j ACCEPT```该命令将删除上述添加的规则。

3. 修改默认规则默认情况下，iptables会阻止所有未匹配规则的数据包。

Linux命令高级技巧使用iptables进行网络防火墙配置Linux命令高级技巧：使用iptables进行网络防火墙配置在网络安全领域，配置网络防火墙是一项关键任务。

为了保护网络免受未授权访问和恶意攻击，管理员需要掌握一些高级技巧来使用Linux命令iptables进行网络防火墙配置。

本文将介绍iptables的基本概念和使用方法，并提供一些高级技巧来加强网络防火墙的安全性。

1. iptables简介iptables是Linux系统中一款强大的防火墙工具，它能够根据管理员设定的规则筛选、修改和重定向网络数据。

iptables提供了一套规则集，允许管理员创建自定义的规则来控制数据包的流向和处理方式。

常用的iptables命令包括iptables、iptables-save、iptables-restore和iptables-apply等。

2. 基本用法iptables命令的基本语法如下：```bashiptables [-t 表名] 命令 [链名] [规则选项]```其中，表名可以是filter、nat或mangle，命令可以是-A（追加规则）、-D（删除规则）、-I（插入规则）等，链名可以是INPUT、FORWARD或OUTPUT等，规则选项包括-s（源IP地址）、-d（目标IP地址）、-p（协议类型）和-j（动作）等。

3. 添加规则为了保护网络，我们需要添加一些规则来控制数据包的流向和允许的服务。

例如，我们可以使用以下命令允许SSH连接： ```bashiptables -A INPUT -p tcp --dport 22 -j ACCEPT```上述命令在INPUT链中追加了一条规则，允许TCP协议的22端口的连接请求。

可以根据需要设置源IP地址或目标IP地址等其他规则选项。

4. 删除规则如果某条规则不再需要，可以使用iptables命令删除。

例如，我们可以使用以下命令删除上一节中添加的SSH规则：```bashiptables -D INPUT -p tcp --dport 22 -j ACCEPT```上述命令将从INPUT链中删除匹配的规则。

《linux网关及安全应用》理论课教案第1章（系统安全常规优化)《linux网关及安全应用》理论课教案 (1)一.课程目标 (1)二.课程结构 (1)三.本章工作任务(问题列表) (2)四.本章技能目标 (2)五.本章重点难点 (2)5.1课程重点 (2)5.2课程难点 (2)六.整章授课思路[100分钟] (3)6.1本章授课思路： (3)6.2预习检查、任务、目标部分[10分钟] (3)6.3 技能点讲解[80分钟] (3)6.4 总结[6分钟] 采用提问方式，注意引导学员回答重点即可！ (7)七. 布置作业：[4 分钟] (7)7.1本章作业 (7)7.2 作业的提交方式与要求 (7)7.3 课后习题答案 (7)八．习题 (8)课时：2学时授课人：焦可伟一.课程目标(一)针对Linux服务器操作系统进行常规安全加固(二)通过部署防火墙、代理等应用构建Linux网关系统(三)检测服务器的安全漏洞，实施远程访问控制(四)监测服务器运行性能、局域网主机的网络流量二.课程结构三.本章工作任务(问题列表)1、在Linux系统中，为了保证用户账号密码的持续安全性，如何设置可以强制用户定期更新密码？2、在Linux系统中，如何设置可以强制用户下次登录必须更改密码？3、如何限制Linux系统用户密码的最小长度？4、管理员希望在每次注销登录后，系统能自动删除命令历史记录，应如何实现？5、公司希望指定的几个用户可以通过su命令切换到root用户身份，以便执行管理任务，同时要防止其他无关用户使用su切换为root，应如何配置实现？6、Linux服务器管理员为减少工作量，希望把创建、删除及更改用户的权限下放给Account 用户组的成员，如何设置才能使Account用户组的一个普通用户账号能执行创建、删除及更改用户的命令？7、如何使用户邮箱所在分区上的可执行文件失效，以避免运行病毒、木马等执行程序的风险？8、管理员希望将一些静态的系统配置文件通过i节点锁定的方式加以保护，应如何实现，需要更新对应文件时，如何解除锁定？9、管理员使用useradd命令添加新用户时，系统提示”useradd：无法打开密码文件”，应如何解决？10、一些特殊执行程序若被设置了set_uid位等权限，将会给系统带来很大的风险，如何快速找出系统中设置了指定权限位的文件？11、在Linux命令行终端，可以按ctrl+alt+del组合键重启系统，如何能禁用该项功能？12、Linux放在公用机房内或公用办公室内，非授权用户可以接触到，如何防止无关人员通过单用户模式更改root密码？13、如何为GRUB设置密码以加强服务器系统的安全性？14、如何禁止Linux系统中的所有普通用户登录系统?15、如何隐藏Linux系统登录界面的系统版本信息，以降低安全风险？四.本章技能目标(一)会加强用户帐号安全的常见措施(二)会加强文件系统安全的常见措施(三)会加强系统引导和登录安全的常见措施五.本章重点难点5.1课程重点→用户账户安全优化→文件和文件系统安全优化5.2课程难点→配置sudo权限切换使用pam_access控制用户登录地点(强调：这个知识点即是重点也是难点，需要在课上强调)六.整章授课思路[100分钟]6.1本章授课思路：简述服务器系统安全时，应着力培养学员的安全意识。

