iptables过滤udp

『壹』 急!!!利用 iptables 实现 linux 防火墙功能有关问题

自己看:
什么是Iptables？

iptables 是建立在 netfilter 架构基础上的一个包过滤管理工具，最主要的作用是用来做防火墙或透明代理。Iptables 从 ipchains 发展而来，它的功能更为强大。Iptables 提供以下三种功能：包过滤、NAT（网络地址转换）和通用的 pre-route packet mangling。包过滤：用来过滤包，但是不修改包的内容。Iptables 在包过滤方面相对于 ipchians 的主要优点是速度更快，使用更方便。NAT：NAT 可以分为源地址 NAT 和目的地址 NAT。

Iptables 可以追加、插入或删除包过滤规则。实际上真正执行这些过虑规则的是 netfilter 及其相关模块（如 iptables 模块和 nat 模块）。Netfilter 是 Linux 核心中一个通用架构，它提供了一系列的 “表”（tables），每个表由若干 “链”（chains）组成，而每条链中可以有一条或数条 “规则”（rule）组成。

系统缺省的表为 “filter”，该表中包含了 INPUT、FORWARD 和 OUTPUT 3 个链。

每一条链中可以有一条或数条规则，每一条规则都是这样定义的：如果数据包头符合这样的条件，就这样处理这个数据包。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件： 如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据该链预先定义的策略来处理该数据包。

? table，chain，rule

iptables 可以操纵3 个表：filter 表，nat 表，mangle 表。

NAT 和一般的 mangle 用 -t 参数指定要操作哪个表。filter 是默认的表，如果没有 -t 参数，就默认对 filter 表操作。

Rule 规则：过滤规则，端口转发规则等，例如：禁止任何机器 ping 我们的服务器，可以在服务器上设置一条规则：

iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP

从 –s 开始即是一条规则，-j 前面是规则的条件，-j 开始是规则的行为（目的）。整条命令解释为，在filter 表中的 INPUT 规则链中插入一条规则，所有源地址不为 127.0.0.1 的 icmp 包都被抛弃。

Chain 规则链：由一系列规则组成，每个包顺序经过 chain 中的每一条规则。chain 又分为系统 chain和用户创建的 chain。下面先叙述系统 chain。

filter 表的系统 chain： INPUT，FORWAD，OUTPUT

nat 表的系统 chain： PREROUTING，POSTROUTING，OUTPUT

mangle 表的系统 chain： PREROUTING，OUTPUT

每条系统 chain 在确定的位置被检查。比如在包过滤中，所有的目的地址为本地的包，则会进入INPUT 规则链，而从本地出去的包会进入 OUTPUT 规则链。

所有的 table 和 chain 开机时都为空，设置 iptables 的方法就是在合适的 table 和系统 chain 中添相应的规则。

--------------------------------------------------------------

IPTABLES 语法：

表: iptables从其使用的三个表（filter、nat、mangle）而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明.

操作命令: 即添加、删除、更新等。

链：对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链，也可以操作用户自定义的链。

规则匹配器：可以指定各种规则匹配，如IP地址、端口、包类型等。

目标动作：当规则匹配一个包时，真正要执行的任务，常用的有：

ACCEPT 允许包通过

DROP 丢弃包

一些扩展的目标还有：

REJECT 拒绝包，丢弃包同时给发送者发送没有接受的通知

LOG 包有关信息记录到日志

TOS 改写包的TOS值

为使FORWARD规则能够生效,可使用下面2种方法的某种:

[root@rhlinux root]# vi /proc/sys/net/ipv4/ip_forward
[root@rhlinux root]# echo "1" > /proc/sys/net/ipv4/ip_forward

[root@rhlinux root]# vi /etc/sysconfig/network
[root@rhlinux root]# echo "FORWARD_IPV4=true" > /etc/sysconfig/network

--------------------------------------------------------

iptables语法可以简化为下面的形式:

iptables [-t table] CMD [chain] [rule-matcher] [-j target]

--------------------------------------------------------

常用操作命令:

-A 或 -append 在所选链尾加入一条或多条规则

-D 或 -delete 在所选链尾部删除一条或者多条规则

-R 或 -replace 在所选链中替换一条匹配规则

-I 或 -insert 以给出的规则号在所选链中插入一条或者多条规则. 如果规则号为1,即在链头部.

-L 或 -list 列出指定链中的所有规则,如果没有指定链,将列出链中的所有规则.

-F 或 -flush 清除指定链和表中的所由规则, 假如不指定链,那么所有链都将被清空.

-N 或 -new-chain 以指定名创建一条新的用户自定义链,不能与已有链名相同.

-X 或 -delete-chain 删除指定的用户定义帘,必需保证链中的规则都不在使用时才能删除,若没有指定链,则删除所有用户链.

-P 或 -policy 为永久帘指定默认规则(内置链策略),用户定义帘没有缺省规则,缺省规则也使规则链中的最后一条规则,用-L显示时它在第一行显示.

-C 或 -check 检查给定的包是否与指定链的规则相匹配.

-Z 或 -zero 将指定帘中所由的规则包字节(BYTE)计数器清零.

-h 显示帮助信息.

-------------------------------------------------------------

常用匹配规则器:

-p , [!] protocol 指出要匹配的协议,可以是tcp, udp, icmp, all, 前缀!为逻辑非,表示除该协议外的所有协议.

-s [!] address[/mask] 指定源地址或者地址范围.

-sport [!] port[:port] 指定源端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.

-d [!] address[/mask] 指定目的地址或者地址范围.

-dport [!] port[:port] 指定目的端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.

-icmp-type [!] typename 指定匹配规则的ICMP信息类型(可以使用 iptables -p icmp -h 查看有效的ICMP类型名)

-i [!] interface name[+] 匹配单独或某种类型的接口,此参数忽略时,默认符合所有接口,接口可以使用"!"来匹配捕食指定接口来的包.参数interface是接口名,如 eth0, eht1, ppp0等,指定一个目前不存在的接口是完全合法的,规则直到接口工作时才起作用,折中指定对于PPP等类似连接是非常有用的."+"表示匹配所有此类型接口.该选项只针对于INPUT,FORWARD和PREROUTING链是合法的.

-o [!] interface name[+] 匹配规则的对外网络接口,该选项只针对于OUTPUT,FORWARD,POSTROUTING链是合法的.

