轉自:http://my.oschina.net/HankCN/blog/117796
1.Filter表:過濾數據包,默認表。
(1)INPUT 鏈:過濾所有目標地址是本機的數據包(對進入本機數據包的過濾)
(2)OUTPUT 鏈:過濾所有本機產生的數據包(對源地址得數據包的過濾)
(3)FORWARD鏈:過濾所有路過本機的數據包(源地址和目標地址都不是本機的數據包。
2.NAT表:網絡地址轉換(Network Address Translation)
如果第一個數據包允許經行NAT或Masquerade,那麼其它數據包都會被做相同的動作,也就是其他數據包不會被一個一個地NAT(屬於一個流的包只會經過這個表一次)任何時候都不要在這個表任何一條鏈經行過濾。
包括三個動作
(1)DNAT:改變數據包的目的地址使包能重路由到某臺機器(使公網能夠訪問局域網的服務器)
(2)SNAT: 改變數據包的源地址(使局域網能訪問公網)
(3)NASQUERADE:和SNAT一樣使局域網能訪問公網,無固定IP使用PPP.PPPoE等撥號上網接入Internet
Nat表包含3條鏈:
(1)PREROUTING鏈 :數據包到達防火牆時改變包的目的地址。
(2)OUTPUT鏈:改變本地產生數據包的目標地址。
(3)POSTROUTING:在數據包離開防火牆時改變數據包的源地址。
Mangle表:修改數據包,改變包頭中內容(TTL, TOS, MARK )
(1)TOS :設置改變數據包的服務類型,不要使用TOS設置發往Internet的包除非打算依賴TOS來路由,不能在表中配置任何過濾。SNAT、DNAT
(2)TTL:改變數據包的生存時間,可以讓數據包只有一個特殊的TTL,欺騙ISP,有些ISP並不希望多臺計算機共享一個連接訪問Internet,ISP通過檢查一臺計算機所發出的數據包是否含有不同的TTL來判斷。
(3)Mask:給數據包設置特殊的標記,通過標記配置帶寬限制和基於請求分類。
Mangle表的5條鏈:
(1)PREROUTING 鏈:數據包進入防火牆後,路由判斷之前改變數據包。
(2)POSTROUTING鏈:數據包確定了目標地址後,即路由判斷前改變數據包。
(3)OUTPUT鏈:在數據包被確定目的地址前改變數據包
(4)INPUT鏈:在數據包進入本機後,應用程序接受之前改變數據包。
(5)FORWARD鏈:第一次路由判斷之後,最後一次路由判斷前改變數據包。
IPTABLES中數據包和4種被跟蹤連接的4種不同狀態。
(1)NEW : 該包想要開始一個連接(重新連接或將連接重定向)
(2)RELATED:該包是屬於某個已經建立的連接所建立的新連接。例如:FTP的數據傳輸連接就是控制連接所 RELATED出來的連接。
–icmp-type 0 ( ping 應答) 就是–icmp-type 8 (ping 請求)所RELATED出來的
(3)ESTABLISHED :只要發送並接到應答,一個數據連接從NEW變爲ESTABLISHED,而且該狀態會繼續匹配這個連接的後續數據包。
INVALID:數據包不能被識別屬於哪個連接或沒有任何狀態比如內存溢出,收到不知屬於哪個連接的ICMP錯誤信息,一般應該DROP這個狀態的任何數據。
常用命令列表:
命令 -A, –append
範例 iptables -A INPUT …
說明 新增規則到某個規則煉中,該規則將會成爲規則煉中的最後一條規則。
命令 -D, –delete
範例 iptables -D INPUT –dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規則煉中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。
命令 -R, –replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現行規則,規則被取代後並不會改變順序。
命令 -I, –insert
範例 iptables -I INPUT 1 –dport 80 -j ACCEPT
說明 插入一條規則,原本該位置上的規則將會往後移動一個順位。
命令 -L, –list
範例 iptables -L INPUT
說明 列出某規則煉中的所有規則。
命令 -F, –flush
範例 iptables -F INPUT
說明 刪除某規則煉中的所有規則。
命令 -Z, –zero
範例 iptables -Z INPUT
說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
命令 -N, –new-chain
範例 iptables -N allowed
說明 定義新的規則煉。
命令 -X, –delete-chain
範例 iptables -X allowed
說明 刪除某個規則煉。
命令 -P, –policy
範例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
命令 -E, –rename-chain
範例 iptables -E allowed disallowed
說明 修改某自訂規則煉的名稱。
常用封包比對參數:
參數 -p, –protocol
範例 iptables -A INPUT -p tcp
說明 比對通訊協議類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含 udp、icmp …等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。
參數 -s, –src, –source
範例 iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時也可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。
參數 -d, –dst, –destination
範例 iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設定方式同上。
參數 -i, –in-interface
範例 iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網卡進入,可以使用通配字符 + 來做大範圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也可以使用 ! 運算子進行反向比對,例如:-i ! eth0。
參數 -o, –out-interface
範例 iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網卡送出,設定方式同上。
參數 –sport, –source-port
範例 iptables -A INPUT -p tcp –sport 22
說明 用來比對封包的來源埠號,可以比對單一埠,或是一個範圍,例如:–sport 22:80,表示從 22 到 80
埠之間都算是符合條件,如果要比對不連續的多個埠,則必須使用 –multiport 參數,詳見後文。比對埠號時,可以使用 !
