如何配置Ubuntu 14.04中的IPTables防火墙

# whereis iptables #查看系统是否安装防火墙可以看到:

iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz #表示已经安装iptables

apt-get install iptables #如果默认没有安装，请运行此命令安装防火墙

# iptables -L #查看防火墙配置信息，显示如下:

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

# vi /etc/iptables/rules.v4

添加以下内容(备注:80是指web服务器端口,3306是指MySQL数据库链接端口,22是指SSH远程管理端口.)

*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:syn-flood - [0:0]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT

-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN

-A syn-flood -j REJECT --reject-with icmp-port-unreachable

COMMIT

# iptables-restore </etc/iptables/rules.v4 #使防火墙规则生效

# vi /etc/network/if-pre-up.d/iptables #创建文件，添加以下内容，使防火墙开机启动

#!/bin/bash

iptables-restore </etc/iptables/rules.v4

# chmod +x /etc/network/if-pre-up.d/iptables #添加执行权限

# iptables -L -n查看规则是否生效.

（一） 设置开机启动iptables

# sysv-rc-conf --level 2345 iptables on

（二） iptables的基本命令

1. 列出当前iptables的策略和规则

# iptables -L -n

-n： 用数字形式显示

# iptables -L -v

-v： 打印详细的信息

2. 允许已经建立的连接接收数据

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

3. 开放端口22（SSH的默认端口），您要告诉iptables允许接受到的所有目标端口为22的TCP报文通过

iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

注：ssh代表22，可以在/etc/services中查到的服务都可以这样使用。

4. 添加策略。策略也是一种规则，当所有规则都不匹配时，使用链的“策略”

链：INPUT, PREROUTING, FORWARD, POSTROUTING, OUTPUT

链策略的默认值是：ACCEPT。

表：filter （默认），nat，mangle。

#iptables -P INPUT DROP

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD DROP

root@patrick:~# iptables -L -n

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT icmp -- 0.0.0.0/00.0.0.0/0

ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:22

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- 0.0.0.0/00.0.0.0/0 tcp spt:22

----------------------------------------------------

5. 启动包转发功能

将内网的FTP请求转发到外网的一个主机上。

iptables -t nat -A PREROUTING -p tcp -dport 21 -j DNAT --to-dest 10.25.1.7:21

查看：

# iptables -L -t nat

要实现包转发，还需要编辑内核参数。

# cat /proc/sys/net/ipv4/ip_forward

0

默认包转发是禁止的。于是需要打开。编辑/etc/sysctl.conf，然后执行sysctl -p。

（三）保存iptables的规则

step 1） 保存当前iptables的规则到文件中。

# iptables-save >/etc/iptables.up.rules

step 2） 开机恢复iptables的规则。方法是添加下面这行到文件‘/etc/network/interfaces/’ 的末尾。

pre-up iptables-restore </etc/iptables.up.rules

（四）禁用防火墙

iptables -F

似乎Ubuntu中没有类似service iptables stop这样的命令来暂停iptables。只能使用这种方法来禁用iptables（防火墙）。

使用前，请保证规则已经备份在文件中。

---