[!] --syn 仅仅匹配设置了SYN位, 清除了ACK, FIN位的TCP包. 这些包表示请求初始化的TCP连接.阻止从接口来的这样的包将会阻止外来的TCP连接请求.但输出的TCP连接请求将不受影响.这个参数仅仅当协议类型设置为了TCP才能使用. 此参数可以使用"!"标志匹配已存在的返回包,一般用于限制网络流量,即只允许已有的,向外发送的连接所返回的包.

----------------------------------------------------------

如何制定永久规则集:

/etc/sysconfig/iptables 文件是 iptables 守护进程调用的默认规则集文件.

可以使用以下命令保存执行过的IPTABLES命令:

/sbin/iptables-save > /etc/sysconfig/iptables

要恢复原来的规则库,可以使用:

/sbin/iptables-restore < /etc/sysconfig/iptables

iptables命令和route等命令一样,重启之后就会恢复,所以:

[root@rhlinux root]# service iptables save
将当前规则储存到 /etc/sysconfig/iptables： [ 确定 ]

令一种方法是 /etc/rc.d/init.d/iptables 是IPTABLES的启动脚本,所以:

[root@rhlinux root]# /etc/rc.d/init.d/iptables save
将当前规则储存到 /etc/sysconfig/iptables： [ 确定 ]

以上几种方法只使用某种即可.

若要自定义脚本,可直接使用iptables命令编写一个规则脚本,并在启动时执行:

例如若规则使用脚本文件名/etc/fw/rule, 则可以在/etc/rc.d/rc.local中加入以下代码:

if [-x /etc/fw/rule]; then /etc/fw/sule; fi;

这样每次启动都执行该规则脚本,如果用这种方法,建议NTSYSV中停止IPTABLES.

----------------------------------------------------------

实例：

链基本操作：

[root@rh34 root]# iptables -L -n
（列出表/链中的所有规则，包过滤防火墙默认使用的是filter表，因此使用此命令将列出filter表中所有内容，-n参数可加快显示速度，也可不加-n参数。）

[root@rh34 root]# iptables -F
（清除预设表filter中所有规则链中的规则）

[root@rh34 root]# iptables -X
（清除预设表filter中使用者自定义链中的规则）

[root@rh34 root]# iptables -Z
（将指定链规则中的所有包字节计数器清零）

------------------------------------------------------------

设置链的默认策略，默认允许所有，或者丢弃所有：

[root@rh34 root]# iptables -P INPUT ACCEPT
[root@rh34 root]# iptables -P OUTPUT ACCEPT
[root@rh34 root]# iptables -P FORWARD ACCEPT
（以上我们在不同方向设置默认允许策略，若丢弃则应是DROP，严格意义上防火墙应该是DROP然后再允许特定）

---------------------------------------------------------------

向链中添加规则，下面的例子是开放指定网络接口（信任接口时比较实用）：

[root@rh34 root]# iptables -A INPUT -i eth1 -j ACCEPT
[root@rh34 root]# iptables -A OUTPUT -o eth1 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -i eth1 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -o eth1 -j ACCEPT

--------------------------------------------------------------

使用用户自定义链：

[root@rh34 root]# iptables -N brus
（创建一个用户自定义名叫brus的链）

[root@rh34 root]# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP
（在此链中设置了一条规则）

[root@rh34 root]# iptables -A INPUT -s 0/0 -d 0/0 -j brus
（向默认的INPUT链添加一条规则，使所有包都由brus自定义链处理）

----------------------------------------------------------------

基本匹配规则实例：

匹配协议：

iptables -A INPUT -p tcp
（指定匹配协议为TCP）

iptables -A INPUT -p ! tcp
（指定匹配TCP以外的协议）

匹配地址：

iptables -A INPUT -s 192.168.1.1
（匹配主机）

iptables -A INPUT -s 192.168.1.0/24
（匹配网络）

iptables -A FORWARD -s ! 192.168.1.1
（匹配以外的主机）

iptables -A FORWARD -s ! 192.168.1.0/24
（匹配以外的网络）

匹配接口：

iptables -A INPUT -i eth0
iptables -A FORWARD -o eth0
（匹配某个指定的接口）

iptables -A FORWARD -o ppp+
（匹配所有类型为ppp的接口）

匹配端口：

iptables -A INPUT -p tcp --sport www
iptables -A INPUT -p tcp --sport 80
（匹配单一指定源端口）

iptables -A INPUT -p ucp --dport 53
（匹配单一指定目的端口）

iptables -A INPUT -p ucp --dport ! 53
（指定端口以外）

iptables -A INPUT -p tcp --dport 22:80
（指定端口范围，这里我们实现的是22到80端口）

---------------------------------------------------------------------------------

指定IP碎片的处理：

[root@rh34 root]# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT
[root@rh34 root]# iptables -A FORWARD -f -p tcp -s 192.168.1.0/24 -d 192.168.1.234 --dport 80 -j ACCEPT

[root@rh34 root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.0/24 192.168.1.234 tcp dpt:http
ACCEPT tcp -f 192.168.1.0/24 192.168.1.234 tcp dpt:http

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

----------------------------------------------------------------------------------

设置扩展的规测匹配：

（希望获得匹配的简要说明，可使用： iptables -m name_of_match --help）

多端口匹配扩展：

iptables -A INPUT -p tcp -m multiport --source-port 22,53,80
（匹配多个源端口）

iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80
（匹配多个目的端口）

iptables -A INPUT -p tcp -m multiport --port 22,53,80
（匹配多个端口，无论是源还是目的端口）

-----------------------------------------------------------------------------

TCP匹配扩展：

iptables -A INPUT -p tcp --tcp-flags SYN,FIN,ACK SYN
（表示SYN、ACK、FIN的标志都要被检查，但是只有设置了SYN的才匹配）

iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK
（表示ALL：SYN、ACK、FIN、RST、URG、PSH的标志都被检查，但是只有设置了SYN和ACK的才匹配）

iptables -p tcp --syn
（选项--syn是以上的一种特殊情况，相当于“--tcp-flags SYN,RST,ACK SYN”的简写）

--------------------------------------------------------------------------------

limit速率匹配扩展：

[root@redhatlinux9 root]# iptables -A FORWARD -m limit --limit 300/hour
（表示限制每小时允许通过300个数据包）

