如何修改linux iptables

1.首先介绍一下指令和相关配置文件

启动指令:service

iptables

start

重启指令:service

iptables

restart

关闭指令:service

iptables

stop

然后是相关配置:/etc/sysconfig/iptables

如何 *** 作该配置呢？

vim

/etc/sysconfig/iptables

然后进去修改即可，修改完了怎么办？这里很多人会想到/etc/rc.d/init.d/iptables

save指令，但是一旦你这么干了你刚才的修改内容就白做了。。。

具体方法是：

只修改/etc/sysconfig/iptables

使其生效的办法是修改好后先service

iptables

restart，然后才调用/etc/rc.d/init.d/iptables

save，

因为/etc/rc.d/init.d/iptables

save会在iptables服务启动时重新加载，要是在重启之前直接先调用了/etc/rc.d/init.d/iptables

save那么你

的/etc/sysconfig/iptables

配置就回滚到上次启动服务的配置了，这点必须注意！！！

2.下面介绍一些指令用法（主要还是man iptables看下相关资料才行）

-A：指定链名

-p：指定协议类型

-d：指定目标地址

--dport：指定目标端口（destination

port

目的端口）

--sport：指定源端口（source

port

源端口）

-j：指定动作类型

3.如果我不像修改文件直接打命令可以吗，当然没问题，步骤如下:

例如我给SSH加放行的语句：

添加input记录：

iptables

-A

INPUT

-p

tcp

--dport

22

-j

ACCEPT

添加output记录：

iptables

-A

OUTPUT

-p

tcp

--sport

22

-j

ACCEPT

最后注意需要再执行一下

/etc/init.d/iptables

save，这样这两条语句就保存到刚才那个/etc/sysconfig/iptables

文件中了。

4.接下来说明一下步骤，如果机器不在我身边，我只能SSH进去做iptables规态橘则，那么我必须注意每一步，千万别搞错了，否则就SSH链接不上都有可能！

首先要做的是给咱的SSH进行ACCEPT配置，以免直接无法连接的情况发生:

1.如果SSH端口是22（这里不建议用默认端口最好改掉SSH端口）

iptables

-A

INPUT

-p

tcp

--dport

22

-j

ACCEPT

iptables

-A

OUTPUT

-p

tcp

--sport

22

-j

ACCEPT

注意要/etc/rc.d/init.d/iptables

save，以下每一步都最好执行一遍此语句，以下不再累述。

2.vim

/etc/sysconfig/iptables确定是否已经加入配置，可以的话执行service

iptables

restart重启后生效

3.下面是很危险的 *** 作，如果你第一步没做就会直接扒闭凳可能导致你连不上SSH，此步骤前切记执行第一步！！！

iptables

-P

INPUT

DROP

iptables

-P

OUTPUT

DROP

iptables

-P

FORWARD

DROP

这个步骤是把所有不符合自己配置的规则ACCEPT的连接全部DROP掉，执行完以后如果咱SSH还没掉，那么谢天谢地，安全了，重启下iptables后继续下面的配置！

4.下面咱就不细说了，具体就是看自春旅己服务器要开放哪些端口或者是要访问哪些端口来做具体的配置，下面是我自己的机器的配置：

/etc/sysconfig/iptables文件配置如下:

#

Generated

by

iptables-save

v1.4.7

on

Fri

Mar

2

19:59:43

2012

*filter

:INPUT

DROP

[0:0]

:FORWARD

DROP

[0:0]

:OUTPUT

DROP

[8:496]

