Linux系统iptables防火墙 实验指导书

1iptables与firewalld的关系RHEL7.0以后，使用firewalld服务取代了iptables服务，但是依然可以使用iptables服务，只是默认不开启了，iptables和firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具，是操作系统上的一种服务，将定义好的规则交给内核中的netfilter（网络过滤器）来读取，从而实现防火墙的功能，firewalld和iptables除了可以可以在inbond和outbond方向做策略限制以外，还能实现snat和dnat功能。

注意：firewalld和iptables同时只能运行一种服务，否则会出现不可预知的情况2iptables安装RHEL7.0以后，iptables默认不开启，需要安装iptables服务安装完成后3实验场景3.1源地址转换需求：源地址1（172.16.202.15）需要访问公网目的地址（192.168.111.245），源地址2（172.16.202.16）不需要访问公网。

内网两台服务器，分别为源地址1（172.16.202.15）和源地址2（172.16.202.16），公网出口处有一台centos 7.1的双网卡服务器，一个接口接内网（172.16.202.14），一个接口接外网（192.168.111.63）。

源地址1上首先需要保证和iptables服务器能够互通，并且有去往192.168.111.245的路由，路由下一跳需要指向iptables内网接口（172.16.202.14），由iptables服务器做源nat，把源地址（172.16.202.15）nat成公网接口地址（192.168.111.63），从而可以访问目的地址（192.168.111.245）。

一、首先在源地址1服务器上配置去往192.168.111.245的路由ip route add 192.168.111.245 via 172.16.202.14 //临时添加路由，重启网卡或者系统后，路由会丢失，建议做路由固化路由固化：在/etc/sysconfig/network-scripts目录下，新建一个route配置文件，vi route-eth0，新增一条路由，192.168.111.245/32 via 172.16.202.14，重启网卡即可生效二、iptables服务器上，配置snat策略iptables -t nat -A POSTROUTING -s 172.16.202.15/32 -d 192.168.111.245/32 -j SNAT --to 192.168.111.63注释：-t table table to manipulate (default: `filter') //这个选项指定命令要操作的匹配包的表。

linux iptables 防火墙添加规则《Linux iptables 防火墙添加规则》在Linux系统中，iptables是一种用于管理包过滤规则和网络地址转换的工具，也就是说，它是一个用于管理防火墙的工具。

通过iptables，用户可以对传入和传出的网络数据包进行过滤、转发、放行等操作，从而保护系统的安全性。

要添加iptables防火墙规则，首先需要了解一些基本概念。

规则由一系列规则链和规则组成，每个规则链对应于一个特定的包处理阶段，比如INPUT（入站数据包）、FORWARD（转发数据包）、OUTPUT（出站数据包）等。

而规则则定义了针对每个规则链的具体动作，比如允许、拒绝、转发等。

要添加规则，可以使用iptables命令，语法为：```iptables -A <chain> -p <protocol> --dport <port> -j <action>```具体来说，-A表示添加规则，<chain>表示规则链的名称，-p表示协议类型，--dport表示目标端口，-j表示动作。

比如，可以使用以下命令添加一条允许HTTP流量的规则：```iptables -A INPUT -p tcp --dport 80 -j ACCEPT```此外，还可以使用其他选项来指定IP地址、子网、MAC地址等，定制更精细的规则。

在添加规则之后，需要保存规则，以便系统重启后依然有效。

可以使用以下命令来保存规则：```iptables-save > /etc/iptables.rules```总的来说，通过学习iptables的基本概念和语法，用户可以灵活地配置防火墙规则，从而保护系统的安全。

毋庸置疑，良好的防火墙规则可以有效地提高系统的安全性，减少潜在的攻击风险。

iptables手册前言概述这是一篇以介绍在Linux操作系统平台上构建防火墙系统(Netfilter/Iptables)为主的科技文档，旨在帮助使用者在较短的时间内掌握管理和配置要领，为企业的网络安全提供相关的安全保障。

