CentOS 7 預設使用的是firewall作為防火牆，這裡改為iptables防火牆。 1、關閉firewall systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall開機啟動 2、安裝iptables防火牆 yum install iptables-services #安裝 vi /etc/sysconfig/iptables #編輯防火牆配置檔案 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT :wq! #儲存退出 systemctl restart iptables.service #最後重啟防火牆使配置生效 systemctl enable iptables.service #設定防火牆開機啟動

20條IPTables防火牆規則用法

IPTables 包括一組內建和由使用者定義規則的「鏈」，管理員可以在「鏈」上附加各種資料包處理規則。

• FILTER 預設過濾表，內建的鏈有：

• INPUT：處理流入本地的資料包
• FORWARD：處理通過系統路由的資料包
• OUTPUT：處理本地流出的資料包

• NAT 實現網路地址轉換的表，內建的鏈有：

• PREROUTING：處理即將接收的資料包
• OUTPUT：處理本地產生的資料包
• POSTROUTING：處理即將傳出的資料包

• MANGLE 此表用於改變資料包，共 5 條鏈：

• PREROUTING：處理傳入連線
• OUTPUT：處理本地生成的資料包
• INPUT：處理報文
• POSTROUTING：處理即將傳出資料包
• FORWARD：處理通過本機轉發的資料包

