九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

使用 iptables 建置 Linux 防火墻
作者：李忠憲 shane@mail.spps.tp.edu.tw
2002/11/28
2003/03/09修訂
前言
防火墻在校園內(nèi)一直被認(rèn)為陌晦高深，很少有系管師有勇氣進(jìn)行計(jì)劃性的實(shí)驗(yàn)，基本上這份講義也可以當(dāng)成測(cè)試報(bào)告來(lái)閱讀，是筆者秉持我不入地獄、誰(shuí)入地獄的精神，冒著生命危險(xiǎn)，蠻干出來(lái)的成果，也藉此拋磚引玉，希望能帶動(dòng)國(guó)內(nèi)能力高于筆者許多的眾家高手，一起來(lái)進(jìn)行有利于校園網(wǎng)絡(luò)的公益研究！
壹、什么是防火墻
防火墻是一套能夠在兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)之間，明顯區(qū)隔出實(shí)體線路聯(lián)機(jī)的軟硬件設(shè)備組合。被區(qū)隔開(kāi)來(lái)的網(wǎng)絡(luò)，可以透過(guò)封包轉(zhuǎn)送技術(shù)來(lái)相互通訊，透過(guò)防火墻的安全管理機(jī)制，可以決定哪些數(shù)據(jù)可以流通，哪些資料無(wú)法流通，藉此達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。
防火墻產(chǎn)品可以概略歸類為硬件式防火墻和軟件式防火墻，但實(shí)際上無(wú)論是硬件式或軟件式防火墻，它們都需要使用硬件來(lái)作為聯(lián)機(jī)介接，也需要使用軟件來(lái)設(shè)定安全政策，嚴(yán)格說(shuō)兩者間的差別并不太大。我們只能從使用的硬件與操作系統(tǒng)來(lái)加以區(qū)分，硬件式防火墻是使用專有的硬件，而軟件式防火墻則使用一般的計(jì)算機(jī)硬件，硬件式防火墻使用專有的操作系統(tǒng)，而軟件式防火墻則使用一般的操作系統(tǒng)。
防火墻依照其運(yùn)作方式來(lái)分類，可以區(qū)分為封包過(guò)濾式防火墻 (Packet Filter) 、應(yīng)用層網(wǎng)關(guān)式防火墻 (Application-Level Gateway，也有人把它稱為 Proxy 防火墻)、電路層網(wǎng)關(guān)式防火墻 (Circuit-Level Gateway)。其中被廣為采用的是封包過(guò)濾式防火墻，本文要介紹的 iptables 防火墻就是屬于這一種。
封包過(guò)濾是最早被實(shí)作出來(lái)的防火墻技術(shù)，它是在 TCP/IP 四層架構(gòu)下的 IP 層中運(yùn)作。封包過(guò)濾器的功能主要是檢查通過(guò)的每一個(gè) IP 數(shù)據(jù)封包，如果其標(biāo)頭中所含的數(shù)據(jù)內(nèi)容符合過(guò)濾條件的設(shè)定就進(jìn)行進(jìn)一步的處理，主要的處理方式包含：放行（accept）、丟棄（drop）或拒絕（reject）。要進(jìn)行封包過(guò)濾，防火墻必須要能分析通過(guò)封包的來(lái)源 IP 與目的地 IP，還必須能檢查封包類型、來(lái)源埠號(hào)與目的埠號(hào)、封包流向、封包進(jìn)入防火墻的網(wǎng)卡接口、TCP的聯(lián)機(jī)狀態(tài)等數(shù)據(jù)。
防火墻由于種種理由價(jià)格一直居高不下，對(duì)于貧窮的中小學(xué)來(lái)講要采購(gòu)一臺(tái)防火墻，簡(jiǎn)直是不可能的任務(wù)，而由于 Linux 的風(fēng)行，使用 Linux 來(lái)充作軟件式防火墻，似乎是不錯(cuò)的解決之道，本文擬介紹以 Linux 上最新最強(qiáng)大的 iptables 防火墻軟件，建置出適合學(xué)校使用的過(guò)濾規(guī)則，讓缺錢(qián)的學(xué)校能有一套好用的防火墻來(lái)看守校園網(wǎng)絡(luò)的大門(mén)。
貳、Linux 防火墻演變簡(jiǎn)史