運算子進行反向比對。
參數 –dport, –destination-port
範例 iptables -A INPUT -p tcp –dport 22
說明 用來比對封包的目的地埠號,設定方式同上。
參數 –tcp-flags
範例 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP
封包的狀態旗號,參數分爲兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設定,未被列舉的旗號必須是空的。TCP
狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(強迫推送)
等均可使用於參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運算子進行反向比對。
參數 –syn
範例 iptables -p tcp –syn
說明 用來比對是否爲要求聯機之 TCP 封包,與 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 運算子,可用來比對非要求聯機封包。
參數 -m multiport –source-port
範例 iptables -A INPUT -p tcp -m multiport –source-port 22,53,80,110
說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。
參數 -m multiport –destination-port
範例 iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80,110
說明 用來比對不連續的多個目的地埠號,設定方式同上。
參數 -m multiport –port
範例 iptables -A INPUT -p tcp -m multiport –port 22,53,80,110
說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本範例中,如果來源端口號爲 80 但目的地埠號爲 110,這種封包並不算符合條件。
參數 –icmp-type
範例 iptables -A INPUT -p icmp –icmp-type 8
說明 用來比對 ICMP 的類型編號,可以使用代碼或數字編號來進行比對。請打 iptables -p icmp –help 來查看有哪些代碼可以用。
參數 -m limit –limit
範例 iptables -A INPUT -m limit –limit 3/hour
說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。
除了每小時平均一次外,也可以每秒鐘、每分鐘或每天平均一次,默認值爲每小時平均一次,參數如後: /second、 /minute、/day。
除了進行封包數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。
參數 –limit-burst
範例 iptables -A INPUT -m limit –limit-burst 5
說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時涌入的封包是否超過 5 個(這是默認值),超過此上限的封包將被直接丟棄。使用效果同上。
參數 -m mac –mac-source
範例 iptables -A INPUT -m mac –mac-source 00:00:00:00:00:01
說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting
規則煉上,這是因爲封包要送出到網卡後,才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables
在進行封包比對時,並不知道封包會送到哪個網絡接口去。
參數 –mark
範例 iptables -t mangle -A INPUT -m mark –mark 1
說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最大不可以超過 4294967296。
參數 -m owner –uid-owner
範例 iptables -A OUTPUT -m owner –uid-owner 500
說明 用來比對來自本機的封包,是否爲某特定使用者所產生的,這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。
參數 -m owner –gid-owner
範例 iptables -A OUTPUT -m owner –gid-owner 0
說明 用來比對來自本機的封包,是否爲某特定使用者羣組所產生的,使用時機同上。
參數 -m owner –pid-owner
範例 iptables -A OUTPUT -m owner –pid-owner 78
說明 用來比對來自本機的封包,是否爲某特定行程所產生的,使用時機同上。
參數 -m owner –sid-owner
範例 iptables -A OUTPUT -m owner –sid-owner 100
說明 用來比對來自本機的封包,是否爲某特定聯機(Session ID)的響應封包,使用時機同上。
參數 -m state –state
範例 iptables -A INPUT -m state –state RELATED,ESTABLISHED
說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。
ESTABLISHED 表示該封包屬於某個已經建立的聯機。
NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。
RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。
常用的處理動作:
-j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:
ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則煉(nat:postrouting)。
REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP
echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接 中斷過濾程序。
範例如下:
iptables -A FORWARD -p TCP –dport 22 -j REJECT –reject-with tcp-reset
DROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程序。
REDIRECT 將封包重新導向到另一個端口(PNAT),進行完此處理動作後,將 會繼續比對其它規則。 這個功能可以用來實作通透式 porxy
或用來保護 web 服務器。例如:iptables -t nat -A PREROUTING -p tcp –dport 80 -j
REDIRECT –to-ports 8080
MASQUERADE 改寫封包來源 IP 爲防火牆 NIC IP,可以指定 port
對應的範圍,進行完此處理動作後,直接跳往下一個規則煉(mangle:postrouting)。這個功能與 SNAT 略有不同,當進行 IP 僞裝時,不需指定要僞裝成哪個 IP,IP 會從網卡直接讀取,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE 特別有用。範例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE –to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其它規則。例如:
iptables -A INPUT -p tcp -j LOG –log-prefix “INPUT packets”
SNAT 改寫封包來源 IP 爲某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將直接跳往下一個規則煉(mangle:postrouting)。範例如下:
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 爲某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將會直接跳往下一個規則煉(filter:input 或 filter:forward)。範例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 –dport 80 -j DNAT –to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程序。
QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,可以進行其它應用,例如:計算聯機費用…….等。
RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程序,那麼這個動作,就相當於提早結束子程序並返回到主程序中。
MARK 將封包標上某個代號,以便提供作爲後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。範例如下:
iptables -t mangle -A PREROUTING -p tcp –dport 22 -j MARK –set-mark 2
開始實驗
如果你的IPTABLES基礎知識還不瞭解,建議先去看看.