接下來我們將由簡入難介紹 25 條 Linux 管理員最常會用到的 IPTables 規則。 1、啟動、停止和重啟IPTables 雖然 IPTables 並不是一項服務，但在 Linux 中還是可以像服務一樣對其狀態進行管理。 基於SystemD的系統 systemctl start iptablessystemctl stop iptablessystemctl restart iptables 基於SysVinit的系統  /etc/init.d/iptables start/etc/init.d/iptables stop/etc/init.d/iptables restart 2、檢視IPtables防火牆策略 你可以使用如下命令來檢視 IPtables 防火牆策略：  iptables -L -n -v 以上命令應該返回資料下圖的輸出： 以上命令是檢視預設的 FILTER 表，如果你只希望檢視特定的表，可以在 -t 引數後跟上要單獨檢視的表名。例如只檢視 NAT 表中的規則，可以使用如下命令：  iptables -t nat -L -v –n 3、遮蔽某個IP地址 如果你釋出有某個 IP 向伺服器匯入攻擊或非正常流量，可以使用如下規則遮蔽其 IP 地址：  iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP 注意需要將上述的 XXX 改成要遮蔽的實際 IP 地址，其中的 -A 引數表示在 INPUT 鏈的最後追加本條規則。（IPTables 中的規則是從上到下匹配的，一旦匹配成功就不再繼續往下匹配） 如果你只想遮蔽 TCP 流量，可以使用 -p 引數的指定協議，例如： iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP 4、解封某個IP地址 要解封對 IP 地址的遮蔽，可以使用如下命令進行刪除：  iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP 其中 -D 引數表示從鏈中刪除一條或多條規則。 5、使用IPtables關閉特定埠 很多時候，我們需要阻止某個特定埠的網路連線，可以使用 IPtables 關閉特定埠。 阻止特定的傳出連線：  iptables -A OUTPUT -p tcp --dport xxx -j DROP 阻止特定的傳入連線： iptables -A INPUT -p tcp --dport xxx -j ACCEPT 6、使用Multiport控制多埠 使用 multiport 我們可以一次性在單條規則中寫入多個埠，例如： iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPTiptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT 7、在規則中使用 IP 地址範圍 在 IPtables 中 IP 地址範圍是可以直接使用 CIDR 進行表示的，例如： iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT 8、配置埠轉發 有時我們需要將 Linux 伺服器的某個服務流量轉發到另一埠，此時可以使用如下命令： iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525 上述命令會將所有到達 eth0 網絡卡 25 埠的流量重定向轉發到 2525 埠。 9、遮蔽HTTP服務Flood攻擊 有時會有使用者在某個服務，例如 HTTP 80 上發起大量連線請求，此時我們可以啟用如下規則： iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT 上述命令會將連線限制到每分鐘 100 個，上限設定為 200。 10、禁止PING 對 Linux 禁 PING 可以使用如下規則遮蔽 ICMP 傳入連線： iptables -A INPUT -p icmp -i eth0 -j DROP 11、允許訪問迴環網絡卡 環回訪問（127.0.0.1）是比較重要的，建議大家都開放： iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT 12、遮蔽指定MAC地址 使用如下規則可以遮蔽指定的 MAC 地址： iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP 13、限制併發連線數 如果你不希望來自特定埠的過多併發連線，可以使用如下規則： iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT 以上規則限制每客戶端不超過 3 個連線。 14、清空IPtables規則 要清空 IPtables 鏈可以使用如下命令： iptables -F 要清空特定的表可以使用 -t 引數進行指定，例如： iptables -t nat –F 15、儲存IPtables規則 預設情況下，管理員對 IPtables 規則的操作會立即生效。但由於規則都是儲存在記憶體當中的，所以重啟系統會造成配置丟失，要永久儲存 IPtables 規則可以使用 iptables-save 命令： iptables-save > ~/iptables.rules 儲存的名稱大家可以自己改。 16、還原IPtables規則 有儲存自然就對應有還原，大家可以使用 iptables-restore 命令還原已儲存的規則： iptables-restore < ~/iptables.rules 17、允許建立相關連線 隨著網路流量的進出分離，要允許建立傳入相關連線，可以使用如下規則： iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 允許建立傳出相關連線的規則： iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT 18、丟棄無效資料包 很多網路攻擊都會嘗試用黑客自定義的非法資料包進行嘗試，我們可以使用如下命令來丟棄無效資料包： iptables -A INPUT -m conntrack --ctstate INVALID -j DROP 19、IPtables遮蔽郵件傳送規則 如果你的系統不會用於郵件傳送，我們可以在規則中遮蔽 SMTP 傳出埠： iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT 20、阻止連線到某塊網絡卡 如果你的系統有多塊網絡卡，我們可以限制 IP 範圍訪問某塊網絡卡： iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP 源地址可以是 IP 或 CIDR。 儲存設定的規則到配置檔案 service iptables save iptables –F  #刪除已經存在的規則  iptables -P INPUT DROP  #配置預設的拒絕規則。基本規則是：先拒絕所有的服務，然後根據需要再新增新的規則。  iptables -A INPUT -p tcp --dport 80 -j ACCEPT  #開啟WEB服務埠的tcp協議  iptables -A INPUT -p tcp --dport 110 -j ACCEPT  #開啟POP3服務埠的tcp協議  iptables -A INPUT -p tcp --dport 25 -j ACCEPT  #開啟SMTP服務埠的tcp協議  iptables -A INPUT -p tcp --dport 21 -j ACCEPT  #開啟FTP服務埠的tcp協議  iptables -A INPUT -p tcp -s 202.106.12.130 --dport 22 -j ACCEPT  #允許IP地址為202.106.12.130這臺主機連線本地的SSH服務埠  iptables -A INPUT -p tcp --dport 53 -j ACCEPT  #允許DNS服務埠的tcp資料包流入  iptables -A INPUT -p udp --dport 53 -j ACCEPT  #允許DNS服務埠的udp資料包流入  iptables -A INPUT -p icmp -icmp-type echo-request -i eth1 -j DROP  #防止死亡之ping，從介面eth1進入的icmp協議的請求全部丟棄。  iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT  #防止SYN Flood (拒絕服務攻擊) iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.226 -j MASQUERADE #允許 192.168.0.226通過eth1 IP偽裝出外網 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.4 -p tcp --dport 25 -j MASQUERADE #允許 192.168.0.4通過eth0 偽裝訪問外網的 25埠