本文是《Linux安全应用——构建以防火墙为核心的安全管理系统》一文的姐妹篇，如果把那篇文章看成是What is it？那么，本文则以技术细节为主，即How to do？关于为什么要使用基于Linux操作系统平台的防火墙系统的原因，本文共分为两部分，第一部分具体介绍了Netfilter/Iptables的运行机制和配置管理方法，这是全文中最核心的一部分。

第二部分给出了一些具体的范例脚本供系统管理员参考。

鉴于笔者水平有限，文中有错误的地方望不吝赐教。

适用对象本文首先是为各个企业的网络系统管理员撰写的，无论是那些已经使用了基于Netfilter/Iptables防火墙系统的企业，还是那些正准备使用它的企业，本文的内容都非常适合为系统管理员们提供参考。

对于那些Linux的个人用户和爱好者，本文也不失为一篇相当有价值的参考文档，其中，相当一部分内容深入浅出的讲解能帮助读者很快的理解和掌握Netfilter/Iptables的精髓。

对于希望通过本文了解Netfilter/Iptables的读者，应至少具备一定的Linux操作系统的应用基础，比如文件操作、网络配置操作等，当然，如果使用者还具备一定的编译核心的能力那是在好不过的了。

为了更好的配置防火墙系统，使用者除了掌握Netfilter/Iptables 本身的配置管理技巧外，掌握一定的TCP/IP网络知识也是必须的，比如在缺省情况下，应该知道SMTP（Simple Mail Transfer Protocol）协议使用TCP25端口做为其对外提供服务的端口，FTP（File Transfer Protocol）协议在建立连接的整个过程中，会与客户端建立两条连接，一条是用户传输数据的，另一条则是用户控制传输的。

网络安全与管理实验报告实验名称：iptables防火墙实现安全防护和NAT 学院：计算机学院专业班级：计算机科学与技术四班学号： 14142400808姓名：罗前指导教师：刘衍斌完成日期： 2017年 5月 8日一、实验目的1.掌握在iptables中添加、修改和删除规则。

2.利用iptables防火墙实现网络安全。

二、实验内容1.网络拓扑图192.168.1.0/24Fire1 Fire2 1.清除预设表filter中所有规则链中和使用者自定链中的规则2设置链的默认策略首先允许所有的包，然后再禁止有危险的包通过防火墙3.列出链中的所有规则，默认只列出filter表4.向链中添加规则：5.使用iptables配置NAT步骤：添加基本的NAT地址转换；添加规则，在这里只添加DROP链，因为默认链全是ACCEPT，防止外网用内网IP欺骗[root@bbogpn Desktop]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.3.1 -j DROP[root@bbogpn Desktop]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.4-jDROP[root@bbogpn Desktop]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.1 -j DROP允许XP访问web主机[root@bbogpnDesktop]# iptables -L -n -vChain INPUT (policy ACCEPT 782 packets, 74731 bytes)pkts bytes target prot opt in out source destinationChain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 72 packets, 12516 bytes)pkts bytes target prot opt in out source destination [root@bbogpnDesktop]# iptables -t filter -A INPUT -s 192.168.1.1 -d 192.168.2.4 -j ACCEPT[root@bbogpnDesktop]# iptables -t filter -A INPUT -s 172.16.11.207 -d 192.168.2.4 -j DROP[root@bbogpnDesktop]# iptables -t filter -L -n -vChain INPUT (policy ACCEPT 53 packets, 4997 bytes)pkts bytes target prot opt in out source destination0 0 ACCEPT all -- * * 192.168.1.1192.168.2.4 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 29 packets, 4152 bytes)pkts bytes target prot opt in out source destination[root@bbogpnDesktop]# ssh root@192.168.2.4The authenticity of host '192.168.2.4 (192.168.2.4)' can't be established.ECDSA key fingerprint isd8:88:76:ef:30:e0:f5:f7:4b:a2:63:51:55:2e:74:28.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added '192.168.2.4' (ECDSA) to the list of known hosts.root@192.168.2.4's password:There was 1 failed login attempt since the last successful login.[root@bbogpnDesktop]# ip addr2: eno16777736: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdiscpfifo_fast state UP qlen 1000link/ether 00:0c:29:4d:a0:50 brd ff:ff:ff:ff:ff:ffinet 192.168.1.0/24 brd 172.16.255.255 scope global eno16777736 valid_lft forever preferred_lft foreverinet6 fe80::20c:29ff:fe4d:a050/64 scope linkvalid_lft forever preferred_lft forever实验结果：发现可以ping通，实验成功。