-A

INPUT

-m

state

--state

RELATED,ESTABLISHED

-j

ACCEPT

#ping使用的端口

-A

INPUT

-p

icmp

-j

ACCEPT

-A

INPUT

-i

lo

-j

ACCEPT

-A

INPUT

-s

127.0.0.1/32

-d

127.0.0.1/32

-j

ACCEPT

-A

INPUT

-s

192.168.2.200/32

-d

192.168.2.200/32

-j

ACCEPT

#允许服务器自己的SSH（对外部请求来说服务器是目标所以使用--dport）

-A

INPUT

-p

tcp

-m

tcp

--dport

22

-j

ACCEPT

#80端口不用说了吧，服务器网站访问端口

-A

INPUT

-p

tcp

-m

tcp

--dport

80

-j

ACCEPT

-A

INPUT

-p

tcp

-m

tcp

--dport

3306

-j

ACCEPT

-A

INPUT

-p

tcp

-m

tcp

--dport

11211

-j

ACCEPT

-A

INPUT

-p

tcp

-m

tcp

--dport

11212

-j

ACCEPT

-A

FORWARD

-j

REJECT

--reject-with

icmp-host-prohibited

#53端口是DNS相关，TCP和UDP都要配置

-A

INPUT

-p

tcp

-m

tcp

--dport

53

-j

ACCEPT

-A

INPUT

-p

udp

-m

udp

--dport

53

-j

ACCEPT

#ping使用的端口

-A

OUTPUT

-p

icmp

-j

ACCEPT

-A

OUTPUT

-s

127.0.0.1/32

-d

127.0.0.1/32

-j

ACCEPT

-A

OUTPUT

-s

192.168.2.200/32

-d

192.168.2.200/32

-j

ACCEPT

#允许服务器SSH到其他机器（使用外部端口就使用--dport）

-A

OUTPUT

-p

tcp

-m

tcp

--dport

22

-j

ACCEPT

#允许服务器自己的SSH（自已为源输出就使用--sport）

-A

OUTPUT

-p

tcp

-m

tcp

--sport

22

-j

ACCEPT

#访问外部网站80端口（使用外部端口就使用--dport）

-A

OUTPUT

-p

tcp

-m

tcp

--dport

80

-j

ACCEPT

#如果服务器需要访问外部网站，那么OUTPUT也需要配置53端口（使用外部端口就使用--dport）

-A

OUTPUT

-p

tcp

-m

tcp

--dport

53

-j

ACCEPT

-A

OUTPUT

-p

udp

-m

udp

--dport

53

-j

ACCEPT

#如果有访问外部邮箱，那么打开邮箱相关端口（使用外部端口就使用--dport）

-A

OUTPUT

-p

tcp

-m

tcp

--dport

465

-j

ACCEPT

-A

OUTPUT

-p

tcp

-m

tcp

--dport

25

-j

ACCEPT

-A

OUTPUT

-p

tcp

-m

tcp

--dport

110

-j

ACCEPT

#服务器网站访问端口（自已为源输出就使用--sport）

-A

OUTPUT

-p

tcp

-m

tcp

--sport

80

-j

ACCEPT

-A

OUTPUT

-p

tcp

-m

tcp

--sport

3306

-j

ACCEPT

-A

OUTPUT

-p

tcp

-m

tcp

--sport

11211

-j

ACCEPT

-A

OUTPUT

-p

tcp

-m

tcp

--sport

11212

-j

ACCEPT

COMMIT

#

Completed

on

Fri

Mar

2

19:59:43

2012

5.可能有时候需要删除规则，最简单就是修改一下/etc/sysconfig/iptables然后service iptables restart,最后/etc/rc.d/init.d/iptables save即可。

当然也可以使用指令完成:

在网上找了一下，删除规则的方法：

语法是：

iptables

-D

chain

rulenum

[options]

其中：

chain

是链的意思，就是INPUT

FORWARD

之类的

rulenum

是规则的编号。从1

开始。可以使用

--line-numbers

列出规则的编号

所以，例如上面要删除一个INPUT链的规则的话可以这样：iptables

-D

INPUT

3

意思是删除第3条规则。

还有第二种方法。第二种办法是

-A

命令的映射，不过用-D替换-A。当你的链中规则很复杂，而你不想计算它们的编号的时候这就十分有用了。也就是说，你如何用iptables

-A....

语句定义了一个规则，则删除此规则时就用

-D

来代替-

A

其余的都不变即可。

======================

说一下上面的

--line-numbers

选项，如下面的命令：

iptables

-L

INPUT

--line-numbers

列出INPUT

链所有的规则

num

target

prot

opt

source

destination

1

REJECT

tcp

--

anywhere

anywhere

tcp

dpt:microsoft-ds

reject-with

icmp-port-unreachable

2

REJECT

tcp

--

anywhere

anywhere

tcp

dpt:135

reject-with

icmp-port-unreachable

3

REJECT

tcp

--

anywhere

anywhere

tcp

dpt:netbios-ssn

reject-with

icmp-port-unreachable

...

...