• ① 当一个数据包进入网卡时，它首先进入 PREROUTING链，内核根据数据包目的IP判 断是否需要转送出去。
• ② 如果数据包就是进入本机的，它就会沿 着图向下移动，到达INPUT链。数据包到了 INPUT链后，任何进程都会收到它。本机上 运行的程序可以发送数据包，这些数据包会 经过OUTPUT链，然后到达POSTROUTING链输 出。
源地址转换，即改变数据包的源地 址
DNAT
目标地址转换，即改变数据包的目 的地址
MASQUER IP伪装，即是常说的NAT技术，
• ③ 如果数据包是要转发出去的，且内核允 许转发，数据包就会如图所示向右移动，经 过FORWARD链，然后到达POSTROUTING链输 出。
iptables命令格式
• iptables的命令格式较为复杂，一般的格式如 下：
• iptables [-t 表] -命令 匹配 操作 • 1．表选项 • 表选项用于指定命令应用于哪个iptables
防火墙
防火墙简介
• iptables组成Linux平台下的包过滤防火墙， 与大多数的Linux软件一样，这个包过滤防 火墙是免费的，它可以代替昂贵的商业防火 墙解决方案，完成封包过滤、封包重定向和 网络地址转换NAT等功能。
• iptables基础 • • 规则（rules） • • 链（chains） • • 表（tables） • • iptables传输数据包的过程
表（tables）
• 表（tables）提供特定的功能，iptables 内置了3个表，即filter表、nat表和 mangle表，分别用于实现包过滤，网络地 址转换和包重构的功能。
• 1．filter表 • 2．nat表 • 3．mangle表

linux配置防⽕墙详细步骤（iptables命令使⽤⽅法）通过本教程操作，请确认您能使⽤linux本机。

如果您使⽤的是ssh远程，⽽⼜不能直接操作本机，那么建议您慎重，慎重，再慎重！通过iptables我们可以为我们的Linux服务器配置有动态的防⽕墙，能够指定并记住为发送或接收信息包所建⽴的连接的状态，是⼀套⽤来设置、维护和检查Linux内核的IP包过滤规则的命令包。

iptables定义规则的⽅式⽐较复杂，本⽂对Linux防⽕墙Iptables规则写法进⾏详细介绍：⑴、Iptables规则写法的基本格式是： Iptables [-ttable] COMMAND chain CRETIRIA -j ACTION⑵、Iptables规则相关参数说明： -t table：3个filter nat mangle ：定义如何对规则进⾏管理 chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的； CRETIRIA:指定匹配标准； -j ACTION:指定如何进⾏处理；⑶、Iptables规则其他写法及说明： Iptables -L -n -v #查看定义规则的详细信息 Iptables是Linux服务器上防⽕墙配置必备的设置⼯具，是我们在做好服务器安全及部署⼤型⽹络时，常会⽤到的重要⼯具，很好的掌握iptables，可以让我们对Linux服务器整个⽹络的结构有⼀个⽐较透彻的了解，更能够很好的掌握Linux服务器的安全配置技巧。