Linux下防⽕墙iptables⽤法规则详及其防⽕墙配置转：iptables规则规则--顾名思义就是规矩和原则，和现实⽣活中的事情是⼀样的，国有国法，家有家规，所以要遵纪守法的嘛。

当然在防⽕墙上的规则，在内核看来，规则就是决定如何处理⼀个包的语句。

如果⼀个包符合所有的条件，我们就⽤相应的处理动作来处理。

书写规则的语法格式为：iptables [-t table] command chains [creteria] -j action-t table就是表名，filter/nat/mangle三个表中的⼀个，默认是filter表command告诉程序如何做，⽐如：插⼊⼀个规则，还是删除等chains 链，有五个，PREROUTING POSTROUTING INPUT OUTPUT FORWARDaction 处理动作，有ACCEPT DENY DROP REJECT SNAT DNAT理⼀下思路下⾯⼀点点的说⼀、Tables选项-t⽤来指定⽤哪个表，它可以是下⾯的任何⼀个，默认的是filter表⼆、COMMANDScommand指定iptables对我们提交的规则要做什么样的操作。

这些操作可能是在某个表⾥增加或删除⼀些东西，或其他的动作。

⼀下是iptables可⽤的command（如不做说明，默认表是filter)和命令结合常⽤的选项三、chains简单说⼀下五个链的作⽤：PREROUTING 是在包进⼊防⽕墙之后、路由决策之前做处理POSTROUTING 是在路由决策之后，做处理INPUT 在包被路由到本地之后，但在出去⽤户控件之前做处理OUTPUT在去顶包的⽬的之前做处理FORWARD在最初的路由决策之后，做转发处理四、匹配条件4.1 基本匹配4.2 隐含扩展匹配这种匹配操作是⾃动的或隐含的装⼊内核的。

例如使⽤-p tcp时，不需要再装⼊任何东西就可以匹配只有IP包才有的特点。

隐含匹配针对三种不同的协议，即TCP UDP ICMP。

单个IP地址建立连接和DOS 攻击实验第九组2017.05.19单个IP地址限制连接实验原理：防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信息包过滤表中，而这些表集成在Linux 内核中。

在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。

而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。

netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。

实验环境攻击者win7 64位 ip:172.16.9.1，被攻击者虚拟机vm构造，与宿主机采用桥接，在同一网段，ip为1.1.1.2实验目的：通过Vmware虚拟机，配置网关，以及模拟外网，内网，Web服务器。

通过外网来进行DOS攻击，通过在被攻击的主机上抓包可以清楚地看到整个攻击过程，并且在网关上设置了NAT地址转换，在访问外网时将内网地址转换成公网地址（SNAT），以及外网访问内网时将公网地址转换成内网地址（DNAT）。

并且可以在网关上设置上网时间，限制某些应用访问Internet等。

实验拓扑：实验步骤：搭建实验环境（Vmware虚拟机作为平台），按照逻辑拓扑图进行连接。

1.配置网关1)配置三块网卡，分别是eth0，eth1，eth2，全部设置为桥接模式。

2)Eth1 ip地址192.168.9.1，eth2 ip地址192.168.19.1，eth0 ip地址1.1.9.13)使用命令echo “1”> /proc/sys/net/ipv4/ip_forward，打开路由功能4)使用命令 /etc/init.d/iptables stop。

