iptables入門教程--設置靜態防火牆

1、iptables介紹

iptables是複雜的，它集成到linux內核中。用戶通過iptables，可以對進出你的計算機的數據包進行過濾。通過iptables命令設置你的規則，來把守你的計算機網絡──哪些數據允許通過，哪些不能通過，哪些通過的數據進行記錄（log）。接下來，我將告訴你如何設置自己的規則，從現在就開始吧。



2、初始化工作

在shell提示符 # 下打入

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

以上每一個命令都有它確切的含義。一般設置你的iptables之前，首先要清除所有以前設置的規則，我們就把它叫做初始化好了。雖然很多情況下它什麼也不做，但是保險起見，不妨小心一點吧！ 如果你用的是redhat 或fedora，那麼你有更簡單的辦法

service iptables stop



3、開始設置規則:

接下下開始設置你的規則了

iptables -P INPUT DROP

這一條命令將會爲你構建一個非常“安全”的防火牆，我很難想象有哪個hacker能攻破這樣的機器，因爲它將所有從網絡進入你機器的數據丟棄(drop) 了。這當然是安全過頭了，此時你的機器將相當於沒有網絡。如果你ping localhost，你就會發現屏幕一直停在那裏，因爲ping收不到任何迴應。


4 、添加規則

接着上文繼續輸入命令：

iptables -A INPUT -i ! ppp0 -j ACCEPT

這條規則的意思是：接受所有的，來源不是網絡接口ppp0的數據。

我們假設你有兩個網絡接口，eth0連接局域網，loop是迴環網（localhost）。ppp0是一般的adsl上網的internet網絡接口，如果你不是這種上網方式，那則有可能是eth1。在此我假設你是adsl上網，你的internet接口是ppp0

此時你即允許了局域網的訪問，你也可以訪問localhost

此時再輸入命令 ping localhost，結果還會和剛纔一樣嗎？

到此我們還不能訪問www,也不能mail，接着看吧。



5、我想訪問www

iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT

允許來自網絡接口ppp0(internet接口)，並且來源端口是80的數據進入你的計算機。
80端口正是www服務所使用的端口。

好了，現在可以看網頁了。但是，你能看到嗎？


如果你在瀏覽器的地址中輸入www.baidu.com，能看到網頁嗎？

你得到的結果一定是：找不到主機www.baidu.com

但是，如果你再輸入220.181.27.5,你仍然能夠訪問baidu的網頁。

爲什麼？如果你瞭解dns的話就一定知道原因了。

因爲如果你打入www.baidu.com,你的電腦無法取得www.baidu.com這個名稱所能應的ip地址220.181.27.5。如果你確實記得這個ip，那麼你仍然能夠訪問www,你當然可以只用ip來訪問www，如果你想挑戰你的記憶的話^ _ ^，當然，我們要打開DNS。


6、打開dns端口

打開你的dns端口，輸入如下命令：

iptables -A INPUT -i ppp0 -p udp -sport 53 -j ACCEPT

這條命令的含義是，接受所有來自網絡接口ppp0,upd協議的53端口的數據。53也就是著名的dns端口。

此時測試一下，你能通過主機名稱訪問www嗎？你能通過ip訪問www嗎？

當然，都可以！



7、查看防火牆

　此時可以查看你的防火牆了

iptables -L

　如果你只想訪問www，那麼就可以到此爲止，你將只能訪問www了。 不過先別急，將上面講的內容總結一下，寫成一個腳本。



#!/bin/bash

# This is a script

# Edit by liwei

# establish static firewall

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -P INPUT DROP

iptables -A INPUT -i ! ppp0 -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT



8、複雜嗎?到此iptables可以按你的要求進行包過濾了。你可以再設定一些端口，允許你的機器訪問這些端口。這樣有可能，你不能訪問QQ，也可能不能打網絡遊戲，是好是壞，還是要看你自己而定了。順便說一下，QQ這個東西還真是不好控制，用戶與服務器連接使用的好像是8888端口，而QQ上好友互發消息使用的又是udp的4444端口(具體是不是4444還不太清楚)。而且QQ還可以使用www的80端口進行登錄併發消息，看來學無止境，你真的想把這個傢伙控制住還不容易呢？還是進入我們的正題吧。