[root@redhatlinux9 root]# iptables -A INPUT -m limit --limit-burst 10
（--limit-burst指定触发时间的值(默认为5)，用来比对瞬间大量数据包的数量。）
（上面的例子用来比对一次同时涌入的数据包是否超过十个，超过此上限的包将直接被丢弃）

[root@redhatlinux9 root]# iptables -A FORWARD -p icmp -m limit --limit 3/m --limit-burst 3
（假设均匀通过，平均每分钟3个，那么触发值burst保持为3。如果每分钟通过的包的数目小于3，那么触发值busrt将在每个周期(若每分钟允许通过3个，则周期数为20秒)后加1，但最大值为3。每分钟要通过的包数量如果超过3，那么触发值busrt将减掉超出的数值，例如第二分钟有4个包，那么触发值变为2，同时4个包都可以通过，第三分钟有6个包，则只能通过5个，触发值busrt变为0。之后，每分钟如果包数量小于等于3个，则触发值busrt将加1，如果每分钟包数大于3，触发值busrt将逐渐减少，最终维持为0）
（即每分钟允许的最大包数量等于限制速率(本例中为3)加上当前的触发值busrt数。任何情况下，都可以保证3个包通过，触发值busrt相当于是允许额外的包数量）

---------------------------------------------------------------------------------

基于状态的匹配扩展（连接跟踪）：

每个网络连接包括以下信息：源和目的地址、源和目的端口号，称为套接字对(cocket pairs)；协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些叫做状态(stateful)。能够监测每个连接状态的防火墙叫做状态宝过滤防火墙，除了能完成普通包过滤防火墙的功能外，还在自己的内存中维护一个跟踪连接状态的表，所以拥有更大的安全性。

其命令格式如下：

iptables -m state --state [!] state [,state,state,state]

state表示一个用逗号隔开的的列表，用来指定的连接状态可以有以下4种：

NEW：该包想要开始一个连接（重新连接或将连接重定向）。

RELATED：该包属于某个已经建立的连接所建立的新连接。例如FTP的数据传输连接和控制连接之间就是RELATED关系。

ESTABLISHED：该包属于某个已经建立的连接。

INVALID：该包不匹配于任何连接，通常这些包会被DROP。

例如：

[root@redhatlinux9 root]# iptables -A INPUT -m state --state RELATED,ESTABLISHED
（匹配已经建立的连接或由已经建立的连接所建立的新连接。即匹配所有的TCP回应包）

[root@redhatlinux9 root]# iptables -A INPUT -m state --state NEW -i ! eth0
（匹配所有从非eth0接口来的连接请求包）

下面是一个被动(Passive)FTP连接模式的典型连接跟踪
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
[root@redhatlinux9 root]# iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

下面是一个主动(Active)FTP连接模式的典型连接跟踪
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@redhatlinux9 root]# iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

--------------------------------------------------------------------------------------

日志记录：

格式为： -j LOG --log-level 7 --log-prefix "......"

[root@redhatlinux9 root]# iptables -A FORWARD -m tcp -p tcp -j LOG

[root@redhatlinux9 root]# iptables -A FORWARD -m icmp -p icmp -f -j LOG

[root@redhatlinux9 root]# iptables -A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -p tcp --sport 80 -j LOG

[root@redhatlinux9 root]# iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "INPUT packet died:"

[root@redhatlinux9 root]# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New net syn:"

------------------------------------------------

回答你的问题:

1:设置为DROP默认不允许,然后你再开启,这样比门户大开再阻止某些服务来的安全(避免遗漏)

2:前面阻止了后面就无效了,有先后顺序的.

3:你了解了服务和端口号等即可用规则限制.

『贰』 如果要禁掉所有UDP端口 iptables里怎么配

新建DWORD值：SMBDeviceEnabled

设为0

关闭自己的139端口，ipc和RPC漏洞存在于此。

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打没族勾就关闭了139端口。
同时也关闭了UDP137、138端口。

关闭Windows默认端口139、445等 —closeport.bat的使用说明

自从Windows2000以来，Windows系统增强了网络服务功能，这同时也降低了安全性，各种蠕虫病毒一波波的肆虐，Windows的网络安全为人们所诟病。
网络本来是一个欢乐缤纷的五彩乐园，但是安全问题使美好的网络蒙上了阴影，使人们小心翼翼如履薄冰，难以在网络上自由顺畅的呼吸，网络成为许多用户心中难舍的痛难解的结。
造成这种结果的主要原因是是windows系统默认开启了一些网络功能开启一些端口，从而置广大用户于危地。
这些功能用户一般用不到，反而成为了重要的安全隐患，给了蠕虫和骇客们可乘之机，成为他们大显身手的乐土。

人们不得求助于防火墙、助手和补丁等等莫名其妙乌七八糟的东西，把一切搞得越来越复杂，因为它们往往给你带来更多的烦恼。

其实，把Windows的一些默认端口关掉，就可以解决绝大部分的问题。
这两天，研究了一下端口的问枯悄弊题。写了一个脚本用来关掉这些默认端口，后面有解释，我的理解不一定正确，其中或有不当之处，欢迎各位批评指正。
这个脚本我在Windows 2003 Server上测试通过，在WinXP和Win2000上面应该也能适用。

[使用说明]
将以下代码复制下来，存为closeport.bat（注意，每个命令应该在一行中）。
运行closeport，重启计算机即可。cmd下运行netstat -an，你会发现相应的端口都已经停止了。
如果希望打开所有端口，运行closeport -o，重启计算机即可。
你可以自己将脚本中你不希望的功能命令掉，然后再运行它。

[注意事项]
1.运行本程序前，最好手工停用DCOM。
方法如下，利用Windows NT/2000/XP标准集成的“dcomcnfg.exe”工具。从命令行执行，打开分布式COM属性窗口，取消“在这台计算机上启用分布式COM”选项即可。（Window 2000\XP\2003 的配运胡置对话框有所不同）。
虽然，这个脚本可以停用DCOM，但是它是通过修改注册表的键值。我不知道效果是否与之相同。

2.重启计算机后，出现过TCP/IP Driver不能启动。因此无法上网的情况。
如果遇到这种情况。请在“设备管理器”中，选择显示隐藏的设备，按连接查看设备，找到TCP/IP protocol driver，在驱动程序页面设置为自动。重启计算机即可。