删除指定行规则：

[root@localhost

rc.d]#

iptables

-D

INPUT

4

6.最后补充一下，如果想针对某IP进行单独开放端口可以如下配置：

如果我需要对内网某机器单独开放mysql端口，应该如下配置：

iptables

-A

INPUT

-s

192.168.2.6

-p

tcp

-m

tcp

--dport

3306

-j

ACCEPT

iptables

-A

OUTPUT

-s

192.168.2.6

-p

tcp

-m

tcp

--sport

3306

-j

ACCEPT

7.彻底禁止某IP访问:

#屏蔽单个IP的命令是

iptables

-I

INPUT

-s

123.45.6.7

-j

DROP

#封整个段即从123.0.0.1到123.255.255.254的命令

iptables

-I

INPUT

-s

123.0.0.0/8

-j

DROP

#封IP段即从123.45.0.1到123.45.255.254的命令

iptables

-I

INPUT

-s

124.45.0.0/16

-j

DROP

#封IP段即从123.45.6.1到123.45.6.254的命令是

iptables

-I

INPUT

-s

123.45.6.0/24

-j

DROP

指令I是insert指令

但是该指令会insert在正确位置并不像A指令看你自己的排序位置，因此用屏蔽因为必须在一开始就要加载屏蔽IP，所以必须使用I命令加载，然后注意执行/etc/rc.d/init.d/iptables

save进行保存后重启服务即可

Honeywall是逗州扒一个基于Linux的虚拟机，它提供了一些常用迹前的安全工山昌具和防御机制。在Honeywall中设置防火墙可以通过修改iptables规则来实现。首先需要编辑/etc/sysconfig/iptables文件，该文件包含当前系统上iptables的配置信息。然后可以使用iptables命令添加、删除或修改规则

引言

先来看一条常用的iptables命令：

Iptables（-t filter） -I INPUT -p tcp  --dport ssh/22 -j ACCEPT

这一条命令，生成了一条规则。允许所有22端口的TCP连接。

这条规则作用表是filter表，即iptables默认表。作用链是INPUT链。

规则就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要乱培工作就是添加、修改和删除这些规则。

原理

Iptables通过对数据包的控制实现防火墙功能，看下图：

数据包进入机器后，要根据数据包信息对数据包进行相关处理

（1） 一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转发出去。

（2） 如果数据包就是进入本机的，它就会沿着图方向移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经 过OUTPUT链，然后到达POSTROUTING链输出。

（3）如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示方向移动，经过 FORWARD链，然后到达POSTROUTING链输出。

链（chains）是规则校验序列及数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

iptables -P INPUT (DROP|ACCEPT)默认是关的/默认是开的

该命令设置链的默认目标，即策略。所有与链中任何规则都不匹配的信息包都将被强制使用此链的策略

表（tables）是相同规则集合，iptables内置了宽岩4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理四种不同的功能。

3、规则表之间的优先顺序：

Raw——mangle——nat——filter

每个表包含的数据链不同，在进行处理的时候注意需求，要在哪一链上 *** 作。

（1）RAW表

只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在 某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

RAW表可以应用在那些不需要做nat的情况下，以提高性能。如大量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。

（2）mangle表

主要用于对指定数据包进行更改，在内核版本2.4.18 后的linux版本中该表包含的链为：INPUT链（处理进入的数据包），RORWARD链（处理转发的数据包），OUTPUT链（处理本地生成的数据包）POSTROUTING链（修改即将出去的数据包），PREROUTING链（修改即将到来的数据包）

（3）nat表

主要用于网络地址转换NAT，该表可以实现一对一，一对多，多对多等NAT 工作，iptables就是使用该表实现共享上网的，由于转换的特性，需进行目的地网址转换的数据包，就不需要进行来源网址转换，反之亦然，因此为了提升改写封包的效率，在防火墙运作时，每个封包只会经过这个规则表一慎陪御次。如果我们把数据包过滤的规则定义在这个数据表里，将会造成无法对同一包进行多次比对，因此这个规则表除了作网址转换外，请不要做其它用途。NAT表包含了PREROUTING链（修改即将到来的数据包），POSTROUTING链（修改即将出去的数据包），OUTPUT链（修改路由之前本地生成的数据包）

（4）filter表

主要用于过滤数据包，该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言，主要利用在filter表中指定的规则来实现对数据包的过滤。Filter表是默认的表，如果没有指定哪个表，iptables 就默认使用filter表来执行所有命令，filter表包含了INPUT链（处理进入的数据包），RORWARD链（处理转发的数据包），OUTPUT链（处理本地生成的数据包）在filter表中只能允许对数据包进行接受，丢弃的 *** 作，而无法对数据包进行更改

