本文將給出25個(gè)iptables常用規(guī)則示例，這些例子為您提供了些基本的模板，您可以根據(jù)特定需求對(duì)其進(jìn)行修改調(diào)整以達(dá)到期望。  格式

iptables [-t 表名] 選項(xiàng) [鏈名] [條件] [-j 控制類型] 參數(shù)

1. -P 設(shè)置默認(rèn)策略:iptables -P INPUT (DROP|ACCEPT)
2. -F 清空規(guī)則鏈
3. -L 查看規(guī)則鏈
4. -A 在規(guī)則鏈的末尾加入新規(guī)則
5. -I num 在規(guī)則鏈的頭部加入新規(guī)則
6. -D num 刪除某一條規(guī)則
7. -s 匹配來(lái)源地址IP/MASK，加嘆號(hào)"!"表示除這個(gè)IP外。
8. -d 匹配目標(biāo)地址
9. -i 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流入的數(shù)據(jù)
10. -o 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流出的數(shù)據(jù)
11. -p 匹配協(xié)議,如tcp,udp,icmp
12. --dport num 匹配目標(biāo)端口號(hào)
13. --sport num 匹配來(lái)源端口號(hào)

示例

1. 刪除已有規(guī)則

在開(kāi)始創(chuàng)建iptables規(guī)則之前，你也許需要?jiǎng)h除已有規(guī)則。

1. 命令如下：
2. iptables -F
3. (or)
4. iptables –flush

2.設(shè)置鏈的默認(rèn)策略

鏈的默認(rèn)政策設(shè)置為”ACCEPT”（接受），若要將INPUT,FORWARD,OUTPUT鏈設(shè)置成”DROP”（拒絕），命令如下：

1. iptables -P INPUT DROP
2. iptables -P FORWARD DROP
3. iptables -P OUTPUT DROP

當(dāng)INPUT鏈和OUTPUT鏈都設(shè)置成DROP時(shí)，對(duì)于每一個(gè)防火墻規(guī)則，我們都應(yīng)該定義兩個(gè)規(guī)則。例如：一個(gè)傳入另一個(gè)傳出。在下面所有的例子中，由于我們已將DROP設(shè)置成INPUT鏈和OUTPUT鏈的默認(rèn)策略，每種情況我們都將制定兩條規(guī)則。當(dāng)然，如果你相信你的內(nèi)部用戶,則可以省略上面的最后一行。例如：默認(rèn)不丟棄所有出站的數(shù)據(jù)包。在這種情況下,對(duì)于每一個(gè)防火墻規(guī)則要求,你只需要制定一個(gè)規(guī)則——只對(duì)進(jìn)站的數(shù)據(jù)包制定規(guī)則。

3. 阻止指定IP地址

例：丟棄來(lái)自IP地址x.x.x.x的包

1. iptables -A INPUT -s x.x.x.x -j DROP
2. 注：當(dāng)你在log里發(fā)現(xiàn)來(lái)自某ip地址的異常記錄，可以通過(guò)此命令暫時(shí)阻止該地址的訪問(wèn)以做更深入分析

例：阻止來(lái)自IP地址x.x.x.x eth0 tcp的包

1. iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
2. iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

4. 允許所有SSH的連接請(qǐng)求

例：允許所有來(lái)自外部的SSH連接請(qǐng)求，即只允許進(jìn)入eth0接口，并且目標(biāo)端口為22的數(shù)據(jù)包

1. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5. 僅允許來(lái)自指定網(wǎng)絡(luò)的SSH連接請(qǐng)求

例：僅允許來(lái)自于192.168.100.0/24域的用戶的ssh連接請(qǐng)求

1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6.允許http和https的連接請(qǐng)求

例：允許所有來(lái)自web - http的連接請(qǐng)求

1. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

例：允許所有來(lái)自web - https的連接請(qǐng)求

1. iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

7. 使用multiport 將多個(gè)規(guī)則結(jié)合在一起

允許多個(gè)端口從外界連入，除了為每個(gè)端口都寫(xiě)一條獨(dú)立的規(guī)則外，我們可以用multiport將其組合成一條規(guī)則。如下所示：  例：允許所有ssh,http,https的流量訪問(wèn)

1. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

8. 允許從本地發(fā)起的SSH

1. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

請(qǐng)注意,這與允許ssh連入的規(guī)則略有不同。本例在OUTPUT鏈上，我們?cè)试SNEW和ESTABLISHED狀態(tài)。在INPUT鏈上，我們只允許ESTABLISHED狀態(tài)。ssh連入的規(guī)則與之相反。

9. 僅允許從本地發(fā)起到一個(gè)指定的網(wǎng)絡(luò)域的SSH請(qǐng)求

例：僅允許從內(nèi)部連接到網(wǎng)域192.168.100.0/24

1. iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

10. 允許從本地發(fā)起的HTTPS連接請(qǐng)求

下面的規(guī)則允許輸出安全的網(wǎng)絡(luò)流量。如果你想允許用戶訪問(wèn)互聯(lián)網(wǎng)，這是非常有必要的。在服務(wù)器上，這些規(guī)則能讓你使用wget從外部下載一些文件

1. iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

注：對(duì)于HTTP web流量的外聯(lián)請(qǐng)求，只需要將上述命令中的端口從443改成80即可。

11. 負(fù)載平衡傳入的網(wǎng)絡(luò)流量

使用iptables可以實(shí)現(xiàn)傳入web流量的負(fù)載均衡，我們可以傳入web流量負(fù)載平衡使用iptables防火墻規(guī)則。  例：使用iptables nth將HTTPS流量負(fù)載平衡至三個(gè)不同的ip地址。

1. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
2. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
3. iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

12. 允許外部主機(jī)ping內(nèi)部主機(jī)

1. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
2. iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

13. 允許內(nèi)部主機(jī)ping外部主機(jī)

1. iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
2. iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14. 允許回環(huán)訪問(wèn)

例：在服務(wù)器上允許127.0.0.1回環(huán)訪問(wèn)。

1. iptables -A INPUT -i lo -j ACCEPT
2. iptables -A OUTPUT -o lo -j ACCEPT

15. 允許內(nèi)部網(wǎng)絡(luò)域外部網(wǎng)絡(luò)的通信

防火墻服務(wù)器上的其中一個(gè)網(wǎng)卡連接到外部，另一個(gè)網(wǎng)卡連接到內(nèi)部服務(wù)器，使用以下規(guī)則允許內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信。此例中，eth1連接到外部網(wǎng)絡(luò)(互聯(lián)網(wǎng))，eth0連接到內(nèi)部網(wǎng)絡(luò)(例如:192.168.1.x)。

1. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

16. 允許出站的DNS連接

1. iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
2. iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17. 允許NIS連接

如果你使用NIS管理用戶帳戶，你需要允許NIS連接。如果你不允許NIS相關(guān)的ypbind連接請(qǐng)求，即使SSH連接請(qǐng)求已被允許，用戶仍然無(wú)法登錄。NIS的端口是動(dòng)態(tài)的，先使用命令rpcinfo –p來(lái)知道端口號(hào)，此例中為853和850端口。  rpcinfo -p | grep ypbind  例：允許來(lái)自111端口以及ypbind使用端口的連接請(qǐng)求

1. iptables -A INPUT -p tcp --dport 111 -j ACCEPT
2. iptables -A INPUT -p udp --dport 111 -j ACCEPT
3. iptables -A INPUT -p tcp --dport 853 -j ACCEPT
4. iptables -A INPUT -p udp --dport 853 -j ACCEPT
5. iptables -A INPUT -p tcp --dport 850 -j ACCEPT
6. iptables -A INPUT -p udp --dport 850 -j ACCEPT

注：當(dāng)你重啟ypbind之后端口將不同，上述命令將無(wú)效。有兩種解決方案：1）使用你NIS的靜態(tài)IP 2）編寫(xiě)shell腳本通過(guò)“rpcinfo - p”命令自動(dòng)獲取動(dòng)態(tài)端口號(hào),并在上述iptables規(guī)則中使用。

18. 允許來(lái)自指定網(wǎng)絡(luò)的rsync連接請(qǐng)求

例：允許來(lái)自網(wǎng)絡(luò)192.168.101.0/24的rsync連接請(qǐng)求

1. iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

19. 允許來(lái)自指定網(wǎng)絡(luò)的MySQL連接請(qǐng)求

很多情況下，MySQL數(shù)據(jù)庫(kù)與web服務(wù)跑在同一臺(tái)服務(wù)器上。有時(shí)候我們僅希望DBA和開(kāi)發(fā)人員從內(nèi)部網(wǎng)絡(luò)（192.168.100.0/24）直接登錄數(shù)據(jù)庫(kù)，可嘗試以下命令：

1. iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

20. 允許Sendmail, Postfix郵件服務(wù)

Sendmail和postfix都使用了25端口，因此我們只需要允許來(lái)自25端口的連接請(qǐng)求即可。

1. iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

21. 允許IMAP和IMAPS

例：允許IMAP/IMAP2流量，端口為143

1. iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

例：允許IMAPS流量，端口為993

1. iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

22. 允許POP3和POP3S

例：允許POP3訪問(wèn)

1. iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

例：允許POP3S訪問(wèn)

1. iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

23. 防止DoS攻擊

1. iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
3. 上述例子中：
4. -m limit: 啟用limit擴(kuò)展
5. –limit 25/minute: 允許最多每分鐘25個(gè)連接（根據(jù)需求更改）。
6. –limit-burst 100: 只有當(dāng)連接達(dá)到limit-burst水平(此例為100)時(shí)才啟用上述limit/minute-。

24. 端口轉(zhuǎn)發(fā)

例：將來(lái)自422端口的流量全部轉(zhuǎn)到22端口。  這意味著我們既能通過(guò)422端口又能通過(guò)22端口進(jìn)行ssh連接。啟用DNAT轉(zhuǎn)發(fā)。

1. iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

除此之外，還需要允許連接到422端口的請(qǐng)求

1. iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
2. iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

25. 記錄丟棄的數(shù)據(jù)表

第一步：新建名為L(zhǎng)OGGING的鏈

1. iptables -N LOGGING

第二步：將所有來(lái)自INPUT鏈中的數(shù)據(jù)包跳轉(zhuǎn)到LOGGING鏈中

1. iptables -A INPUT -j LOGGING

第三步：為這些包自定義個(gè)前綴，命名為”IPTables Packet Dropped”

1. iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7

第四步：丟棄這些數(shù)據(jù)包

1. iptables -A LOGGING -j DROP