迹忆客 专注技术分享

乍一看，iptables 规则可能看起来很神秘。

在本文中，我们给出了 25 条实用的 IPTables 规则，大家可以复制/粘贴这些规则并根据需要使用它们。

这些示例将作为我们调整这些规则以适应我们的特定要求的基本模板。

为了便于参考，所有这 25 条 iptables 规则都采用 shell 脚本格式：iptables-rules

1.删除现有规则

在开始构建新规则集之前，可能需要清理所有默认规则和现有规则。 使用如下所示的 iptables flush 命令来执行此操作。

$ iptables -F
# (or)
$ iptables --flush

2. 设置默认链策略

默认链策略是 ACCEPT。 将所有 INPUT、FORWARD 和 OUTPUT 链更改为 DROP，如下所示。

$ iptables -P INPUT DROP
$ iptables -P FORWARD DROP
$ iptables -P OUTPUT DROP

当我们将 INPUT 和 OUTPUT 链的默认策略设置为 DROP 时，对于拥有的每个防火墙规则要求，我们应该定义两个规则。 即一个用于传入，一个用于传出。

在下面的所有示例中，我们为每个场景设置了两条规则，因为我们已将 DROP 设置为 INPUT 和 OUTPUT 链的默认策略。

如果大家信任内部用户，则可以省略上面的最后一行。 即默认情况下不丢弃所有传出数据包。 在这种情况下，对于我们拥有的每个防火墙规则要求，我们只需定义一个规则。 即仅为传入定义规则，因为传出对所有数据包都是接受的。

注意 ：如果你不知道链是什么意思，你应该先熟悉一下 IPTables 的基础知识。

3.阻止特定的IP地址

在我们继续其他示例之前，如果我们想阻止特定的 IP 地址，我们应该首先执行此操作，如下所示。 将以下示例中的“x.x.x.x”更改为我们要阻止的特定 IP 地址。

BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP

当我们在日志文件中发现来自特定 IP 地址的一些奇怪活动时，这很有帮助，并且我们希望在进行进一步研究时暂时阻止该 IP 地址。

我们还可以使用以下变体之一，它仅阻止此 IP 地址的 eth0 连接上的 TCP 流量。

$ iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP
$ iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP

4. 允许所有传入的 SSH

以下规则允许 eth0 接口上的所有传入 ssh 连接。

$ iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

注意 ：如果我们想准确了解每个参数的含义，我们应该阅读如何添加 IPTables 防火墙规则

5. 只允许来自特定网络的传入 SSH

以下规则仅允许来自 192.168.100.X 网络的传入 ssh 连接。

$ iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

在上面的示例中，我们也可以使用完整的子网掩码来代替 /24。 即“192.168.100.0/255.255.255.0”。

6. 允许传入的 HTTP 和 HTTPS

以下规则允许所有传入的 Web 流量。 即到端口 80 的 HTTP 流量。

$ iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

以下规则允许所有传入的安全 Web 流量。 即到端口 443 的 HTTPS 流量。

$ iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

7. 使用 MultiPorts 将多个规则组合在一起

当我们允许从外部世界到多个端口的传入连接时，我们可以使用多端口扩展将它们组合在一起，而不是为每个端口编写单独的规则，如下所示。

以下示例允许所有传入的 SSH、HTTP 和 HTTPS 流量。

$ iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

8. 允许传出 SSH

以下规则允许传出 ssh 连接。 即当我们从内部 ssh 到外部服务器时。

$ iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

请注意 ，这与传入规则略有不同。 即我们在 OUTPUT 链上允许 NEW 和 ESTABLISHED 状态，在 INPUT 链上只允许 ESTABLISHED 状态。 对于传入规则，反之亦然。

9. 只允许传出 SSH 到特定网络

以下规则仅允许传出 ssh 连接到特定网络。 即我们只能从内部连接到 192.168.100.0/24 网络。

$ iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

10. 允许传出 HTTPS

以下规则允许传出安全 Web 流量。 当我们想为我们的用户允许互联网流量时，这很有帮助。 在服务器上，当我们想使用 wget 从外部下载一些文件时，这些规则也很有用。

$ iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

注意 ：对于传出的 HTTP Web 流量，添加两个额外的规则，如上，并将 443 更改为 80。

11. 负载均衡传入的 Web 流量

我们还可以使用 iptables 防火墙规则对传入的 Web 流量进行负载均衡。

这使用了 iptables 第 n 个扩展。 以下示例将 HTTPS 流量负载均衡到三个不同的 IP 地址。 对于每 3 个数据包，它被负载均衡到适当的服务器（使用计数器 0）。

$ iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
$ iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
$ iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

12. 允许从外到内Ping

以下规则允许外部用户能够 ping 我们的服务器。

$ iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$ iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

13. 允许从内到外Ping

以下规则允许我们从内部 ping 到任何外部服务器。

$ iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
$ iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14. 允许环回访问

我们应该允许在服务器上进行完全环回访问。 即使用 127.0.0.1 访问

$ iptables -A INPUT -i lo -j ACCEPT
$ iptables -A OUTPUT -o lo -j ACCEPT

15. 允许内部网络到外部网络

在防火墙服务器上，一个以太网卡连接到外部，另一个以太网卡连接到内部服务器，使用以下规则允许内部网络与外部网络通信。

本例中eth1连接外网（internet），eth0连接内网（例如：192.168.1.x）。

$ iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

16.允许出站DNS

以下规则允许传出 DNS 连接。

$ iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
$ iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17. 允许 NIS 连接

如果我们正在运行 NIS 来管理用户帐户，我们应该允许 NIS 连接。 即使允许 SSH 连接，如果不允许 NIS 相关的 ypbind 连接，用户将无法登录。

NIS 端口是动态的。 即当 ypbind 启动时，它会分配端口。

首先执行如下所示的 rpcinfo -p 并获取端口号。 在此示例中，它使用端口 853 和 850。

$ rpcinfo -p | grep ypbind

现在允许到端口 111 和 ypbind 使用的端口的传入连接。

$ iptables -A INPUT -p tcp --dport 111 -j ACCEPT
$ iptables -A INPUT -p udp --dport 111 -j ACCEPT
$ iptables -A INPUT -p tcp --dport 853 -j ACCEPT
$ iptables -A INPUT -p udp --dport 853 -j ACCEPT
$ iptables -A INPUT -p tcp --dport 850 -j ACCEPT
$ iptables -A INPUT -p udp --dport 850 -j ACCEPT

当我们重新启动 ypbind 时，上述操作将不起作用，因为届时它将具有不同的端口号。

有两种解决方案：1) 为我们的 NIS 使用静态 ip-address，或 2) 使用一些巧妙的 shell 脚本技术从 rpcinfo -p 命令输出中自动获取动态端口号，并使用上面的那些 iptables 规则。

18. 允许来自特定网络的 Rsync

以下规则仅允许来自特定网络的 rsync。

$ iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

19. 只允许来自特定网络的 MySQL 连接

如果我们正在运行 MySQL，通常我们不希望允许来自外部的直接连接。 在大多数情况下，我们可能在运行 MySQL 数据库的同一台服务器上运行 Web 服务器。

然而，DBA 和开发人员可能需要使用 MySQL 客户端从他们的笔记本电脑和台式机直接登录到 MySQL。 在这种情况下，我们可能希望允许我们的内部网络直接与 MySQL 通信，如下所示。

$ iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

20. 允许 Sendmail 或 Postfix 流量

以下规则允许邮件通信。 它可能是 sendmail 或 postfix。

$ iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

21. 允许 IMAP 和 IMAPS

以下规则允许 IMAP/IMAP2 流量。

$ iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

以下规则允许 IMAPS 流量。

$ iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

22. 允许 POP3 和 POP3S

以下规则允许 POP3 访问。

$ iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

以下规则允许 POP3S 访问。

$ iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

23. 防止 DoS 攻击

以下 iptables 规则将帮助我们防止对我们的网络服务器的拒绝服务 (DoS) 攻击。

$ iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

在上面的例子中：

• -m limit：这使用限制 iptables 扩展
• --limit 25/minute：这仅限制每分钟最多 25 个连接。 根据您的具体要求更改此值
• --limit-burst 100：该值表示只有在连接总数达到 limit-burst 级别后才会执行 limit/minute。

24. 端口转发

以下示例将进入端口 442 的所有流量路由到 22。这意味着传入的 ssh 连接可以来自端口 22 和 422。

$ iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

如果我们执行上述操作，我们还需要明确允许端口 422 上的传入连接。

$ iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

25. 记录丢弃的数据包

我们可能还想记录所有丢弃的数据包。 这些规则应该在底部。

首先，创建一个名为 LOGGING 的新链。

$ iptables -N LOGGING

接下来，确保所有剩余的传入连接都跳转到 LOGGING 链，如下所示。

$ iptables -A INPUT -j LOGGING

接下来，通过指定自定义“日志前缀”来记录这些数据包。

$ iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7

最后，丢弃这些数据包。

$ iptables -A LOGGING -j DROP