防火墙的设置

netfilter/iptables允许为防火墙建立可定制的规则来控制数据包过滤，并且还允许配置有状态的防火墙。

netfilter/iptables还可以实现NAT（网络地址转换）和数据包的分割等功能。

netfilter组件也称为内核空间。

iptables组件是一种工具，也称为用户空间，它使插入、修改和删除数据包过滤表中的规则变得容易。

使用用户空间（iptables）构建自己定制的规则，这些规则存储在内核空间的过滤表中。这些规则中的目标告诉内核，对满足条件的数据包采取相应的措施。 

根据规则处理数据包的类型，将规则添加到不同的链中。

处理入站数据包的规则被添加到INPUT链中。

处理出站数据包的规则被添加到OUTPUT链中。

处理正在转发的数据包的规则被添加到FORWARD链中。

这三个链是数据包过滤表（filter）中内置的缺省主规则链。每个链都可以有一个策略，即要执行的缺省操作，当数据包与链中的所有规则都不匹配时，将执行此操作（理想的策略应该丢弃该数据包）。 

数据包经过filter表的过程如图7-43所示。

图7-43  数据包经过Filter表的过程

7.3.2 iptables的语法及其使用

添加、删除和修改规则的命令语法如下：

#iptables [-t table] command [match] [target] 

1．table

[-t table]有三种可用的表选项：filter、nat和mangle。该选项不是必需的，如未指定，则filter作为缺省表。 

filter表用于一般的数据包过滤，包含INPUT、OUTPUT和FORWARD链。

nat表用于要转发的数据包，包含PREROUTING、OUTPUT和POSTROUTING链。

mangle表用于数据包及其头部的更改，包含PREROUTING和OUTPUT链。

2．command

command是iptables命令中最重要的部分，它告诉iptables命令要进行的操作，如插入规则、删除规则、将规则添加到链尾等等。常用的一些命令见表7-3：

表7-3  iptables常用命令

#iptables -A INPUT -s 192.168.0.10 -j ACCEPT 

该命令将一条规则附加到 INPUT 链的末尾，确定来自源地址 192.168.0.10 的数据包可以 ACCEPT。 

#iptables -D INPUT --dport 80 -j DROP

该命令从INPUT链删除规则。 

#iptables -P INPUT DROP 

该命令将INPUT链的缺省目标指定为 DROP。这将丢弃所有与INPUT链中任何规则都不匹配的数据包。 

3．match

match部分指定数据包与规则匹配所应具有的特征，比如源IP地址、目的IP地址、协议等。常用的规则匹配器见表7-4：

示例：

#iptables -A INPUT -p TCP，UDP

#iptables -A INPUT -p ! ICMP 

#iptables -A OUTPUT -s 192.168.0.10

#iptables -A OUTPUT -s ! 210.43.1.100 

#iptables -A INPUT -d 192.168.1.1

#iptables -A OUTPUT -d ! 210.43.1.100 

4．target

目标是由规则指定的操作，常用的一些目标和功能说明见表7-5：

5．保存规则

用上述方法建立的规则被保存到内核中，这些规则在系统重启时将丢失。如果希望在系统重启后还能使用这些规则，则必须使用iptables-save命令将规则保存到某个文件（iptables-script）中。

#iptables-save > iptables-script

执行如上命令后，数据包过滤表中的所有规则都被保存到iptables-script文件中。当系统重启时，可以执行iptables-restore iptables-script命令，将规则从文件iptables-script中恢复到内核空间的数据包过滤表中。

7.3.3防火墙的设置

实例7-2 设置防火墙

在终端窗口执行system-config-securitylevel命令，打开【安全级别设置】窗口，如图7-44所示。可以启用或停用防火墙。

下面是一个iptables的脚本实例，读者要根据自己的环境需求进行相应的调整。

#!/bin/bash

INET_IF="ppp0"    #接口

LAN_IF="eth0"        #内网接口

LAN_IP_RANGE="192.168.1.0/24"    #内网IP地址范围，用于NAT

IPT="/sbin/iptables"                #定义变量

MODPROBE="/sbin/modprobe"

