前言

iptables 是一个配置 Linux 内核防火墙的命令行工具，它是用来设置、维护和检查Linux内核的IP包过滤规则的。本文将介绍 iptables 的基础知识和使用示例。

注意：红帽/红旗/CentOS等 7 版本以上已改为使用 firewalld 作为防火墙替换iptables。

---

一、基本用法

1.1. 基本语法

$ iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

1.2. 命令参数

参数	描述
-P	设置默认策略: iptables -P INPUT (DROP)
-F	清空规则链
-L	查看规则链
-A	在规则链的末尾加入新规则
-I	num 在规则链的头部加入新规则
-D	num 删除某一条规则
-s	匹配来源地址 IP/MASK，加叹号"!"表示除这个 IP 外
-d	匹配目标地址
-i	网卡名称 匹配从这块网卡流入的数据
-o	网卡名称 匹配从这块网卡流出的数据
-p	匹配协议,如 tcp,udp,icmp
--dport num	匹配目标端口号
--sport num	匹配来源端口号

1.3. 服务管理

$ systemctl status iptables   # 查看服务状态
$ systemctl enable iptables   # 启用服务
$ systemctl disable iptables  # 禁用服务
$ systemctl start iptables    # 启动服务
$ systemctl restart iptables  # 重启服务
$ systemctl stop iptables     # 关闭服务

1.4. 规则配置

# 默认情况下，所有链都配置为接受规则，因此在强化过程中，建议从拒绝所有配置开始，然后只打开需要的端口：
$ iptables --policy INPUT DROP
$ iptables --policy OUTPUT DROP
$ iptables --policy FORWARD DROP# 按链条和编号删除规则
$ iptables -D INPUT 10# 按规范删除规则
$ iptables -D INPUT -m conntrack --ctstate INVALID -j DROP#刷新所有规则，删除所有链，并接受所有
$ iptables -P INPUT ACCEPT
$ iptables -P FORWARD ACCEPT
$ iptables -P OUTPUT ACCEPT
$ iptables -t nat -F
$ iptables -t mangle -F
$ iptables -F
$ iptables -X# 冲洗所有链
$ iptables -F# 刷新单链
$ iptables -F INPUT# 插入规则
$ iptables -I INPUT 2 -s 202.54.1.2 -j DROP# 详细打印出所有活动的 iptables 规则
$ iptables -n -L -v# 具有规则规范的相同数据：
$ iptables -S INPUT# 包含数据包计数的规则列表
$ iptables -L INPUT -v# 在基于 Debian 的系统上
$ netfilter-persistent save# 在基于 RedHat 的系统上
$ service iptables save

二、使用示例

2.1. 清空当前的所有规则和计数

$ iptables -F   # 清空所有的防火墙规则
$ iptables -X   # 删除用户自定义的空链
$ iptables -Z   # 清空计数

2.2. 配置允许 ssh 端口连接

$ iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

这里，22 为你的 ssh 端口， -s 192.168.1.0/24 表示允许这个网段的机器来连接，其它网段的 ip 地址是登陆不了你的机器的。-j ACCEPT 表示接受这样的请求。

2.3. 允许本地回环地址可以正常使用

$ iptables -A INPUT -i lo -j ACCEPT
# 本地圆环地址就是那个127.0.0.1
# 是本机上使用的,它进与出都设置为允许
$ iptables -A OUTPUT -o lo -j ACCEPT

2.4. 设置默认的规则

# 配置默认的不让进
$ iptables -P INPUT DROP
# 默认的不允许转发
$ iptables -P FORWARD DROP
# 默认的可以出去
$ iptables -P OUTPUT ACCEPT

2.5. 配置白名单

# 允许机房内网机器可以访问
$ iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT 
# 允许机房内网机器可以访问
$ iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT 
# 允许 183.121.3.7 访问本机的3380端口
$ iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT

2.6. 开启相应的服务端口

# 开启 80 端口，因为web对外都是这个端口
$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 允许被 ping
$ iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# 已经建立的连接得让它进来
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2.7. 保存规则到配置文件中

$ cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
$ iptables-save > /etc/sysconfig/iptables
$ cat /etc/sysconfig/iptables

2.8. 清除已有规则

# 清空指定链 INPUT 上面的所有规则
$ iptables -F INPUT
# 删除指定的链，这个链必须没有被其它任何规则引用，而且这条上必须没有任何规则
$ iptables -X INPUT
# 如果没有指定链名，则会删除该表中所有非内置的链,把指定链，或者表中的所有链上的所有计数器清零
$ iptables -Z INPUT

