linux iptable 封包啥意思

iptable是一种网络防火墙，在LINUX下使用，RedHat9.0版本以上自带。它可以实现NAT转换，可以做上网代理。

停止防火墙 service iptables stop

启动防火墙 service iptables start

查看防火墙配置 iptables -L -n

修改的内容只是暂时保存在内存中，如果重启后还要生效，则要保存一下 service iptables save

Internet用户使用的各种信息服务，其通讯的信息最终均可以归结为以IP包为单位的信息传送，IP包除了包括要传送的数据信息外，还包含有信息要发送到的目的IP地址、信息发送的源IP地址、以及一些相关的控制信息。当一台路由器收到一个IP数据包时，它将根据数据包中的目的IP地址项查找路由表，根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此数据包后继续转发，直至发到目的地。路由器之间可以通过路由协议来进行路由信息的交换，从而更新路由表。

那么我们所关心的内容只是IP包中的数据信息，我们可以使用许多监听网络的工具来截获客户端与服务器之间的交换数据，下面就向你介绍其中的一种工具：WPE。

WPE使用方法：执行WPE会有下列几项功能可选择：

SELECT GAME选择目前在记忆体中您想拦截的程式，您只需双击该程式名称即可。

TRACE追踪功能。用来追踪撷取程式送收的封包。WPE必须先完成点选欲追踪的程式名称，才可以使用此项目。 按下Play键开始撷取程式收送的封包。您可以随时按下 | | 暂停追踪，想继续时请再按下 | | 。按下正方形可以停止撷取封包并且显示所有已撷取封包内容。若您没按下正方形停止键，追踪的动作将依照OPTION里的设定值自动停止。如果您没有撷取到资料，试试将OPTION里调整为Winsock Version 2。WPE 及 Trainers 是设定在显示至少16 bits 颜色下才可执行。

FILTER过滤功能。用来分析所撷取到的封包，并且予以修改。

SEND PACKET送出封包功能。能够让您送出假造的封包。

TRAINER MAKER制作修改器。

OPTIONS设定功能。让您调整WPE的一些设定值。

FILTER的详细教学

- 当FILTER在启动状态时 ，ON的按钮会呈现红色。- 当您启动FILTER时，您随时可以关闭这个视窗。FILTER将会

留在原来的状态，直到您再按一次 on / off 钮。- 只有FILTER启用钮在OFF的状态下，才可以勾选Filter前的方框来编辑修改。- 当您想编辑某个Filter，只要双击该Filter的名字即可。

做如下设置应该可以的

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

iptabls规则是从上往下应用，当找到能通过的规则，不管下面是否有规则冲突，也一样通过

eth0 连接内部网络的网卡

eth1 连接外部网络的网卡

lo 本地环路

1,丢弃所有来自外网的ftp包，内网例外

iptables -A -i lo -j ACCEPT(允许本机内部所有网络通信，必须的)

iptables -A -i eht0 -p tcp --dport 21 -j ACCEPT（在本机开放21端口，即ftp控制端口）

iptables -A -i eth0 -p tcp --dport 20 -j ACCEPT（在本机开放20端口，即ftp传输端口）

iptables -A -i eth1 -j DROP（禁止所有数据包通过）{禁止外部ftp}

2，允许ssh禁止telnet

iptables -A -i lo -j ACCEPT(允许本机内部所有网络通信，必须的)

iptables -A -i eth0 -p tcp --dport 22 -j ACCEPT

iptables -A -i eth1 -p tcp --dport 22 -j ACCEPT

（在本机开放22端口，即ssh服务端口）

iptables -A -i eth1 -p tcp --dport 23 -j DROP（在本机关闭23端口，即telnet服务端口）或者用iptables -A -i eth0 -j DROP

3，禁止使用ping命令，ping本机

iptables -A -p icmp --icmp-type 8 -s 0/0 -j DROP（0/0所有网络）

iptables -A -p icmp --icmp-type 0 -s 0/0 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1（本机ip） -j DROP

iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.29.1 -j ACCEPT

这样的配置是你能ping别人，别人不能ping你

4，禁止访问21端口（ftp）和80端口（web）

iptables -A -i eth1 -p tcp --dprot 21 -j DROP

iptables -A -i eth0 -p tcp --dprot 21 -j DROP

iptables -A -i eth1 -p tcp --dprot 80 -j DROP

iptables -A -i eth0 -p tcp --dprot 80 -j DROP

5,禁止所有udp端口

iptables -A -i eth0 -p udp -j DROP

iptables -A -i eth1 -p udp -j DROP

6,禁止外部邮件通信，内部允许(禁止pop3，110和smtp，25)

iptables -A -i eth0 -p tcp --dprot 25 -j ACCEPT

iptables -A -i eth0 -p tcp --dprot 110 -j ACCEPT

iptables -A OUTPUT -i eth1 -p tcp --sprot 25 -j DROP

iptables -A OUTPUT -i eth1 -p tcp --sprot 110 -j DROP

7，禁止2个特定网络访问本机

iptables -A -i eth1 -s 192.168.1.0/24 -j DROP

iptables -A -i eth1 -s 172.16.0.0/16 -j DROP

8,允许从特的端口进入，但禁止对外

iptables -A -i eht1 --dport [端口号] -j ACCEPT

iptables -A OUTPUT -i eht1 --dport [端口号] -j DROP

---