Linux 最早出現(xiàn)的防火墻軟件稱為 ipfw，ipfw 能透過(guò) IP 封包標(biāo)頭的分析，分辨出封包的來(lái)源 IP 與目的地 IP、封包類型、來(lái)源埠號(hào)與目的埠號(hào)、封包流向、封包進(jìn)入防火墻的網(wǎng)卡界面......等，并藉此分析結(jié)果來(lái)比對(duì)規(guī)則進(jìn)行封包過(guò)濾，同時(shí)也支持 IP 偽裝的功能，利用這個(gè)功能可以解決 IP 不足的問(wèn)題，可惜這支程序缺乏彈性設(shè)計(jì)，無(wú)法自行建立規(guī)則組合（ruleset）作更精簡(jiǎn)的設(shè)定，同時(shí)也缺乏網(wǎng)址轉(zhuǎn)譯功能，無(wú)法應(yīng)付越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境，而逐漸被淘汰。
取而代之的 ipchains，不但指令語(yǔ)法更容易理解，功能也較 ipfw 優(yōu)越；ipchains 允許自訂規(guī)則組合（ruleset），稱之為 user-define chains，透過(guò)這種設(shè)計(jì)，我們可以將彼此相關(guān)的規(guī)則組合在一起，在需要的時(shí)候跳到該組規(guī)則進(jìn)行過(guò)濾，有效將規(guī)則的數(shù)量大幅縮減，以往 ipfw 僅能進(jìn)行循序過(guò)濾，導(dǎo)致規(guī)則又臭又長(zhǎng)的毛病，就不藥而愈了。除了這個(gè)明顯的好處以外，ipchains 并能結(jié)合本身的端口對(duì)應(yīng)功能和 redir 程序的封包轉(zhuǎn)送機(jī)制，模擬出網(wǎng)址轉(zhuǎn)譯的能力，而滿足 NAT 的完整需求，堪稱為一套成熟的防火墻作品。
防火墻軟件的出現(xiàn)，確實(shí)曾經(jīng)讓駭客們晚上睡不著覺(jué)，因?yàn)榉阑饓Φ淖韪裟軌蛴行ё寖?nèi)部網(wǎng)絡(luò)不設(shè)防的單機(jī)不致于暴露在外，也能有效降低服務(wù)器的能見(jiàn)度，減少被攻擊的機(jī)會(huì)，駭客過(guò)去所用的網(wǎng)絡(luò)探測(cè)技術(shù)因此受到嚴(yán)格的挑戰(zhàn)，越來(lái)越多的攻擊對(duì)象躲藏在防火墻后方，讓駭客難以接近，因此必須針對(duì)新的情勢(shì)，研究出新的探測(cè)技術(shù)，藉以規(guī)避防火墻的檢查，達(dá)到發(fā)現(xiàn)目標(biāo)并進(jìn)而攻擊入侵的目的，新的技術(shù)非常多，本文并不擬進(jìn)一步討論，請(qǐng)自行參考 CERT 組織的技術(shù)文件，網(wǎng)址是 www.cert.org ，想看中文請(qǐng)連到 www.cert.org.tw。
iptables 作為 ipchains 的新一代繼承人，當(dāng)然也針對(duì)駭客不斷推陳出新的探測(cè)技術(shù)擬出一些因應(yīng)之道，那就是對(duì)封包的聯(lián)機(jī)狀態(tài)，作出更詳細(xì)的分析，例如：是否為新聯(lián)機(jī)或響應(yīng)封包、是否為轉(zhuǎn)向聯(lián)機(jī)、聯(lián)機(jī)是否失去響應(yīng)，聯(lián)機(jī)時(shí)間是否過(guò)長(zhǎng)......等等，透過(guò)這樣的分析能對(duì)一些可能被駭客利用的弱點(diǎn)加以阻隔（請(qǐng)?jiān)斠?jiàn)后文的說(shuō)明），另外也開(kāi)發(fā)出真正的封包改寫(xiě)能力，不需要透過(guò)其它程序的協(xié)助來(lái)仿真網(wǎng)址轉(zhuǎn)譯，除此之外，iptables 也獲得系統(tǒng)核心的直接支持，不需要像 ipchains 那樣需要自行重新編譯核心。
iptables 優(yōu)越的性能使它取代了 ipchains，成為網(wǎng)絡(luò)防火墻的主流，而 ipchains 并未被淘汰，目前 ipchains 已經(jīng)轉(zhuǎn)型成單機(jī)防火墻，在安裝新版 Linux 時(shí)，會(huì)自動(dòng)被安裝啟用，以保護(hù)單機(jī)上未被使用的通訊端口。
參、iptables 防火墻概論
