linux中iptables防火墙怎么设置？

一，安装并启动防火墙

［root@linux ~］# /etc/init.d/iptables start

当我们用iptables添加规则，保存后，这些规则以文件的形势存在磁盘上的，以CentOS为例，文件地址是/etc/sysconfig/iptables，我们可以通过命令的方式去添加，修改，删除规则，也可以直接修改/etc/sysconfig/iptables这个文件就行了。

1.加载模块

/sbin/modprobe ip_tables

2.查看规则

iptables -L -n -v

3.设置规则

#清除已经存在的规则

iptables -F

iptables -X

iptables -Z

#默认拒绝策略（尽量不要这样设置，虽然这样配置安全性高，但同时会拒绝包括lo环路在内的所#有网络接口，导致出现其他问题。建议只在外网接口上做相应的配置）

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

#ssh 规则

iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT

#本地还回及tcp握手处理

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT

#www-dns 规则

iptables -I INPUT -p tcp –sport 53 -j ACCEPT

iptables -I INPUT -p udp –sport 53 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT

#ICMP 规则

iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT

iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT

二，添加防火墙规则

1，添加filter表

1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口

出口我都是开放的iptables -P OUTPUT ACCEPT，所以出口就没必要在去开放端口了。

2，添加nat表

1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

将源地址是 192.168.10.0/24 的数据包进行地址伪装

3，-A默认是插入到尾部的，可以-I来插入到指定位置

1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT

2.［root@linux ~］# iptables -L -n --line-number

3.Chain INPUT （policy DROP）

4.num target prot opt source destination

5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8

7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的

8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED

11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW

12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默认插到最后

13.Chain FORWARD （policy ACCEPT）

14.num target prot opt source destination

15.Chain OUTPUT （policy ACCEPT）

16.num target prot opt source destination

三，查下iptable规则

1，查看filter表

1.［root@linux ~］# iptables -L -n --line-number |grep 21 //--line-number可以显示规则序号，在删除的时候比较方便

2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21

如果不加-t的话，默认就是filter表，查看，添加，删除都是的

2，查看nat表

1.［root@linux ~］# iptables -t nat -vnL POSTROUTING --line-number

2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）

3.num pkts bytes target prot opt in out source destination

4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0

四，修改规则

1.［root@linux ~］# iptables -R INPUT 3 -j DROP //将规则3改成DROP

五，删除iptables规则

1.［root@linux ~］# iptables -D INPUT 3 //删除input的第3条规则

2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的第一条规则

3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有规则

4.［root@linux ~］# iptables -F //清空所有规则

5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则

六，设置默认规则

1.［root@linux ~］# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP

所有添加，删除，修改后都要保存起来，/etc/init.d/iptables save.上面只是一些最基本的 *** 作，要想灵活运用，还要一定时间的实际 *** 作。

iptables配置常规映射及软路由

作用：虚拟化云平台服务器网段192.168.1.0/24 通过一台linux服务器（eth0:192.168.1.1、eth1:10.0.0.5）做软路由达到访问10.0.0.5能访问的网络范围，并且通过iptables的NAT映射提供服务。

NAT 映射网络端口：

效果： 10.0.0.5:2222 —-》 192.168.1.2:22

命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22

service iptables save

service iptables restart

注意：1.在192.168.1.2的网络配置上需要将NAT主机的内网ip即192.168.1.1作为默认网关，如果10.0.0.5具有公网访问权限，dns则设置成公网对应dns

2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效

软路由192.168.1.0/24通过10.0.0.5访问外网：

命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5

service iptables save

service iptables restart

行了，应该在/etc/network/下子文件夹中的某个配置文件，但是事实上，因为linux有防火墙，所以事实上需要在防火墙的forward链上做转发，因为数据包是先碰到防火墙过滤后才进入内核空间，如果在防火墙转发，那个设置内核的端口转发就没什么意义了。

补充回答：

声明：本人主要使用的是debian系统，对于红帽不是非常熟悉，所以在配置文件的路径及命名上和你的实际情况会有出入，请酌情更改！！

首先，你需要更改/etc/sysctl.conf这个文件，找到如下行：

net.ipv4.ip_forward = 0

把0改成1打开内核转发，然后用source命令重读该配置文件。

然后你需要用以下命令打开forward链上所有的转发，这里只给你简单的实现forward，并没实现保护LAN的防火墙功能，请参阅参考资料获得iptables的详细配置方法！

iptables -A FORWARD -i eth1 -j ACCEPT

iptables -A FORWARD -o eth1 -j ACCEPT

service iptables save

service iptables restart

附注：

man iptables

命令格式：

# iptables [-t 表名] 命令 [链] [规则号] [条件] [规则]

说明：⑴ -t 表名指定规则所在的表。表名可以是 filter ,nat ,mangle (小写)

