iptables -F?? #清除所有規(guī)則
iptables -X? #清除所有自定義規(guī)則
iptables -Z?? #各項(xiàng)計(jì)數(shù)歸零
iptables -P INPUT DROP? #將input鏈默認(rèn)規(guī)則設(shè)置為丟棄
iptables -P OUTPUT DROP? #將output鏈默認(rèn)規(guī)則設(shè)置為丟棄
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT #對(duì)運(yùn)行在本機(jī)回環(huán)地址上的所有服務(wù)放行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT? #把這條語句插在input鏈的最前面（第一條），并且對(duì)狀態(tài)為ESTABLISHED,RELATED的連接放行。
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT? #允許本機(jī)訪問其他80服務(wù)
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT #允許本機(jī)發(fā)送域名請(qǐng)求
iptables -A OUTPUT -p icmp -j ACCEPT? #對(duì)本機(jī)出去的所有icmp協(xié)議放行，其實(shí)如果僅僅只是允許本機(jī)ping別的機(jī)器，更為嚴(yán)謹(jǐn)?shù)淖龇ㄊ菍⒋苏Z句修改為：
iptables -A OUTPUT -p icmp? –icmp-type? echo-request -j ACCEPT

對(duì)狀態(tài)為ESTABLISHED和RELATED的包放行，簡(jiǎn)單的說，就是說對(duì)允許出去的包被對(duì)方主機(jī)收到后，對(duì)方主機(jī)回應(yīng)進(jìn)來的封包放行。這條語 句很重 要，可以省去寫很多iptables語句，尤其是在有ftp服務(wù)器的場(chǎng)合。你理解了這個(gè)意思，就應(yīng)該知道，有了這條語句，第6條語句其實(shí)是可以省略的。

封網(wǎng)站：
iptables -F
iptables -X
iptables -Z
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.10 -d?www.qq.com -j DROP(禁止網(wǎng)站)
iptables -A FORWARD -p tcp -s 192.168.1.11/24 -d?www.qq.com -o eth0 -j DROP（禁止網(wǎng)段）
iptables -A FORWARD -p tcp -s 192.168.1.12 -d 192.168.1.13? -o eth0 -j DROP(禁止IP)
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT （這條寫在禁止網(wǎng)站的下面）

＃安全規(guī)則類似windows防火墻
iptables -A INPUT -p tcp –dport 1:1024 -j DROP
iptables -A INPUT -p udp –dport 1:1024 -j DROP?? 這兩條可以防止nmap探測(cè)
iptables -A INPUT -p tcp –dport ** -j ACCEPT? （要開放的端口）
＃允許的端口,相對(duì)協(xié)議改一下就可以了,???????????????????????? (端口過慮)
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

iptables架設(shè)安全的vsftp服務(wù)器

在實(shí)際工作中，可用以下腳本架設(shè)一臺(tái)很的內(nèi)部FTP；當(dāng)然也可以配合Wireshark理解 vsftpd的被動(dòng)與主動(dòng)的區(qū)別，以本機(jī)192.168.0.10為例，腳本如下:

#!/bin/bash
-F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
#開啟ip轉(zhuǎn)發(fā)功能
echo “1” > /proc/sys/net/ipv4/ip_forward
#加載ftp需要的一些模塊功能
modprobe ip_conntrack_ftp
modprobe ip_conntrack-tftp
modprobe ip_nat_ftp
modprobe ip_nat_tftp
#為了更安全，將OUTPUT默認(rèn)策略定義為DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
#開放本機(jī)的lo環(huán)回口，建議開放，不開放的會(huì)出現(xiàn)些莫名其妙的問題
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#下面的腳本是架設(shè)安全的vsftpd關(guān)健,后二句腳本是放行服務(wù)器向客戶端作回應(yīng)的和已建立連接的數(shù)據(jù)包,因被動(dòng)FTP比較復(fù)雜，六次握手，所以這里采用狀態(tài)來做
iptables -A INPUT -s 192.168.0.0/24 -p tcp –dport 21 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp –sport 21 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
內(nèi)網(wǎng)web服務(wù)器 適用于中小型公司有內(nèi)網(wǎng)服務(wù)器發(fā)布的IPT
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

防止攻擊掃描
防止同步包洪水（Sync Flood）
# iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
也有人寫作
#iptables -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT
–limit 1/s 限制syn并發(fā)數(shù)每秒1次，可以根據(jù)自己的需要修改
防止各種端口掃描
# iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
Ping洪水攻擊（Ping of Death）
# iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
# Null Scan(possibly)XiKc.om
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL NONE -j DROP

#ubuntu保存與開機(jī)加載
iptables-save > iptables.up.rules
cp iptables.up.rules /etc/
vi /etc/network/interfaces

iptables-save > iptables.up.rules cp iptables.up.rules /etc/ vi /etc/network/interfaces

#在interfaces末尾加入
pre-up iptables-restore < /etc/iptables.up.rules
pre-up iptables-restore < /etc/iptables.up.rules

#也可以設(shè)置網(wǎng)卡斷開的rules。
post-down iptables-restore < /etc/iptables.down.rules
post-down iptables-restore < /etc/iptables.down.rules

#保存
service iptables save
強(qiáng)制所有的客戶機(jī)訪問192.168.1.100這個(gè)網(wǎng)站
iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.100 (PREROUTING和DNAT一起使用,POSTROUTING和SNAT一起使用)
發(fā)布內(nèi)網(wǎng)的web服務(wù)器192.168.1.10
iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT –to-destination 192.168.1.10
端口映射到內(nèi)網(wǎng)的3389
iptables -t nat -I PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 192.168.1.10:3389

---

來源：http://www.ha97.com/3929.html

?

總結(jié)

以上是生活随笔為你收集整理的Linux的iptables常用配置范例（2）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。