iptables 防火墻的指令非常類似于 ipchains，使用過(guò) ipchains 的人應(yīng)該很容易上手，但是 iptables 的機(jī)制與 ipchains 有很大的不同，使用 ipchains 的概念來(lái)設(shè)定規(guī)則，將會(huì)使防火墻無(wú)法正常運(yùn)作。ipchains 跟 iptables 最大的不同在于對(duì) INPUT、FORWARD 、OUTPUT 三個(gè)網(wǎng)絡(luò)函式的定義不同，這三個(gè)網(wǎng)絡(luò)函式是 TCP/IP 驅(qū)動(dòng)程序的一部分，結(jié)構(gòu)如下圖所示，是介于網(wǎng)卡驅(qū)動(dòng)程序和應(yīng)用程序的中間，Linux 核心預(yù)設(shè)會(huì)啟用 INPUT、OUTPUT 和 LOOPBACK，而 FORWARD 函式則必須自行啟用，可以使用下面指令，或直接修改 /etc/sysconfig/network 組態(tài)檔：
echo "1" > /proc/sys/net/ipv4/ip_forward
左圖為 ipchains 概念下的運(yùn)作圖
從上圖可以知道 ipchains 如何處理封包的流動(dòng)，分述如下：
• IP INPUT：所有封包都由 IP INPUT 函式負(fù)責(zé)處理，所以設(shè)定過(guò)濾規(guī)則時(shí)，幾乎都是設(shè)定在 INPUT 規(guī)則煉上。
• IP FORWARD：目的 IP 非本機(jī)的 IP，這些封包需要進(jìn)一步作轉(zhuǎn)送處理，此函式用來(lái)處理 IP 偽裝和 Port 轉(zhuǎn)送。
• IP OUTPUT：所有流出的封包都由這個(gè)函式處理，通常不需設(shè)定任何規(guī)則。
iptables 除了上述三支函式以外，還使用兩個(gè)新的函式：Prerouting、Postrouting。現(xiàn)在來(lái)比較一下 iptables 的運(yùn)作模式（loopback 接口與上圖相同，所以省略不畫(huà)）：

從上圖可以知道 iptables 如何處理封包的流動(dòng)，分述如下：
• IP INPUT：只有要到達(dá)本機(jī)的封包才會(huì) 由 INPUT 函式處理，所以會(huì)讓來(lái)自內(nèi)部網(wǎng)絡(luò)的封包無(wú)條件放行，來(lái)自外部網(wǎng)絡(luò)的封包則過(guò)濾是否為 響應(yīng)封包，若是則放行。
• PREROUTING：需要轉(zhuǎn)送處理的封包由此函式負(fù)責(zé)處理，此函式用來(lái)做目的地 IP 的轉(zhuǎn)譯動(dòng)作（DNAT）。
• IP FORWARD：所有轉(zhuǎn)送封包都在這里處理，這部分的過(guò)濾規(guī)則最復(fù)雜。
• POSTROUTING：轉(zhuǎn)送封包送出之前，先透過(guò)這個(gè)函式進(jìn)行來(lái)源 IP 的轉(zhuǎn)譯動(dòng)作（SNAT）。
• IP OUTPUT：從本機(jī)送出去的封包由這個(gè)函式處理，通常會(huì)放行所有封包。
iptables 和 ipchains 都可以自行定義規(guī)則群組（rule-set），規(guī)則群組被稱為規(guī)則煉（chains），前面所描述的函式，也都有相對(duì)應(yīng)的規(guī)則煉（INPUT、FORWARD、OUTPUT、Prerouting、Postrouting），為了有別于自行定義的規(guī)則煉，這些規(guī)則煉我們就稱為內(nèi)建規(guī)則煉，其運(yùn)作流程仿真如下圖：

從上面兩張假想圖，學(xué)員們不難了解 ipchains 為什么要叫做 chains，因?yàn)樗菍⑺幸?guī)則串接成一個(gè)序列逐一檢查過(guò)濾，就像一條鐵鏈一樣一個(gè)環(huán)接一個(gè)環(huán)，在過(guò)濾過(guò)程中只要符合其中一條規(guī)則就會(huì)立即進(jìn)行處理，如果處理動(dòng)作是跳到某個(gè)規(guī)則群組，則繼續(xù)檢查群組內(nèi)之規(guī)則設(shè)定，但如果處理動(dòng)作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE，則會(huì)中斷過(guò)濾程序，而不再繼續(xù)檢查后面的規(guī)則設(shè)定，在這樣的結(jié)構(gòu)之下，有時(shí)候規(guī)則順序的對(duì)調(diào)會(huì)產(chǎn)生完全相反的結(jié)果，這一點(diǎn)在設(shè)定防火墻時(shí)不能不謹(jǐn)慎。