如果你的機器是服務器，怎麼辦？


9、如果不巧你的機器是服務器，並且要提供www服務。顯然，以上的腳本就不能符合我們的要求了。但只要你撐握了規則，稍作修改同樣也能很好的工作。在最後面加上一句

iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

這一句也就是將自己機器上的80端口對外開放了,這樣internet上的其他人就能訪問你的www了。當然，你的www服務器得工作纔行。如果你的機器同時是smtp和pop3服務器，同樣的再加上兩條語句,將--dport後面的80改成25和110就行了。如果你還有一個ftp服務器，呵呵，如果你要打開100個端口呢……

我們的工作好像是重複性的打入類似的語句，你可能自己也想到了，我可以用一個循環語句來完成，對，此處可以有效的利用shell腳本的功能，也讓你體驗到了shell腳本語言的威力。看下文：


10、用腳本簡化你的工作,閱讀下面的腳本

#!/bin/bash

# This is a script

# Edit by liwei

# establish a static firewall



# define const here

Open_ports="80 25 110 10" # 自己機器對外開放的端口

Allow_ports="53 80 20 21" # internet的數據可以進入自己機器的端口



#init

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -P INPUT DROP #we can use another method to instead it

iptables -A INPUT -i ! ppp0 -j ACCEPT



# define ruler so that some data can come in.

for Port in "$Allow_ports" ; do

iptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT

iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT

done

for Port in "$Open_ports" ; do

iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT

iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT

done



這個腳本有三個部分（最前面的一段是註釋，不算在這三部分中）

第一部分是定義一些端口：訪問你的機器"Open_ports"端口的數據，允許進入；來源是"Allow_ports"端口的數據，也能夠進入。

第二部分是iptables的初始化，第三部分是對定義的端口具體的操作。

如果以後我們的要求發生了一些變化，比如,你給自己的機器加上了一個ftp服務器，那麼只要在第一部分"Open_ports"的定義中，將ftp對應的20與21端口加上去就行了。呵呵，到此你也一定體會到了腳本功能的強大的伸縮性，但腳本的能力還遠不止這些呢！



11、使你的防火牆更加完善

看上面的腳本init部分的倒數第二句

iptables -P INPUT DROP

這是給防火牆設置默認規則。當進入我們計算機的數據，不匹配我們的任何一個條件時，那麼就由默認規則來處理這個數據----drop掉，不給發送方任何應答。

也就是說，如果你從internet另外的一臺計算機上ping你的主機的話，ping會一直停在那裏，沒有迴應。

如果黑客用namp工具對你的電腦進行端口掃描，那麼它會提示黑客，你的計算機處於防火牆的保護之中。我可不想讓黑客對我的計算機瞭解太多，怎麼辦，如果我們把drop改成其他的動作，或許能夠騙過這位剛出道的黑客呢。

怎麼改呢？將剛纔的那一句( iptables -P INPUT DROP )去掉，在腳本的最後面加上

iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset

iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable

這樣就好多了，黑客雖然能掃描出我們所開放的端口，但是他卻很難知道，我們的機器處在防火牆的保護之中。如果你只運行了ftp並且僅僅對局域網內部訪問, 他很難知道你是否運行了ftp。在此我們給不應該進入我們機器的數據，一個欺騙性的回答，而不是丟棄(drop)後就不再理會。這一個功能，在我們設計有狀態的防火牆中(我這裏講的是靜態的防火牆)特別有用。

你可以親自操作一下，看一看修改前後用namp掃描得到的結果會有什麼不同？



12、這個教程我想到此就結束了，其中有很多東西在這裏沒有提到，如ip僞裝，端口轉發，對數據包的記錄功能。還有一個很重要的東西就是： iptables處理數據包的流程.在這裏我想告訴你，你設置的過濾規則的順序很重要，在此不宜詳細介紹，因爲這樣一來，這個教程就會拘泥於細節。

iptables是複雜的，我在linuxsir上看過很多教程，它們往往多而全，反而讓人望而生畏，希望我的這個教程，能夠指導你入門。加油！

最後，我把完整的腳本寫出來如下，你只要修改常量定義部分，就能表現出較大的伸縮性^_^

#!/bin/bash

# This is a script

# Edit by liwei

# establish a static firewall



# define const here

Open_ports="80 25 110 10" # 自己機器對外開放的端口

Allow_ports="53 80 20 21" # internet的數據可以進入自己機器的端口



#init

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

# The follow is comment , for make it better
# iptables -P INPUT DROP

iptables -A INPUT -i ! ppp0 -j ACCEPT



# define ruler so that some data can come in.

for Port in "$Allow_ports" ; do
ptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
done

for Port in "$Open_ports" ; do
iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
done

# This is the last ruler , it can make you firewall better
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable