iptables配置-Linux系統安全防火牆

導讀	iptables是用來設定、維護和檢查 核心的IP分組過濾規則的。作為Linux下的一款防火牆，它的功能十分強大，它有3個表，每個表內有規則鏈。

iptables是用來設定、維護和檢查Linux核心的IP分組過濾規則的。作為Linux下的一款防火牆，它的功能十分強大，它有3個表，每個表內有規則鏈。

（1）filter 是預設的表，包含了內建的鏈 INPUT（處理進入的分組）、FORWARD（處理透過的分組）和OUTPUT（處理本地生成的分組）。

（2）nat表被查詢時表示遇到了產生新的連線的分組，由3個內建的鏈構成：PREROUTING（修改到來的分組）、OUTPUT（修改路由之前本地的分組）、POSTROUTING（修改準備出去的分組）。

（3）mangle表用來對指定的分組進行修改。它有2個內建規則：PREROUTING（修改路由之前進入的分組）和OUTPUT（修改路由之前本地的分組）。下面簡單介紹iptables的常用配置。

檢視當前的iptables策略，使用iptables-L ，預設檢視的是filter表的內容，如下：

root@linuxprobe:～# iptables-L  
Chain INPUT(policy ACCEPT)  
target prot opt source destination  
f2b-sshd tcp – anywhere anywhere multiport dports ssh 
Chain FORWARD(policy ACCEPT)  
target prot opt source destination  
Chain OUTPUT(policy ACCEPT)  
target prot opt source destination  
Chain f2b-sshd(1 references)  
target prot opt source destination  
RETURNall-anywhere anywhere

對於filter表，預設的chain策略為ACCEPT，可以透過以下 修改chain的策略：

root@linuxprobe:～# iptables-P INPUT DROP  
root@linuxprobe:～# iptables-P FORWARD DROP  
root@linuxprobe:～# iptbales-P OUTPUT DROP

以上命令配置將接收、轉發和發出分組均丟棄，施行比較嚴格的分組管理。由於接收和發分組均被設定為丟棄，當進一步配置其他規則的時候，需要注意針對 INPUT和OUTPUT分別配置。當然，如果信任本機器往外發分組，上面第3條規則可不必配置。

可以用以下規則來清空已有的規則：

root@linuxprobe:～# iptables-F

對於用作防火牆或閘道器的伺服器，一個網口連線到公網，其他網口的分組轉發到該網口實現內網向公網通訊，假設eth0連線內網，eth1連線公網，配置規則如下：

root@linuxprobe:～# iptables-A FORWARD-i eth0-o eth1-j ACCEPT

命令將888埠的分組轉發到22埠，因而透過888埠也可進行SSH連線：

root@linuxprobe:～# iptables-t nat-A PREROUTING-p tcp-d 192.168.1.1 –dport 888-j DNAT--to 192.168.1.1:22

利用擴充套件模組limit，還可以配置iptables規則，實現DoS攻擊防範，如下所示：

root@linuxprobe:～# iptables-A INPUT-p tcp –dport 80-m limit –limit 25/minute--limit-burst 100-j ACCEPT

--litmit 25/minute 指示每分鐘限制最大連線數為25。

--litmit-burst 100 指示當總連線數超過100時，啟動litmit/minute限制。