開始配置
我們來配置一個filter表的防火牆.
(1)查看本機關於IPTABLES的設置情況 默認查看INPUT FORWARD OUTPUT三個表的策略。
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT) Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all – 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp – 192.168.181.34 0.0.0.0/0 tcp dpt:22
ACCEPT tcp – 192.168.181.35 0.0.0.0/0 tcp dpt:22
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all – 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp – 192.168.181.33 0.0.0.0/0 tcp spt:22
如果你在安裝linux時沒有選擇啓動防火牆,是這樣的
什麼規則都沒有.
(2)清除原有規則.
不管你在安裝linux時是否啓動了防火牆,如果你想配置屬於自己的防火牆,那就清除現在filter的所有規則.
[root@tp ~]# iptables -F 清除預設表filter中的所有規則鏈的規則
[root@tp ~]# iptables -X 清除預設表filter中使用者自定鏈中的規則
[root@tp ~]# iptables -Z 清楚預設表filter中計數器
我們在來看一下
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什麼都沒有了吧,和我們在安裝linux時沒有啓動防火牆是一樣的.(提前說一句,這些配置就像用命令配置IP一樣,重起就會失去作用),怎麼保存.
[root@tp ~]# /etc/rc.d/init.d/iptables save
這樣就可以寫到/etc/sysconfig/iptables文件裏了.寫入後記得把防火牆重起一下,才能起作用.
[root@tp ~]# service iptables restart
現在IPTABLES配置表裏什麼配置都沒有了,那我們開始我們的配置吧
(3)設定預設規則
到這最好做一個shellscript.
# vi ipt.sh
#!/bin/bash
#iptables init
iptables -F
iptables -X
iptables -Z
#set the default rules
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
service iptables save
echo “————————————————————————”
iptables -L -n
echo “————————————————————————-”
> # bash ./ipt.sh
上面的意思是,當超出了IPTABLES裏filter表裏的兩個鏈規則(INPUT,FORWARD)時,不在這兩個規則裏的數據包怎麼處理呢,那就是DROP(放棄).應該說這樣配置是很安全的.我們要控制流入數據包
而對於OUTPUT鏈,也就是流出的包我們不用做太多限制,而是採取ACCEPT,也就是說,不在着個規則裏的包怎麼辦呢,那就是通過.
注:如果你是遠程SSH登陸的話,當你輸入第一個命令回車的時候就應該掉了.因爲你沒有設置任何規則.
怎麼辦,去本機操作唄!
(4)添加規則.
首先添加INPUT鏈,INPUT鏈的默認規則是DROP,所以我們就寫需要ACCETP(通過)的鏈
爲了能採用遠程SSH登陸,我們要開啓22端口.
到這塊就和其他博客不一樣了。
開啓SSH所需要打開22端口
iptables -A INPUT (-s 192.168.181.34) -p tcp –dport 22 -j ACCEPT #進入INPUT的來源IP
iptables -A OUTPUT (-s 192.168.181.33) -p tcp –sport 22 -j ACCEPT #出去OUTPUT的來源IP(基本都是本機)
如果做了WEB服務器,開啓80端口.
# iptables -A INPUT -p tcp –dport 80 -j ACCEPT
如果做了郵件服務器,開啓25,110端口.