⑵ 命令 （iptables的子命令）

-A在指定链中添加规则

-D在指定链中删除指定规则

-R修改指定链中指定规则

-I 在指定规则前插入规则

-L显示链中的规则

-N建立用户链

-F清空链中的规则

-X删除用户自定义链

-P 设置链的默认规则

-C 用具体的规则链来检查在规则中的数据包

-h显示帮助

⑶ 条件

–i 接口名指定接收数据包接口

-o 接口名指定发送数据包接口

-p [!]协议名 指定匹配的协议 (tcp , udp , icmp , all )

-s [!]ip地址 [/mask]指定匹配的源地址

--sport [!]端口号 [：端口号] 指定匹配的源端口或范围

-d [!]ip地址 [/mask]指定匹配的目标地址

--dport [!]端口号 [：端口号] 指定匹配的目标端口或范围

--icmp –type [!]类型号/类型名指定icmp包的类型

注：8 表示request 0 表示relay （应答）

-m port --multiport 指定多个匹配端口

limit --limit 指定传输速度

mac --mac-source 指定匹配MAC地址

sate --state NEW,ESTABLISHED,RELATED,INVALID 指定包的状态

注：以上选项用于定义扩展规则

-j 规则 指定规则的处理方法

⑷ 规则

ACCEPT ：接受匹配条件的数据包（应用于I NPUT ,OUTPUT ,FORWARD ）

DROP ：丢弃匹配的数据包（应用于INPUT ,OUTPUT ,FORWARD ）

REJECT：丢弃匹配的数据包且返回确认的数据包

MASQUERADE ：伪装数据包的源地址（应用于POSTROUTING且外网地址

为动态地址，作用于NAT ）

REDIRECT ：包重定向 （作用于NAT表中PREROUTING ,OUTPUT,使用要加上--to-port 端口号 ）

TOS： 设置数据包的TOS字段（应用于MANGLE,要加上--set-tos 值）

SNAT ： 伪装数据包的源地址（应用于NAT表中POSTROUTING链，要加上--to-source ip地址 [ip地址] ）

DNAT ： 伪装数据包的目标地址（应用于NAT表中PREROUTING链，要加上--to-destination ip地址 ）

LOG：使用syslog记录的日志

RETURN：直接跳出当前规则链

3． iptables子命令的使用实例

⑴ 添加规则

#iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.3 –j DROP

(拒绝192.168.0.3主机发送icmp请求)

# iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.0/24 –j DROP

(拒绝192.168.0.0网段ping 防火墙主机，但允许防火墙主机ping 其他主机)

# iptables –A OUTPUT –p icmp –-icmp-type 0 –d 192.168.0.0/24 –j DROP

(拒绝防火墙主机向192.168.0.0网段发送icmp应答，等同于上一条指令)

# iptables –A FORWARD –d -j DROP

(拒绝转发数据包到,前提是必须被解析)

# iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j SNAT –-to-source 211.162.11.1

(NAT，伪装内网192.168.0.0网段的的主机地址为外网211.162.11.1,这个公有地址，使内网通过NAT上网，前提是启用了路由转发)

# iptables –t nat –A PREROUTING –p tcp --dport 80 –d 211.162.11.1 –j DNAT -–to-destination 192.168.0.5

(把internet上通过80端口访问211.168.11.1的请求伪装到内网192.168.0.5这台WEB服务器，即在iptables中发布WEB服务器，前提是启用路由转发)

# iptables –A FORWARD –s 192.168.0.4 –m mac --mac-source 00:E0:4C:45:3A:38 –j ACCEPT

(保留IP地址，绑定 IP地址与MAC地址)

⑵删除规则

# iptables –D INPUT 3

# iptables –t nat –D OUTPUT –d 192.168.0.3 –j ACCEPT

⑶插入规则

# iptables –I FORWARD 3 –s 192.168.0.3 –j DROP

# iptables –t nat –I POSTROUTING 2 –s 192.168.0.0/24 –j DROP

⑷修改规则

# iptables –R INPUT 1 –s 192.168.0.2 –j DROP

⑸显示规则

# iptables –L (默认表中的所有规则)

# iptables –t nat –L POSTROUTING

⑹清空规则

# iptables –F

# iptables –t nat –F PREROUTING

⑺设置默认规则

# iptables –P INPUT ACCEPT

# iptables –t nat –P OUTPUT DROP

(注：默认规则可以设置为拒绝所有数据包通过，然后通过规则使允许的数据包通过，这种防火墙称为堡垒防火墙，它安全级别高，但不容易实现；也可以把默认规则设置为允许所有数据包通过，即鱼网防火墙，它的安全级别低，实用性较差。）