Linux下iptables超详细教程和使⽤⽰例iptables的结构：iptables由上⽽下，由Tables，Chains，Rules组成。

⼀、iptables的表tables与链chainsiptables有Filter, NAT, Mangle, Raw四种内建表：1. Filter表Filter是iptables的默认表，它有以下三种内建链(chains)：INPUT链 – 处理来⾃外部的数据。

OUTPUT链 – 处理向外发送的数据。

FORWARD链 – 将数据转发到本机的其他⽹卡设备上。

2. NAT表NAT表有三种内建链：PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。

它会转换数据包中的⽬标IP地址（destination ip address），通常⽤于DNAT(destination NAT)。

POSTROUTING链 – 处理即将离开本机的数据包。

它会转换数据包中的源IP地址（source ip address），通常⽤于SNAT（source NAT）。

OUTPUT链 – 处理本机产⽣的数据包。

3. Mangle表Mangle表⽤于指定如何处理数据包。

它能改变TCP头中的QoS位。

Mangle表具有5个内建链（chains）：PREROUTINGOUTPUTFORWARDINPUTPOSTROUTING4. Raw表Raw表⽤于处理异常，它具有2个内建链：PREROUTING chainOUTPUT chain5.⼩结⼆、IPTABLES 规则(Rules)规则的关键知识点：Rules包括⼀个条件和⼀个⽬标(target)如果满⾜条件，就执⾏⽬标(target)中的规则或者特定值。

如果不满⾜条件，就判断下⼀条Rules。

⽬标值（Target Values）在target⾥指定的特殊值：ACCEPT – 允许防⽕墙接收数据包DROP – 防⽕墙丢弃包QUEUE – 防⽕墙将数据包移交到⽤户空间RETURN – 防⽕墙停⽌执⾏当前链中的后续Rules，并返回到调⽤链(the calling chain)中。

linux防⽕墙iptables参数详解先来看iptables 防⽕墙的⼀些常⽤设置:1. iptables-A INPUT -p tcp -s x.x.x.x/x --dport 22 -j ACCEPT //　允许源地址为x.x.x.x/x的主机通过22(ssh)端⼝.2. iptables -A INPUT -p tcp --dport 80 -j ACCEPT //　允许80(http)端⼝的数据包进⼊3. iptables -A INPUT -p tcp --dport 110 -j ACCEPT //　允许110(pop3)端⼝的数据包进⼊如果不加这规则，就只能通过web页⾯来收信(⽆法⽤OE或Foxmail等来收)4. iptables -A INPUT -p tcp --dport 25 -j ACCEPT //　允许25(smtp)端⼝的数据包进⼊,如果不加这规则，就只能通过web页⾯来发信(⽆法⽤OE或Foxmail等来发)5. iptables -A INPUT -p tcp --dport 21 -j ACCEPT //　允许21(ftp)端⼝的数据包进⼊(传数据)6. iptables -A INPUT -p tcp --dport 20 -j ACCEPT //　允许20(ftp)端⼝的数据包进⼊(执⾏ftp命令,如dir等)7. iptables -A INPUT -p tcp --dport 53 -j ACCEPT //　允许53(dns)端⼝的数据包进⼊(tcp)8. iptables -A INPUT -p udp --dport 53 -j ACCEPT //　允许53(dns)端⼝的数据包进⼊(udp)9. iptables -A INPUT -p icmp -j ACCEPT //　允许ICMP包通过10. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT //利⽤ iptables 对连接状态的⽀持11. iptables -P INPUT DROP//把INPUT链的默认规则设置为DROPIptalbes 防⽕墙主要参数和设置说明:TARGETS防⽕墙的规则指定所检查包的特征，和⽬标。