3.本脚本完全没有任何担保，请慎重使用。最好阅读后面的解释。你可以更好的了解和定制使用它。

================================

@ echo off
rem
rem closeport.bat version 0.2
rem by Spirituel@SMTH
rem
rem This file close the default ports of Windows.
rem Why and how to use it, please conct to the README.txt.
rem I tested it on Windows 2003 Server. And it should work on WindowsXP and windows2000 as well.
rem If you understand it and find some error, you can describe it clearly and contact with me.
rem Corrections are welcome.
rem NOTICE: NO WARRANTY totally. Please use it carefully.

echo Close the default ports of Windows system.
echo [usage] Use the parameter -o to open the ports again.
echo You can change the file to customize them for yourself.

if "%1"=="-o" goto :open

@ rem -----------------------------------------------
@ rem disable some services, you can add "rem" on the command if you do not want it effects

echo on

@ rem disable the NetBT(NetBios over tcp/ip) device driver, close port TCP139/UDP137/UDP138/TCP445
reg add "HKLM\SYSTEM\CurrentControlSet\Services\NetBT" /v Start /t REG_DWORD /d 0x4 /f

@ rem disable the LmHosts(TCP/IP NetBIOS Helper) device driver, it depends on NetBT
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /t REG_DWORD /d 0x4 /f

@ rem disable the lanmanserver(server) service, stop IPC$ net share
reg add "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver" /v Start /t REG_DWORD /d 0x4 /f

@ rem disable the dfs(Distribute File System) service, it depends on server
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Dfs" /v Start /t REG_DWORD /d 0x4 /f

@ rem disable the Browser(Computer Browser) service, it depends on server
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Browser" /v Start /t REG_DWORD /d 0x4 /f

@ rem disable the W32Time(Windows Timer) service, close port UDP123
reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time" /v Start /t REG_DWORD /d 0x4 /f

@ rem disable the TermService(Terminal Services) service, its default port is TCP3389
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v Start /t REG_DWORD /d 0x4 /f

@ rem disable DCOM
reg add "HKLM\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d N /f

goto :end

:open

@ rem -----------------------------------------------
@ rem enable some services, you can add "rem" on the command if you do not want it effects

echo on

@ rem enable the NetBT(NetBios over tcp/ip) device driver, port TCP139/UDP137/UDP138/TCP445
reg add "HKLM\SYSTEM\CurrentControlSet\Services\NetBT" /v Start /t REG_DWORD /d 0x1 /f

@ rem enable the LmHosts(TCP/IP NetBIOS Helper) device driver, it depends on NetBT
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /t REG_DWORD /d 0x2 /f

@ rem enable the lanmanserver(server) service, stop IPC$ net share
reg add "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver" /v Start /t REG_DWORD /d 0x2 /f

@ rem enable the dfs(Distribute File System) service, it depends on server
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Dfs" /v Start /t REG_DWORD /d 0x2 /f

@ rem enable the Browser(Computer Browser) service, it depends on server
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Browser" /v Start /t REG_DWORD /d 0x2 /f

@ rem enable the W32Time(Windows Timer) service, port UDP123
reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time" /v Start /t REG_DWORD /d 0x2 /f

@ rem enable the TermService(Terminal Services) service, its default port is TCP3389
reg add "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v Start /t REG_DWORD /d 0x2 /f

@ rem enable DCOM
reg add "HKLM\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d Y /f

:end

@ rem enable tcpip device driver
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip" /v Start /t REG_DWORD /d 0x2 /f

@echo off
pause

================================

[解释说明]
Windows问题主要来自TCP135、TCP139、TCP445等默认端口、提供的IPC$默认共享，以及没有默认开启但非常危险的终端服务（Terminial Services）。这个脚本可以把它们关掉。下面是脚本中命令的解释。

1. NetBios和IPC$的问题。

reg add "HKLM\SYSTEM\CurrentControlSet\Services\NetBT" /v Start /t REG_DWORD /d 0x4 /f
禁用NetBT的驱动程序。这可以关闭TCP139/UDP137/UDP138/TCP445。
由于IPC$是利用了这些端口，因此应该已经不能使用了，这会使你的网络打印机和网络文件共享无效。

『叁』 Linux系统如何阻挡UDP攻击

UDP Server程序
1、编写UDP Server程序的步骤
(1)使用socket()来建立一个UDP socket，第二个参数为SOCK_DGRAM。
(2)初始化sockaddr_in结构的变量，并赋值。sockaddr_in结构定义：
struct sockaddr_in {
uint8_t sin_len;
sa_family_t sin_family;
in_port_t sin_port;
struct in_addr sin_addr;
char sin_zero[8];
};
这里使用“08”作为服务程序的端口，使用“INADDR_ANY”作为绑定的IP地址即任何主机上的地址。
(3)使用bind()把上面的socket和定义的IP地址和端口绑定。这里检查bind()是否执行成功，如果有错误就退出。这样可以防止服务程序重复运行的问题。
(4)进入无限循环程序，使用recvfrom()进入等待状态，直到接收到客户程序发送的数据，就处理收到的数据，并向客户程序发送反馈。这里是直接把收到的数据发回给客户程序。

2、udpserv.c程序内容：
#include <sys/types.h>
#include <sys/socket.h>
#include <string.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>

#define MAXLINE 80
#define SERV_PORT 8888

void do_echo(int sockfd, struct sockaddr *pcliaddr, socklen_t clilen)
{
int n;
socklen_t len;
char mesg[MAXLINE];

for(;;)
{
len = clilen;
/* waiting for receive data */
n = recvfrom(sockfd, mesg, MAXLINE, 0, pcliaddr, &len);
/* sent data back to client */
sendto(sockfd, mesg, n, 0, pcliaddr, len);
}
}

int main(void)
{
int sockfd;
struct sockaddr_in servaddr, cliaddr;

sockfd = socket(AF_INET, SOCK_DGRAM, 0); /* create a socket */

/* init servaddr */
bzero(&servaddr, sizeof(servaddr));
servaddr.sin_family = AF_INET;
servaddr.sin_addr.s_addr = htonl(INADDR_ANY);
servaddr.sin_port = htons(SERV_PORT);