$MODPROBE ip_tables            #下面9行加载相关模块

$MODPROBE iptable_nat

$MODPROBE ip_nat_ftp

$MODPROBE ip_nat_irc

$MODPROBE ipt_mark

$MODPROBE ip_conntrack

$MODPROBE ip_conntrack_ftp

$MODPROBE ip_conntrack_irc

$MODPROBE ipt_MASQUERADE

for TABLE in filter nat mangle ; do    # 清除所有防火墙规则

$IPT -t $TABLE -F

$IPT -t $TABLE -X

done

$IPT -P INPUT  DROP            #下面6行设置filter和nat表的默认策略

$IPT -P OUTPUT  ACCEPT

$IPT -P FORWARD  DROP

$IPT -t nat -P PREROUTING  ACCEPT

$IPT -t nat -P POSTROUTING  ACCEPT

$IPT -t nat -P OUTPUT  ACCEPT

#允许内网samba、smtp和pop3连接

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p tcp -m multiport --dports 1863,443,110,80,25 -j ACCEPT

$IPT -A INPUT -p tcp -s $LAN_IP_RANGE --dport 139 -j ACCEPT

#允许dns连接

$IPT -A INPUT -i $LAN_IF -p udp -m multiport --dports 53 -j ACCEPT

#为了防止Dos攻击，可以最多允许15个初始连接，超过的将被丢弃

$IPT -A INPUT -s $LAN_IP_RANGE -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -i $INET_IF -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

$IPT -A INPUT -s $LAN_IP_RANGE -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

#设置icmp阈值，记录攻击行为

$IPT -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "

$IPT -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT

$IPT -A INPUT -p icmp -j DROP

#开放的端口

$IPT -A INPUT -p TCP -i $INET_IF --dport 21 -j ACCEPT        # FTP

$IPT -A INPUT -p TCP -i $INET_IF --dport 22 -j ACCEPT        # SSH

$IPT -A INPUT -p TCP -i $INET_IF --dport 25 -j ACCEPT        # SMTP

$IPT -A INPUT -p UDP -i $INET_IF --dport 53 -j ACCEPT        # DNS

$IPT -A INPUT -p TCP -i $INET_IF --dport 53 -j ACCEPT        # DNS

$IPT -A INPUT -p TCP -i $INET_IF --dport 80 -j ACCEPT        # WWW

$IPT -A INPUT -p TCP -i $INET_IF --dport 110 -j ACCEPT        # POP3

#禁止BT连接

$IPT -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP

$IPT -A FORWARD -p tcp -m ipp2p --ares -j DROP

$IPT -A FORWARD -p udp -m ipp2p --kazaa -j DROP

#只允许每组ip同时15个80端口转发

$IPT -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 24 -j DROP

#MAC、IP地址绑定

$IPT -A FORWARD -s 192.168.0.1 -m mac --mac-source 00:E2:34:A1:56:C2 -p tcp --dport 80 -j ACCEPT

$IPT -A FORWARD -s 192.168.0.10 -m mac --mac-source 00:22:DA:32:C1:8B -p tcp --dport 80 -j ACCEPT

$IPT -A FORWARD -s 192.168.0.62 -m mac --mac-source 00:0C:A1:2E:BC:16 -p tcp --dport 80 -j ACCEPT

$IPT -A FORWARD -s 192.168.0.254 -m mac --mac-source 00:0D:E3:F2:C2:56 -p tcp --dport 80 -j ACCEPT

# 禁止192.168.0.22使用QQ

$IPT -t mangle -A POSTROUTING -m layer7 --l7proto qq -s 192.168.1.12/32 -j DROP

$IPT -t mangle -A POSTROUTING -m layer7 --l7proto qq -d 192.168.1.12/32 -j DROP

# 禁止192.168.0.22使用MSN

# $IPT -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -s 192.168.0.22/32 -j DROP

# $IPT -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -d 192.168.0.22/32 -j DROP

#192.168.0.22流量

$IPT -t mangle -A PREROUTING -s 192.168.0.22 -j MARK --set-mark 30