2.9. 删除已添加的规则

# 添加一条规则
$ iptables -A INPUT -s 192.168.1.5 -j DROP# 将所有 iptables 以序号标记显示，执行：
$ iptables -L -n --line-numbers# 比如要删除 INPUT 里序号为 8 的规则，执行：
$ iptables -D INPUT 8

2.10. 列出已设置的规则

# 列出 nat 上面的所有规则
$ iptables -L -t nat                
# -t 参数指定，必须是 raw， nat，filter，mangle 中的一个,规则带编号
$ iptables -L -t nat  --line-numbers
$ iptables -L INPUT
# 查看，这个列表看起来更详细
$ iptables -L -nv

2.11. 开放指定的端口

# 允许本地回环接口(即运行本机访问本机)
$ iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许所有本机向外的访问
$ iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
$ iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允许访问80端口
$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 允许ftp服务的21端口
$ iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# 允许FTP服务的20端口
$ iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# 禁止其他未允许的规则访问
$ iptables -A INPUT -j reject
# 禁止其他未允许的规则访问
$ iptables -A FORWARD -j REJECT

2.12. 屏蔽 IP

# 屏蔽恶意主机（比如，192.168.0.8
$ iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP
# 屏蔽单个IP的命令
$ iptables -I INPUT -s 123.45.6.7 -j DROP
# 封整个段即从123.0.0.1到123.255.255.254的命令
$ iptables -I INPUT -s 123.0.0.0/8 -j DROP
# 封IP段即从123.45.0.1到123.45.255.254的命令
$ iptables -I INPUT -s 124.45.0.0/16 -j DROP
# 封IP段即从123.45.6.1到123.45.6.254的命令是
$ iptables -I INPUT -s 123.45.6.0/24 -j DROP

2.13. 查看已添加的规则

$ iptables -L -n -v

2.14. 启动网络转发规则

# 本机的 2222 端口映射到内网 虚拟机的 22 端口
$ iptables -t nat -A PREROUTING -d 212.11.11.11 -p tcp --dport 2222  -j DNAT --to-dest 192.168.10.11:22

2.15. 阻止 Windows 蠕虫的攻击

$ iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"

2.16. 防止 SYN 洪水攻击

$ iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT

2.17.  阻止带有虚假 TCP 标志的数据包

$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

2.18. 其他

# 允许环回连接
$ iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT# 允许已建立和相关的传入连接
$ iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT# 允许已建立的传出连接
$ iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT# 丢弃无效数据包
$ iptables -A INPUT -m conntrack --ctstate INVALID -j DROP# 阻止和 IP 地址并拒绝
$ iptables -A INPUT -s 192.168.1.10 -j REJECT# 阻止 IP 地址
$ iptables -A INPUT -s 192.168.1.10 -j DROP# 允许所有传入的 SSH
$ iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT# 允许来自特定 IP 地址或子网的传入 SSH
$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT# 允许传入 HTTP
$ iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT# 允许传入 HTTPS
$ iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT# 允许传入 HTTP 和 HTTPS
$ iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT# 允许来自特定 IP 地址或子网的 MySQL
$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT# 允许所有传入的 SMTP
$ iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT# 记录和丢弃数据包（默认情况下，所有内容都记录到 /var/log/messages 文件中）
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP# 丢弃或接受来自 Mac 地址的流量
$ iptables -A INPUT -m mac --mac-source 00:1F:EA:51:02:04 -j DROP
$ iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT# 阻止或允许 ICMP Ping 请求
$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
$ iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP# 使用 multiport 指定多个端口
$ iptables -A INPUT -i eth0 -p tcp -m state --state NEW -m multiport --dports ssh,smtp,http,https -j ACCEPT# 使用 limit 和 iplimit* 限制连接数
$ iptables -A FORWARD -m state --state NEW -p tcp -m multiport --dport http,https -o eth0 -i eth1 -m limit --limit 20/hour --limit-burst 5 -j ACCEPT
$ iptables -A INPUT -p tcp -m state --state NEW --dport http -m iplimit --iplimit-above 5 -j DROP# 匹配数据包数据负载中的 “string*”
$ iptables -A FORWARD -m string --string '.com' -j DROP
$ iptables -A FORWARD -m string --string '.exe' -j DROP# 防止端口扫描
$ iptables -N port-scanningiptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURNiptables -A port-scanning -j DROP# SSH 暴力破解保护
$ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --setiptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

---

参考资料：https://ipset.netfilter.org/iptables