⑻建立自定义链

# iptables –N wangkai

⑼删除自定义链

# iptables –X wangkai

⑽应用自定义链

# iptables –A wangkai –s 192.168.0.8 –j DROP

# iptables –A INPUT –j wangkai

(注：要删除自定义链，必须要确保该链不被引用,而且该链必须为空，如要删除上例定义的自定义链方法为：

# iptables –D INPUT –j wangkai

# iptables -F wangkai

# iptables -X wangkai

另外,团IDC网上有许多产品团购,便宜有口碑

一、IPSec

添加屏蔽ICMP的规则：

IP安全策略—管理IP筛选器表和筛选器 *** 作—管理IP筛选器列表—添加—起个名称（比如：）---添加—下一步—源地址—任何IP地址—目标地址—我的IP地址—选择协议类型—ICMP—完成。

IP安全策略—管理IP筛选器表和筛选器 *** 作—管理筛选器列表—添加—下一步—名称(比如：)—阻止—完成。

IP安全策略—创建IP安全策略—下一步—名称（比如：）--激活默认响应规则—Winxp默认值—完成-规则—添加—下一步—此规则不指定隧道—所有网络连接—Winxp默认值—IP筛选器列表—“ICMP”—“Block”—下一步—完成。

二、路由和远程访问：

IP路由选择—常规—指定的网卡—输入筛选器—添加—协议—ICMP—类型8—编码0—接受所有除符合下列条件以外的数据包。

通过实验发现路由和远程访问的级别要高于IPSec，也就是说当两个设置发生冲突时，系统将以路由和远程访问的设置为准。

三、通过TTL简单关闭ICMP回应（转）

很多人问起如何在Windows xp中关闭ICMP的回应，以前我采取的办法是使用IPSec来对ICMP进行验证，今天偶尔作了一个试验，与大家share一下！

Client:192.168.7.89

Server:192.168.7.40

修改前：

C:\scripts>ping 192.168.7.40

Pinging 192.168.7.40 with 32 bytes of data:

Reply from 192.168.7.40: bytes=32 time<10ms TTL=128

Reply from 192.168.7.40: bytes=32 time<10ms TTL=128

Reply from 192.168.7.40: bytes=32 time<10ms TTL=128

Reply from 192.168.7.40: bytes=32 time<10ms TTL=128

修改注册表，把DefaultTTL改成63，ping的结果

C:\scripts>ping 192.168.7.40

Pinging 192.168.7.40 with 32 bytes of data:

Reply from 192.168.7.40: bytes=32 time<10ms TTL=63

Reply from 192.168.7.40: bytes=32 time<10ms TTL=63

Reply from 192.168.7.40: bytes=32 time<10ms TTL=63

Reply from 192.168.7.40: bytes=32 time<10ms TTL=63

修改注册表，把DefaultTTL改成0，ping的结果

C:\scripts>ping 192.168.7.40

Pinging 192.168.7.40 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 192.168.7.40:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

而在192.168.7.40上，ping外面没有问题，但是不能对外提供服务了，同时，自己干什么也都不行了，就只能Ping了，嘿嘿，自己玩玩吧～（建议改成255，Linux,Solaris的好像大多是这个值，记得有人写过通过TTL来判断 *** 作系统的，呵呵，骗骗人玩：）

Hive: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SubKey: DefaultTTL

Value: REG_DWORD 1 - 255

Default: 128

改了以后要Reboot才会生效哦～

（注：该方法是给对方提供一个错误的信息，并不是真正屏蔽了ICMP包，文章来源：Adam）

四、在ISA里面设置：

关闭Ping(ICMP)：IP Packet Filters—起名--block packet transmission—predefine—icmp ping query—default IP address for each external on the ISA server computer—all remote computer—完成。

五、使用个人防火墙软件：

一般的防火墙软件都会提供关闭ICMP的功能，只是有的强一些，有的弱一些，比如：天网、绿色警戒、中国墙、Norton、Etrust Wall、Zone Alarm、Black Ice、冰盾等等等等，专业的就更别说了。

可见，关闭ICMP协议的方法还是很多的。（本人用的是防火墙，瑞星的，效果还行!现在一般把系统补丁打好，防火墙杀毒软件都及时更新就没有问题的！)

---