IPTABLES-FLITER

一、防火墙基本应用  
1.禁止访问本机的Web服务（-p  tcp  --dport  80）  iptables -t filter -nL    查看filter表所有规则   iptables -t filter -F     清空filter表所有规则   iptables -t filter -A INPUT  -p tcp --dport 80 -j REJECT   
为filter表的INPUT链添加规则，协议时tcp目标端口为80的，拒绝   iptables -t filter -nL --line    查看filter表所有规则，加行号 
2.禁止本机访问其他主机的FTP服务
iptables -t filter -nL --line 
iptables -t filter -A OUTPUT   -p tcp --dport 21    -j REJECT 
iptables -t filter -nL --line  
3.拒绝ping本机
iptables -t filter -nL --line 
iptables -t filter -A INPUT  -p icmp -j REJECT 
iptables -t filter -nL --line
 
4.禁止访问本机的DNS服务（查询、下载）
iptables -t filter -nL --line 
iptables -t filter -A INPUT       -p udp --dport 53 -j REJECT 
iptables -t filter -A INPUT       -p tcp --dport 53 -j REJECT 
iptables -t filter -nL --line   
[[email protected] /]# iptables -t filter -nL --line 
[[email protected] /]# iptables -t filter -I INPUT          -s 192.168.4.10 -p tcp --dport 80 -j ACCEPT 
[[email protected] /]# iptables -t filter -nL --line  
[[email protected] /]# iptables -t filter -nL --line
[[email protected] /]# iptables -t filter -D INPUT 1
[[email protected] /]# iptables -t filter -nL --line
[[email protected] /]# iptables -t filter -D INPUT 2
[[email protected] /]# iptables -t filter -nL --line
[[email protected] /]# iptables -t filter -I INPUT 2        -s 192.168.4.10 -p tcp --dport 80 -j ACCEPT
[[email protected] /]# iptables -t filter -nL --line   
5.记录针对本机的SSH访问
iptables -t filter  -nL INPUT  --line 
iptables -t filter -A INPUT -p   tcp                --dport 22  -j LOG 
iptables -t filter  -nL INPUT  --line  
###################################### 
6.修改filter表INPUT链默认策略为DROP
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport  22 -j ACCEPT
iptables -nL INPUT  --line  
7.允许访问本机SSH服务
iptables -A INPUT -p tcp --dport  22 -j ACCEPT   
8.禁止访问本机的任何tcp服务
iptables -nL INPUT  --line 
iptables -A INPUT -p tcp -j REJECT 
iptables -nL INPUT --line 
9.允许访问本机的Web服务
iptables -nL INPUT  --line
iptables -I INPUT -p tcp --dport  80 -j ACCEPT
iptables -nL INPUT  --line   
iptables -P INPUT ACCEPT
iptables -F
iptables -nL INPUT  
FORWARD链练习，注意默认策略(ACCEPT)
######################################
1.禁止201.1.1.0/24通过SSH远程管理192.168.4.0/24
[[email protected] ~]# iptables -nL FORWARD
[[email protected] ~]# iptables -A FORWARD -s 201.1.1.0/24   -d 192.168.4.0/24 -p tcp --dport 22 -j REJECT
[[email protected] ~]# iptables -nL FORWARD 
2.仅允许201.1.1.0/24访问192.168.4.0/24的web服务
iptables -A FORWARD -s 201.1.1.0/24                 -d 192.168.4.0/24 -p tcp ! --dport 80 -j REJECT  
3.内网可以ping外网，但外网不能ping内网    
iptables -A FORWARD -p icmp --icmp-type ping  
-s 201.1.1.0/24 -d 192.168.4.0/24 -j REJECT 
iptables -nL FORWARD   
######################################            syn=1                     syn=1 ack=1       ack=1 
ftp   服务tcp      控制链接 21      syn=1   NEW                      syn=1 ack=1   ESTABLISHED      ack=1        数据链接 主动模式  20       syn=1     RELATED                 syn=1 ack=1  ESTABLISHED      ack=1    
二、防火墙扩展匹配
练习：识别FTP数据连接
iptables -F FORWARD
iptables -P FORWARD  DROP
iptables -A FORWARD -p tcp --sport 20：21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 20：21 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
modprobe  -l | grep ftp 
modprobe  -a  nf_conntrack_ftp 
vim /etc/rc.local     【添加FTP状态跟踪模块】
------------------------------------------------------------------------------------------------------