命令

iptables [-t 表] -命令 匹配   *** 作

-A是append命令，添加的规则在最后

-D是删除命令，删除第几条规则

-I是插入命令，添加的规则在第一条

！是取反 *** 作

Sport 是源端口

Dport 是目的端口

列出各个表的规则命令：

iptables -nvL

iptables -t nat -nvL

iptables -t mangle -nvL

iptables -t raw -nvL

iptables -t filter -nvL

iptables -t raw -A PREROUTING -s 182.50.124.75 -j ACCEPT

REJECT     拦阻该数据包，并返回数据包通知对方，可以返回的数据包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是tcp-reset（这个数据包包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。 范例如下：

iptables -A  INPUT -p TCP --dport 22 -j REJECT --reject-with ICMP echo-reply

DROP   丢弃数据包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。

REDIRECT    将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将会继续比对其它规则。这个功能可以用来实作透明代理 或用来保护web 服务器。例如：

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT--to-ports 8081

MASQUERADE  改写封包来源IP为防火墙的IP，可以指定port 对应的范围，进行完此处理动作后，直接跳往下一个规则链（mangle:postrouting）。这个功能与 SNAT 略有不同，当进行IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡直接读取，当使用拨接连线时，IP 通常是由 ISP 公司的 DHCP服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 21000-31000

LOG    将数据包相关信息纪录在 /var/log 中，详细位置请查阅 /etc/syslog.conf 配置文件，进行完此处理动作后，将会继续比对其它规则。例如：

iptables -A INPUT -p tcp -j LOG --log-prefix "input packet"

SNAT  改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则炼（mangle:postrouting）。范例如下：

iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 192.168.10.15-192.168.10.160:2100-3200

DNAT  改写数据包包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则链（filter:input 或 filter:forward）。范例如下：

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.10.1-192.168.10.10:80-100

MIRROR   镜像数据包，也就是将来源 IP与目的地IP对调后，将数据包返回，进行完此处理动作后，将会中断过滤程序。

QUEUE    中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用，例如：计算联机费用.......等。

RETURN   结束在目前规则链中的过滤程序，返回主规则链继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于提早结束子程序并返回到主程序中。

MARK  将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。范例如下：

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 22

保存规则

使用iptables程序建立的规则只会保存在内存中，通常我们在修改了iptables的规则重启 iptables 后，之前修改的规则又消失了。那么如何保存新建立的规则呢？

方法1、对于RHEL和ceontos系统可以使用service iptables save将当前内存中的规则保存到 /etc/sysconfig/iptables 文件中

[root@lampbo ~]# service iptables save

方法2、修改/etc/sysconfig/iptables-config 将里面的IPTABLES_SAVE_ON_STOP="no", 这一句的"no"改为"yes"这样每次服务在停止之前会自动将现有的规则保存在 /etc/sysconfig/iptables 这个文件中去。

加入开机启动项

chkconfig --level 345 iptables on

UBUNTU系统   

没有上述东西，只能使用保存命令保存当前规则。

重启的就用自启动脚本加载已经保存的规则。

/etc/network/interfaces脚本自动应用

auto eth0 iface eth0 inet dhcp

pre-up iptables-restore </etc/iptables.up.rules post-down iptables-save >/etc/iptables.up.rules

iptables --save

https://wangchujiang.com/linux-command/c/iptables.html#%E5%90%AF%E5%8A%A8%E7%BD%91%E7%BB%9C%E8%BD%AC%E5%8F%91%E8%A7%84%E5%88%99

其他问题

ip_conntrack: table full, dropping packet的问题

在启用了iptables web服务器上，流量高的时候经常会出现下面的错误：

ip_conntrack: table full, dropping packet

这个问题的原因是由于web服务器收到了大量的连接，在启用了iptables的情况下，iptables会把所有的连接都做链接跟踪处理，这样iptables就会有一个链接跟踪表，当这个表满的时候，就会出现上面的错误。iptables的链接跟踪表最大容量为/proc/sys/net/ipv4/ip_conntrack_max，链接碰到各种状态的超时后就会从表中删除。所以解决方法一般有两个：(1)加大 ip_conntrack_max 值vi /etc/sysctl.confnet.ipv4.ip_conntrack_max = 393216net.ipv4.netfilter.ip_conntrack_max = 393216(2):降低 ip_conntrack timeout时间vi /etc/sysctl.confnet.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120上面两种方法打个比喻就是烧水水开的时候，换一个大锅。一般情况下都可以解决问题，但是在极端情况下，还是不够用，怎么办？这样就得反其道而行，用釜底抽薪的办法。iptables的raw表是不做数据包的链接跟踪处理的，我们就把那些连接量非常大的链接加入到iptables raw表。如一台web服务器可以这样：iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACKiptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

使用注意事项

在默认链规则是accept的情况下，规则最后要加drop或reject，否则相当于没加规则

一般先添加允许自己IP的所有数据包的规则，否则添加drop规则后会被屏蔽

---