/* bind address and port to socket */
if(bind(sockfd, (struct sockaddr *)&servaddr, sizeof(servaddr)) == -1)
{
perror("bind error");
exit(1);
}

do_echo(sockfd, (struct sockaddr *)&cliaddr, sizeof(cliaddr));

return 0;
}

UDP Client程序
1、编写UDP Client程序的步骤
(1)初始化sockaddr_in结构的变量，并赋值。这里使用“8888”作为连接的服务程序的端口，从命令行参数读取IP地址，并且判断IP地址是否符合要求。
(2)使用socket()来建立一个UDP socket，第二个参数为SOCK_DGRAM。
(3)使用connect()来建立与服务程序的连接。与TCP协议不同，UDP的connect()并没有与服务程序三次握手。上面我们说了UDP是非连接的，实际上也可以是连接的。使用连接的UDP，kernel可以直接返回错误信息给用户程序，从而避免由于没有接收到数据而导致调用recvfrom()一直等待下去，看上去好像客户程序没有反应一样。
(4)向服务程序发送数据，因为使用连接的UDP，所以使用write()来替代sendto()。这里的数据直接从标准输入读取用户输入。
(5)接收服务程序发回的数据，同样使用read()来替代recvfrom()。
(6)处理接收到的数据，这里是直接输出到标准输出上。

2、udpclient.c程序内容：
#include <sys/types.h>
#include <sys/socket.h>
#include <string.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>
#include <arpa/inet.h>
#include <unistd.h>

#define MAXLINE 80
#define SERV_PORT 8888

void do_cli(FILE *fp, int sockfd, struct sockaddr *pservaddr, socklen_t servlen)
{
int n;
char sendline[MAXLINE], recvline[MAXLINE + 1];

/* connect to server */
if(connect(sockfd, (struct sockaddr *)pservaddr, servlen) == -1)
{
perror("connect error");
exit(1);
}

while(fgets(sendline, MAXLINE, fp) != NULL)
{
/* read a line and send to server */
write(sockfd, sendline, strlen(sendline));
/* receive data from server */
n = read(sockfd, recvline, MAXLINE);
if(n == -1)
{
perror("read error");
exit(1);
}
recvline[n] = 0; /* terminate string */
fputs(recvline, stdout);
}
}

int main(int argc, char **argv)
{
int sockfd;
struct sockaddr_in srvaddr;

/* check args */
if(argc != 2)
{
printf("usage: udpclient <IPaddress>\n");
exit(1);
}

/* init servaddr */
bzero(&servaddr, sizeof(servaddr));
servaddr.sin_family = AF_INET;
servaddr.sin_port = htons(SERV_PORT);
if(inet_pton(AF_INET, argv[1], &servaddr.sin_addr) <= 0)
{
printf("[%s] is not a valid IPaddress\n", argv[1]);
exit(1);
}

sockfd = socket(AF_INET, SOCK_DGRAM, 0);

do_cli(stdin, sockfd, (struct sockaddr *)&servaddr, sizeof(servaddr));

return 0;
}

运行例子程序
1、编译例子程序
使用如下命令来编译例子程序：
gcc -Wall -o udpserv udpserv.c
gcc -Wall -o udpclient udpclient.c
编译完成生成了udpserv和udpclient两个可执行程序。

2、运行UDP Server程序
执行./udpserv &命令来启动服务程序。我们可以使用netstat -ln命令来观察服务程序绑定的IP地址和端口，部分输出信息如下：
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:8888 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:882 0.0.0.0:*
可以看到udp处有“0.0.0.0:8888”的内容，说明服务程序已经正常运行，可以接收主机上任何IP地址且端口为8888的数据。
如果这时再执行./udpserv &命令，就会看到如下信息：
bind error: Address already in use
说明已经有一个服务程序在运行了。

3、运行UDP Client程序
执行./udpclient 127.0.0.1命令来启动客户程序，使用127.0.0.1来连接服务程序，执行效果如下：
Hello, World!
Hello, World!
this is a test
this is a test
^d
输入的数据都正确从服务程序返回了，按ctrl+d可以结束输入，退出程序。
如果服务程序没有启动，而执行客户程序，就会看到如下信息：
$ ./udpclient 127.0.0.1
test
read error: Connection refused
说明指定的IP地址和端口没有服务程序绑定，客户程序就退出了。这就是使用connect()的好处，注意，这里错误信息是在向服务程序发送数据后收到的，而不是在调用connect()时。如果你使用tcpmp程序来抓包，会发现收到的是ICMP的错误信息。
参考资料：http://www.cnpaf.net/Class/UDP/0532918532729212.html

『肆』 iptables如何设置让DHCP通过

要允许DHCP通过iptables，您需要添加以下规则：
iptables -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A OUTPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
这些规则将允许DHCP服务器（端口67）和客户端（端口68）之间的UDP通信通过型段iptables。这将确保您的DHCP请求和响应可以正常传输。
请注意，这些规则将放宽iptables的UDP过滤规则，因此在添加这些者世规则之前，请确保您的卜嫌誉网络环境是安全的，并且只有受信任的设备可以连接到您的网络。

『伍』 如何使用iptables防火墙拦截无效的UDP攻击数据

你得看看 linux IPtales 学大激习之路， 好多配置的命令

1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。
下面是命令实现：
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
再用命令 iptables -L -n 查看 是否设置好， 好看到全部 DROP 了
这样的蚂氏设置好了，我们只是临时的， 重启服务器还是会恢复原来没有设置的状态
还要使用 service iptables save 进行保存
看到信息 firewall rules 防火墙的规则 其实就是保存在 /etc/sysconfig/iptables
可以打开文件查看 vi /etc/sysconfig/iptables
2、
下面我只打开22端口，看我滚物袜是如何操作的，就是下面2个语句
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
再查看下 iptables -L -n 是否添加上去, 看到添加了

『陆』 浅谈iptables

iptables是linux系统下用来做防火墙的二进制文件（linux上位于/sbin/iptables，android中位于/system/bin/iptables），底层依赖于内核的netfilter模块，用来完成封包过滤、封包重定向和网络地址转换（NAT）等功能(在android上需要root使用)。

举个例子来简单看看iptables命令的基本用法。

意思是在nat转发表的OUTPUT输出链中增加这样一条规则：倘若OUTPUT输出链拦到了tcp请求，则将其重定向到本地的8123端口。

可以看到iptables中有 表 、 链 和 规则 的概念，那么先通过iptables传输数据包的过程来简单了解下表和链是什么以及他们之间的关系。

可以看到 链 就是对数据包传输路径的一种抽象，一个数据包根据其具体场景以固定的顺序依次经过PREROUTING、INPUT等各个链，在经过各个链时，又有不同的表在监听这个链，而nat、filter等 表 中有包含一系列的 规则 ，当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则。