我们来配置⼀个filter表的防⽕墙.(1)查看本机关于IPTABLES的设置情况复制代码代码如下:[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination</p> <p>Chain FORWARD (policy ACCEPT)target prot opt source destination</p> <p>Chain OUTPUT (policy ACCEPT)target prot opt source destination</p> <p>Chain RH-Firewall-1-INPUT (0 references)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0.0/0ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0ACCEPTah--0.0.0.0/00.0.0.0/0ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHEDACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited可以看出我在安装linux时,选择了有防⽕墙,并且开放了22,80,25端⼝.如果你在安装linux时没有选择启动防⽕墙,是这样的复制代码代码如下:[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination </p> <p>Chain FORWARD (policy ACCEPT)target prot opt source destination </p> <p>Chain OUTPUT (policy ACCEPT)target prot opt source destination什么规则都没有.(2)清除原有规则.不管你在安装linux时是否启动了防⽕墙,如果你想配置属于⾃⼰的防⽕墙,那就清除现在filter的所有规则.复制代码代码如下:[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则[root@tp ~]# iptables -X 清除预设表filter中使⽤者⾃定链中的规则我们在来看⼀下复制代码代码如下:[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination </p> <p>Chain FORWARD (policy ACCEPT)target prot opt source destination </p> <p>Chain OUTPUT (policy ACCEPT)target prot opt source destination什么都没有了吧,和我们在安装linux时没有启动防⽕墙是⼀样的.(提前说⼀句,这些配置就像⽤命令配置IP⼀样,重起就会失去作⽤),怎么保存.复制代码代码如下:[root@tp ~]# /etc/rc.d/init.d/iptables save这样就可以写到/etc/sysconfig/iptables⽂件⾥了.写⼊后记得把防⽕墙重起⼀下,才能起作⽤.复制代码代码如下:[root@tp ~]# service iptables restart现在IPTABLES配置表⾥什么配置都没有了,那我们开始我们的配置吧(3)设定预设规则复制代码代码如下:[root@tp ~]# iptables -P INPUT DROP[root@tp ~]# iptables -P OUTPUT ACCEPT[root@tp ~]# iptables -P FORWARD DROP上⾯的意思是,当超出了IPTABLES⾥filter表⾥的两个链规则(INPUT,FORWARD)时,不在这两个规则⾥的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流⼊数据包⽽对于OUTPUT链,也就是流出的包我们不⽤做太多限制,⽽是采取ACCEPT,也就是说,不在着个规则⾥的包怎么办呢,那就是通过.可以看出INPUT,FORWARD两个链采⽤的是允许什么包通过,⽽OUTPUT链采⽤的是不允许什么包通过.这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,⽽且要写的规则就会增加.但如果你只想要有限的⼏个规则是,如只做WEB服务器.还是推荐三个链都是DROP.注:如果你是远程SSH登陆的话,当你输⼊第⼀个命令回车的时候就应该掉了.因为你没有设置任何规则.怎么办,去本机操作呗!(4)添加规则.⾸先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采⽤远程SSH登陆,我们要开启22端⼝.复制代码代码如下:[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这⼀部,好多⼈都是望了写这⼀部规则导致,始终⽆法SSH.在远程⼀下,是不是好了.其他的端⼝也⼀样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加⼀条链:复制代码代码如下:[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT,其他同理.如果做了WEB服务器,开启80端⼝.复制代码代码如下:[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT如果做了邮件服务器,开启25,110端⼝.复制代码代码如下:[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT如果做了FTP服务器,开启21端⼝复制代码代码如下:[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT如果做了DNS服务器,开启53端⼝复制代码代码如下:[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT如果你还做了其他的服务器,需要开启哪个端⼝,照写就⾏了.上⾯主要写的都是INPUT链,凡是不在上⾯的规则⾥的,都DROP允许icmp包通过,也就是允许ping,复制代码代码如下:[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话) [root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback!(不然会导致DNS⽆法正常关闭等问题)复制代码代码如下:IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)下⾯写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.减少不安全的端⼝连接复制代码代码如下:[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP有些些特洛伊⽊马会扫描端⼝31337到31340(即⿊客语⾔中的 elite 端⼝)上的服务。

linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟《linux网关及安全应用》理论课教案第3章（配置iptables防火墙二) 《linux网关及安全应用》理论课教案 (2)一.课程回顾3二.本章工作任务(问题列表) (3)三.本章技能目标 (4)四.本章重点难点 (4)4.1课程重点 (4)4.2课程难点 (4)五.整章授课思路[100分钟] (4)5.1本章授课思路： (4)5.2预习检查、任务、目标部分[10分钟] (5)5.3 技能点讲解[80分钟] (6)5.4 总结[6分钟] 采用提问方式，注意引导学员回答重点即可！ (13)六. 布置作业：[4 分钟] (13)6.1本章作业 (13)6.2 作业的提交方式与要求 (14)6.3 课后习题答案 (14)七．习题14课时：2学时授课人：焦可伟一.课程回顾1.iptables与netfilter的作用及区别是什么？2.iptables命令的语法格式包括哪些组成部分？3.若设置iptables规则时未指定表名，默认使用哪个表？4.设置显式匹配条件时，需要注意什么？5.防火墙对数据包的常见处理方式包括哪些？二.本章工作任务(问题列表)1.公司使用Linux系统作为网关服务器，应如何设置才能使局域网用户接入Internet？2.公司申请的唯一公网IP地址已被Linux网关服务器使用，而网站服务器在局域网内的另一台机器，在网关上应如何配置才能让Internet上的客户端访问该网站服务器？3.在网关服务器上应做哪些设置，以便在家里也能通过Internet远程管理公司内部的服务器？4.在Linux网关服务器上，如何限制内网用户使用QQ、MSN以及BT下载等？三.本章技能目标❑会使用SNAT策略配置共享上网❑会使用DNAT策略发布企业内网的应用服务❑会为Linux防火墙增加应用层过滤功能四.本章重点难点4.1课程重点❑SNAT策略及其应用❑DNAT策略及其应用❑使用Layer7应用层过滤4.2课程难点❑SNAT的原理❑DNAT的原理❑重新编译Linux内核(强调：这个知识点即是重点也是难点，需要在课上强调)五.整章授课思路[100分钟]5.1本章授课思路：本章主要以案例的形式讲述iptables防火墙的几种典型企业应用：(1)、局域网共享上网；(2)、Internet中发布内网服务器；(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。

linux的防⽕墙设置（使⽤iptables）1、查看系统是否安装防⽕墙//命令which iptableswhereis iptables 上图结果表明已安装 iptables ，如若未安装使⽤命令：apt-get install iptables 进⾏安装2、查看防⽕墙的配置信息//命令iptables -L3、新建规则⽂件 ⾸先在 /etc 下创建 iptables ⽬录，然后在 /etc/iptables ⽬录下创建规则⽂件 rules.v4mkdir /etc/iptablescd /etc/iptablesvim rules.v4 将以下内容复制⾄ /etc/iptables/rules.v4 中*filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]:syn-flood - [0:0]-A INPUT -i lo -j ACCEPT-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood-A INPUT -j REJECT --reject-with icmp-host-prohibited-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN-A syn-flood -j REJECT --reject-with icmp-port-unreachableCOMMIT4、使防⽕墙⽣效iptables-restore < /etc/iptables/rules.v45、查看防⽕墙是否⽣效iptables -L -n6、设置防⽕墙开机启动vim /etc/network/if-pre-up.d/iptables 创建 /etc/network/if-pre-up.d/iptables ⽂件，并添加以下内容#!/bin/bashiptables-restore < /etc/iptables/rules.v4 添加执⾏权限chmod +x /etc/network/if-pre-up.d/iptables。