# iptables -A INPUT -p tcp –dport 110 -j ACCEPT
# iptables -A INPUT -p tcp –dport 25 -j ACCEPT
如果做了FTP服務器,開啓21端口
# iptables -A INPUT -p tcp –dport 21 -j ACCEPT
# iptables -A INPUT -p tcp –dport 20 -j ACCEPT
如果做了DNS服務器,開啓53端口
# iptables -A INPUT -p tcp –dport 53 -j ACCEPT
如果你還做了其他的服務器,需要開啓哪個端口,照寫就行了.
上面主要寫的都是INPUT鏈,凡是不在上面的規則裏的,都DROP
允許icmp包通過,也就是允許ping,
# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話)
# iptables -A INPUT -p icmp -j ACCEPT (INPUT設置成DROP的話)
允許loopback!(不然會導致DNS無法正常關閉等問題)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
下面寫OUTPUT鏈,OUTPUT鏈默認規則是ACCEPT,所以我們就寫需要DROP(放棄)的鏈.
減少不安全的端口連接
# iptables -A OUTPUT -p tcp –sport 31337 -j DROP
# iptables -A OUTPUT -p tcp –dport 31337 -j DROP
有些些特洛伊木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務。既然合法服務都不使用這些非標準端口來通信,阻塞這些端口能夠有效地減少你的網絡上可能被感染的機器和它們的遠程主服務器進行獨立通信的機會
還有其他端口也一樣,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也應被禁止,我在這寫的也不全,有興趣的朋友應該去查一下相關資料.
當然出入更安全的考慮你也可以包OUTPUT鏈設置成DROP,那你添加的規則就多一些,就像上邊添加
允許SSH登陸一樣.照着寫就行了.
下面寫一下更加細緻的規則,就是限制到某臺機器
如:我們只允許192.168.0.3的機器進行SSH連接
# iptables -A INPUT -s 192.168.0.3 -p tcp –dport 22 -j ACCEPT
如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子網掩碼數.但要記得把 /etc/sysconfig/iptables 裏的這一行刪了.
-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT 因爲它表示所有地址都可以登陸.
或採用命令方式:
# iptables -D INPUT -p tcp –dport 22 -j ACCEPT
然後保存,我再說一邊,反是採用命令的方式,只在當時生效,如果想要重起後也起作用,那就要保存.寫入到/etc/sysconfig/iptables文件裏.
# /etc/rc.d/init.d/iptables save
這樣寫 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的規則連接也一樣這麼設置.
在下面就是FORWARD鏈,FORWARD鏈的默認規則是DROP,所以我們就寫需要ACCETP(通過)的鏈,對正在轉發鏈的監控.
開啓轉發功能,(在做NAT時,FORWARD默認規則是DROP時,必須做)
# iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丟棄壞的TCP包
#iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP
處理IP碎片數量,防止攻擊,允許每秒100個
#iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
設置ICMP包過濾,允許每秒1個包,限制觸發條件是10個包.
#iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
我在前面只所以允許ICMP包通過,就是因爲我在這裏有限制.
二,配置一個NAT表放火牆
1,查看本機關於NAT的設置情況
[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all – 192.168.0.0/24 anywhere to:211.101.46.235
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
當然你如果還沒有配置NAT的話,你也不用清除規則,因爲NAT在默認情況下是什麼都沒有的
如果你想清除,命令是
# iptables -F -t nat
# iptables -X -t nat
# iptables -Z -t nat
2,添加規則
添加基本的NAT地址轉換,(關於如何配置NAT可以看我的另一篇文章),
添加規則,我們只添加DROP鏈.因爲默認鏈全是ACCEPT.
防止外網用內網IP欺騙
# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
如果我們想,比如阻止MSN,QQ,BT等的話,需要找到它們所用的端口或者IP,(個人認爲沒有太大必要)
例:
禁止與211.101.46.253的所有連接
# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
禁用FTP(21)端口
# iptables -t nat -A PREROUTING -p tcp –dport 21 -j DROP
這樣寫範圍太大了,我們可以更精確的定義.
# iptables -t nat -A PREROUTING -p tcp –dport 21 -d 211.101.46.253 -j DROP
這樣只禁用211.101.46.253地址的FTP連接,其他連接還可以.如web(80端口)連接.
按照我寫的,你只要找到QQ,MSN等其他軟件的IP地址,和端口,以及基於什麼協議,只要照着寫就行了.
最後:
drop非法連接
# iptables -A INPUT -m state –state INVALID -j DROP
# iptables -A OUTPUT -m state –state INVALID -j DROP
# iptables-A FORWARD -m state –state INVALID -j DROP
允許所有已經建立的和相關的連接
# iptables-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# iptables-A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# /etc/rc.d/init.d/iptables save