值得注意的是，

至此我们了解了表、链和规则是什么以及他们之间的关系，下面来具体看下 iptables命令的基本用法 。

更多关于各command、parameter的具体含义以及用法可以参考 https://wangchujiang.com/linux-command/c/iptables.html

iptables对网络数据包做过滤或拦截时其维度只能局限于网络数据包收发的ip地址、端口号、网卡、tcp/udp协议，因此可以推测iptables最终是在ip层对网络数据包做的拦截。

那iptables基于netfilter具体是怎么做到在各个链上对数据包做拦截的呢？

/net/ipv4/ip_output.c

/net/ipv4/ip_input.c

/net/ipv4/ip_forward.c

可以看到内核在每一个数据转发的关键节点都调用了NF_HOOK这个宏，来看下NF_HOOK这个宏干了啥

关于NF_HOOK相关具体逻辑可参见 https://sites.google.com/site/ibms/network-security-development/netfilter%E8%AE%BE%E8%AE%A1%E4%B8%8E%E6%BA%90%E7%A0%81%E5%88%86%E6%9E%90

『柒』 linux/unix -shell值iptables基础知识

原文参考：
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables，因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables，你会觉得它很复杂，但是一旦你理解iptables的工 作原理，你会发现其实它很简单。

首先介绍iptables的结构：iptables -> Tables -> Chains -> Rules. 简单地讲，tables由chains组成，而chains又由rules组成。如下图所示。 [图片上传失败...(image-ba5408-1536195185275)]

图: IPTables Table, Chain, and Rule Structure

一、iptables的表与链

iptables具有Filter, NAT, Mangle, Raw四种内建表：

1. Filter表

Filter表示iptables的默认表，因此如果你没有自定义表，那么就默认使用filter表，它具有以下三种内建链：

2. NAT表

NAT表有三种内建链：

3. Mangle表

Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链：

4. Raw表

Raw表用于处理异常，它具有2个内建链：

5.小结

下图展示了iptables的三个内建表：

[图片上传失败...(image-753d8c-1536195185272)]

图: IPTables 内建表

二、IPTABLES 规则(Rules)

牢记以下三点式理解iptables规则的关键：

目标值（Target Values）

下面是你可以在target里指定的特殊值：

如果你执行iptables –list你将看到防火墙上的可用规则。下例说明当前系统没有定义防火墙，你可以看到，它显示了默认的filter表，以及表内默认的input链, forward链, output链。

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

查看mangle表：

查看NAT表：

查看RAW表：

!注意：如果不指定 -t 选项，就只会显示默认的 filter 表。因此，以下两种命令形式是一个意思：

(or)

以下例子表明在filter表的input链, forward链, output链中存在规则：

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all – 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah – 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp – 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

以上输出包含下列字段：

三、清空所有iptables规则

在配置iptables之前，你通常需要用iptables –list命令或者iptables-save命令查看有无现存规则，因为有时需要删除现有的iptables规则：

iptables –flush
或者
iptables -F

这两条命令是等效的。但是并非执行后就万事大吉了。你仍然需要检查规则是不是真的清空了，因为有的linux发行版上这个命令不会清除NAT表中的规则，此时只能手动清除：

iptables -t NAT -F

四、永久生效

当你删除、添加规则后，这些更改并不能永久生效，这些规则很有可能在系统重启后恢复原样。为了让配置永久生效，根据平台的不同，具体操作也不同。下面进行简单介绍：

1.Ubuntu

首先，保存现有的规则：

iptables-save > /etc/iptables.rules

然后新建一个bash脚本，并保存到 /etc/network/if-pre-up.d/ 目录下：

iptables-restore < /etc/iptables.rules

这样，每次系统重启后iptables规则都会被自动加载。

！注意：不要尝试在.bashrc或者.profile中执行以上命令，因为用户通常不是root，而且这只能在登录时加载iptables规则。

2.CentOS, RedHat

service iptables save

service iptables stop
service iptables start

查看当前规则：

cat /etc/sysconfig/iptables

五、追加iptables规则

可以使用iptables -A命令追加新规则，其中 -A 表示 Append 。因此， 新的规则将追加到链尾。

一般而言，最后一条规则用于丢弃(DROP)所有数据包。如果你已经有这样的规则了，并且使用 -A 参数添加新规则，那么就是无用功。

1.语法

iptables -A chain firewall-rule

2.描述规则的基本参数

以下这些规则参数用于描述数据包的协议、源地址、目的地址、允许经过的网络接口，以及如何处理这些数据包。这些描述是对规则的基本描述。

-p 协议（protocol）

-s 源地址（source）

-d 目的地址（destination）

-j 执行目标（jump to target）

-i 输入接口（input interface）

-o 输出（out interface）

3.描述规则的扩展参数

对规则有了一个基本描述之后，有时候我们还希望指定端口、TCP标志、ICMP类型等内容。

–sport 源端口（source port）针对 -p tcp 或者 -p udp

–-dport 目的端口（destination port）针对-p tcp 或者 -p udp

-–tcp-flags TCP标志 针对-p tcp

-–icmp-type ICMP类型 针对-p icmp

4.追加规则的完整实例：仅允许SSH服务

本例实现的规则将仅允许SSH数据包通过本地计算机，其他一切连接（包括ping）都将被拒绝。

iptables -F

iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -j DROP

六、更改默认策略

上例的例子仅对接收的数据包过滤，而对于要发送出去的数据包却没有任何限制。本节主要介绍如何更改链策略，以改变链的行为。

1. 默认链策略

/!警告 ：请勿在远程连接的服务器、虚拟机上测试！

当我们使用-L选项验证当前规则是发现，所有的链旁边都有 policy ACCEPT 标注，这表明当前链的默认策略为ACCEPT：

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

这种情况下，如果没有明确添加DROP规则，那么默认情况下将采用ACCEPT策略进行过滤。除非：

a)为以上三个链单独添加DROP规则：

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改默认策略：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕！！如果你严格按照上一节的例子配置了iptables，并且现在使用的是SSH进行连接的，那么会话恐怕已经被迫终止了！

为什么呢？因为我们已经把OUTPUT链策略更改为DROP了。此时虽然服务器能接收数据，但是无法发送数据：

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination

七、配置应用程序规则

尽管5.4节已经介绍了如何初步限制除SSH以外的其他连接，但是那是在链默认策略为ACCEPT的情况下实现的，并且没有对输出数据包进行限 制。本节在上一节基础上，以SSH和HTTP所使用的端口为例，教大家如何在默认链策略为DROP的情况下，进行防火墙设置。在这里，我们将引进一种新的 参数-m state，并检查数据包的状态字段。

1.SSH

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

如果服务器也需要使用SSH连接其他远程主机，则还需要增加以下配置：

iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置与SSH类似：

iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

3.完整的配置

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

References

[1] Linux Firewall Tutorial: IPTables Tables, Chains, Rules Fundamentals

[2] IPTables Flush: Delete / Remove All Rules On RedHat and CentOS Linux

[3] Linux IPTables: How to Add Firewall Rules (With Allow SSH Example)

[4] Linux IPTables: Incoming and Outgoing Rule Examples (SSH and HTTP)

[5] 25 Most Frequently Used Linux IPTables Rules Examples

[6] man 8 iptables

『捌』 linux中iptables防火墙怎么设置

Linux系统内核内建了netfilter防火墙机制。Netfilter（数据包过滤机制），所谓的数据包过滤，就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的，效率非常高。
我们可以通过iptables命令来设置netfilter的过滤机制。
iptables里有3张表：
> Filter（过滤器），进入Linux本机的数据包有关，是默认的表。
> NAT（地址转换），与Linux本机无关，主要与Linux主机后的局域网内计算机相关。
> Mangle（破坏者），这个表格主要是与特殊的数据包的路由标志有关（通常不用涉及到这个表的修改，对这个表的修改破坏性很大，慎改之）。
每张表里都还有多条链：

Filter：INPUT, OUTPUT, FORWARD
NAT：PREROUTING, POSTROUTING, OUTPUT
Mangle：PREROUTING, OUTPUT, INPUT, FORWARD
iptables命令的使用
基本格式：iptables [-t table] -CMD chain CRETIRIA -j ACTION
-t table：3张表中的其中一种filter, nat, mangle，如果没有指定，默认是filter。
CMD：操作命令。查看、添加、替换、删除等。
chain：链。指定是对表中的哪条链进行操作搭游，如filter表中的INPUT链。
CRETIRIA：匹配模式。对要过薯枝穗滤的数据包进行描述
ACTION：操作。接受、拒绝、丢弃等。
查看

格式：iptables [-t table] -L [-nv]
修改

添加
格式：iptables [-t table] -A chain CRETIRIA -j ACTION
将新规则加入到表table（默认filter）的chain链的最后位置

插入

格式：iptables [-t table] -I chain pos CRETIRIA -j ACTION
将新规则插入到table表（默认filter）chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为：1 ~ num+1
替换

格式：iptables [-t table] -R chain pos CRETIRIA -j ACTION
用新规则替换table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num
删除

格式：iptables [-t table] -D chain pos
删除table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num
包匹配（CRETIRIA）

上面没有介绍CRETIRIA的规则，在这小节里详细介绍。包匹配就是用于描述需要过滤的数据包包头特殊的字段。
指定网口：

-i ：数据包所进入的那个网络接口，例如 eth0、lo等，需与INPUT链配合
-o: 数据包所传出的那么网络接口，需与OUTPUT链配合
指定协议：

-p：tcp, udp, icmp或all
指定IP网络数卜：
-s：来源网络。可以是IP或网络
IP： 192.168.0.100
网络： 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可
可以在前加 ! 表示取反
-d：目标网格。同 -s
指定端口：
--sport：指定来源端口。可以是单个端口，还可以是连续的端口，例如：1024:65535。
--dport：指定目标端口。同--sport
注意：要指定了tcp或udp协议才会有效。
指定MAC地址：
-m mac --mac-source aa:bb:cc:dd:ee:ff
指定状态：
-m state --state STATUS
STATUS可以是：
> INVALID，无效包
> ESTABLISHED，已经连接成功的连接状态
> NEW，想要新立连接的数据包
> RELATED，这个数据包与主机发送出去的数据包有关，（最常用）
例如：只要已建立连接或与已发出请求相关的数据包就予以通过，不合法数据包就丢弃
-m state --state RELATED,ESTABLISHED
ICMP数据比对

ping操作发送的是ICMP包，如果不想被ping到，就可以拒绝。
--icmp-type TYPE
TYPE如下：
8 echo-request（请求）
0 echo-reply（响应）

注意：需要与 -p icmp 配合使用。

操作（ACTION）

DROP，丢弃
ACCEPT，接受
REJECT，拒绝
LOG，跟踪记录，将访问记录写入 /var/log/messages

保存配置

将新设置的规则保存到文件
格式：iptables-save [-t table]
将当前的配置保存到 /etc/sysconfig/iptables

其它

格式：iptables [-t table] [-FXZ]
-F ：请除所有的已制订的规则
-X ：除掉所有用户“自定义”的chain
-Z ：将所有的统计值清0

『玖』 在linux 下如何设置iptables 防火墙

Linux系统内核内建了netfilter防火墙机制。Netfilter（数据包过滤机制），所谓的数据包过滤，就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的，效率非常高。
我们可以通过iptables命令来设置netfilter的过滤机制。
iptables里有3张表：
> Filter（过滤器），进入Linux本机的数据包有关，是默认的表。
> NAT（地址转换），与Linux本机无关，主要与Linux主机后的局域网内计算机相关。
> Mangle（破坏者），这个表格主要是与特殊的数据包的路由标志有关（通常不用涉及到这个表的修改，对这个表的修改破坏性很大，慎改之）。
每张表里都还有多条链：

Filter：INPUT, OUTPUT, FORWARD
NAT：PREROUTING, POSTROUTING, OUTPUT
Mangle：PREROUTING, OUTPUT, INPUT, FORWARD
iptables命令的使用
基本格式：iptables [-t table] -CMD chain CRETIRIA -j ACTION
-t table：3张表中的其中一种filter, nat, mangle，如果没有指定，默认是filter。
CMD：操作命令。查看、添加、替换、删除等。
chain：链。指定是对表中的哪条链进行操作，如filter表中的INPUT链。
CRETIRIA：匹配模式。对要过滤的数据包进行描述
ACTION：操作。接受、拒绝、丢弃等。
查看

格式：iptables [-t table] -L [-nv]
修改

添加
格式：iptables [-t table] -A chain CRETIRIA -j ACTION
将新规则加入到表table（默认filter）的chain链的最后位置

插入

格式：iptables [-t table] -I chain pos CRETIRIA -j ACTION
将新规则插入到table表（默认filter）chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为：1 ~ num+1
替换

格式：iptables [-t table] -R chain pos CRETIRIA -j ACTION
用新规则替换table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num
删除

格式：iptables [-t table] -D chain pos
删除table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num
包匹配（CRETIRIA）

上面没有介绍CRETIRIA的规则，在这小节里详细介绍。包匹配就是用于描述需要过滤的数据包包头特殊的字段。
指定网口：

-i ：数据包所进入的那个网络接口，例如 eth0、lo等，需与INPUT链配合
-o: 数据包所传出的那么网络接口，需与OUTPUT链配合
指定协议：

-p：tcp, udp, icmp或all
指定IP网络：
-s：来源网络。可以是IP或网络
IP： 192.168.0.100
网络： 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可
可以在前加 ! 表示取反
-d：目标网格。同 -s
指定端口：
--sport：指定来源端口。可以是单个端口，还可以是连续的端口，例如：1024:65535。
--dport：指定目标端口。同--sport
注意：要指定了tcp或udp协议才会有效。
指定MAC地址：
-m mac --mac-source aa:bb:cc:dd:ee:ff
指定状态：
-m state --state STATUS
STATUS可以是：
> INVALID，无效包
> ESTABLISHED，已经连接成功的连接状态
> NEW，想要新立连接的数据包
> RELATED，这个数据包与主机发送出去的数据包有关，（最常用）
例如：只要已建立连接或与已发出请求相关的数据包就予以通过，不合法数据包就丢弃
-m state --state RELATED,ESTABLISHED
ICMP数据比对

ping操作发送的是ICMP包，如果不想被ping到，就可以拒绝。
--icmp-type TYPE
TYPE如下：
8 echo-request（请求）
0 echo-reply（响应）

注意：需要与 -p icmp 配合使用。

操作（ACTION）

DROP，丢弃
ACCEPT，接受
REJECT，拒绝
LOG，跟踪记录，将访问记录写入 /var/log/messages

保存配置

将新设置的规则保存到文件
格式：iptables-save [-t table]
将当前的配置保存到 /etc/sysconfig/iptables

其它

格式：iptables [-t table] [-FXZ]
-F ：请除所有的已制订的规则
-X ：除掉所有用户“自定义”的chain
-Z ：将所有的统计值清0

『拾』 iptables详解

netfilter/iptables （简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。
iptables和netfilter的关系：
这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。

规则 （rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的 主要工作就是添加、修改和删除这些规则。

① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。
过程图如下：

Iptables采用“表”和“链”的分层结构。

表 （tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。

（1）filter表——三个链：INPUT、FORWARD、OUTPUT
作用：过滤数据包 内核模块：iptables_filter.
（2）Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT
作用：用于网络地址转换（IP、端口） 内核模块：iptable_nat
（3）Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它)
（4）Raw表——两个链：OUTPUT、PREROUTING
作用：决定数据包是否被状态跟踪机制处理 内核模块：iptable_raw

Raw——mangle——nat——filter

链 （chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一 条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据 该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定 义的默认策略来处理数据包。

（1）INPUT——进来的数据包应用此规则链中的策略
（2）OUTPUT——外出的数据包应用此规则链中的策略
（3）FORWARD——转发数据包时应用此规则链中的策略
（4）PREROUTING——对数据包作路由选择前应用此链中的规则
（记住！所有的数据包进来的时侯都先由这个链处理）
（5）POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包 的目标主机是防火墙本机（比如说Internet用户访问防火墙主机中的web服务器的数据包），那么内核将其传给INPUT链进行处理（决定是否允许通 过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进行响应。

来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网 关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地 址等）进行处理。

防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

iptables-save把规则保存到文件中，再由目录rc.d下的脚本（/etc/rc.d/init.d/iptables）自动装载
使用命令iptables-save来保存规则。一般用
iptables-save > /etc/sysconfig/iptables
生成保存规则的文件 /etc/sysconfig/iptables，
也可以用
service iptables save
它能把规则自动保存在/etc/sysconfig/iptables中。
当计算机启动时，rc.d下的脚本将用命令iptables-restore调用这个文件，从而就自动恢复了规则。
删除INPUT链的第一条规则：

1.拒绝进入防火墙的所有ICMP协议数据包

2.允许防火墙转发除ICMP协议以外的所有数据包

说明：使用“！”可以将条件取反。

3.拒绝转发来自192.168.1.10主机的数据，允许转发来自192.168.0.0/24网段的数据

说明：注意要把拒绝的放在前面不然就不起作用了啊。

4.丢弃从外网接口（eth1）进入防火墙本机的源地址为私网地址的数据包

5.封堵网段（192.168.1.0/24），两小时后解封。

说明：这个策略咱们借助crond计划任务来完成，就再好不过了。
[1] Stopped at now 2 hours

6.只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机。

说明：这个用法比较适合对设备进行远程管理时使用，比如位于分公司中的SQL服务器需要被总公司的管理员管理时。

7.允许本机开放从TCP端口20-1024提供的应用服务。

8.允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。

9.禁止其他主机ping防火墙主机，但是允许从防火墙上ping其他主机

10.禁止转发来自MAC地址为00：0C：29：27：55：3F的和主机的数据包

说明：iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址。

11.允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280

说明：这里用“-m multiport –dport”来指定目的端口及范围

12.禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包。

说明：此处用“-m –iprange –src-range”指定IP范围。

13.禁止转发与正常TCP连接无关的非—syn请求数据包。

说明：“-m state”表示数据包的连接状态，“NEW”表示与任何连接无关的，新的嘛！

14.拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包

说明：“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包，“RELATED”表示与已建立的连接有相关性的，比如FTP数据连接等。

15.只开放本机的web服务（80）、FTP(20、21、20450-20480)，放行外部主机发住服务器其它端口的应答数据包，将其他入站数据包均予以丢弃处理。