而 iptables 是采用規(guī)則堆棧的方式來(lái)進(jìn)行過(guò)濾，當(dāng)一個(gè)封包進(jìn)入網(wǎng)卡，會(huì)先檢查 Prerouting，然后檢查目的 IP 判斷是否需要轉(zhuǎn)送出去，接著就會(huì)跳到 INPUT 或 Forward 進(jìn)行過(guò)濾，如果封包需轉(zhuǎn)送處理則檢查 Postrouting，如果是來(lái)自本機(jī)封包，則檢查 OUTPUT 以及 Postrouting。過(guò)程中如果符合某條規(guī)則將會(huì)進(jìn)行處理，處理動(dòng)作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外，還多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等，其中某些處理動(dòng)作不會(huì)中斷過(guò)濾程序，某些處理動(dòng)作則會(huì)中斷同一規(guī)則煉的過(guò)濾，并依照前述流程繼續(xù)進(jìn)行下一個(gè)規(guī)則煉的過(guò)濾（注意：這一點(diǎn)與 ipchains 不同），一直到堆棧中的規(guī)則檢查完畢為止。透過(guò)這種機(jī)制所帶來(lái)的好處是，我們可以進(jìn)行復(fù)雜、多重的封包過(guò)濾，簡(jiǎn)單的說(shuō)，iptables 可以進(jìn)行縱橫交錯(cuò)式的過(guò)濾（tables）而非煉狀過(guò)濾（chains）。
雖然 iptables 為了擴(kuò)充防火墻功能，而必須采用比較復(fù)雜的過(guò)濾流程，但在實(shí)際應(yīng)用時(shí)，同一規(guī)則煉下的規(guī)則設(shè)定還是有先后順序的關(guān)系，因此在設(shè)定規(guī)則時(shí)還是必須注意其中的邏輯。
肆、訂定校園網(wǎng)絡(luò)安全政策
在實(shí)際設(shè)定防火墻之前，我們必須根據(jù)校園網(wǎng)絡(luò)的安全需求，先擬定一份安全政策，擬定安全政策前必須搜集以下資料：
1. 找出需要過(guò)濾保護(hù)的服務(wù)器
2. 條列出被保護(hù)的服務(wù)器將提供何種網(wǎng)絡(luò)服務(wù)
3. 一般工作站，需要何種等級(jí)的保護(hù)
4. 了解網(wǎng)絡(luò)架構(gòu)與服務(wù)器擺放位置
根據(jù)這些數(shù)據(jù)，我們可以決定安全政策，以石牌國(guó)小為例：

1. 校內(nèi)使用 NAT 虛擬網(wǎng)絡(luò)，IP 數(shù)量需要兩組 C，所有 IP 均需作 IP 偽裝
2. 校園內(nèi)安全需求不高，服務(wù)器與工作站擺在同一網(wǎng)段，不需采用 DMZ 設(shè)計(jì)
3. 由于服務(wù)器功能經(jīng)常擴(kuò)充，所有服務(wù)器均采用一對(duì)一對(duì)應(yīng)，不使用 port 轉(zhuǎn)送功能
4. 所有工作站均能自由使用網(wǎng)絡(luò)資源，不限制只能看網(wǎng)頁(yè)
5. 服務(wù)器提供之服務(wù)包含：dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw，不提供 proxy 及其它網(wǎng)絡(luò)服務(wù)
6. 為增進(jìn)校園網(wǎng)絡(luò)之安全性，采用正面表列方式進(jìn)行封包過(guò)濾（定義想放行之封包，其余封包一律阻擋）
還有一些網(wǎng)絡(luò)安全須注意的事項(xiàng)，則是每所學(xué)校都應(yīng)防范的，沒(méi)有等差之別，例如：聯(lián)機(jī)被綁架、阻斷式攻擊、連接端口掃描......等。
伍、iptables 指令
語(yǔ)法：
iptables [-t table] command [match] [-j target/jump]
-t 參數(shù)用來(lái)指定規(guī)則表，內(nèi)建的規(guī)則表有三個(gè)，分別是：nat、mangle 和 filter，當(dāng)未指定規(guī)則表時(shí)，則一律視為是 filter。各個(gè)規(guī)則表的功能如下：
nat 此規(guī)則表?yè)碛?Prerouting 和 postrouting 兩個(gè)規(guī)則煉，主要功能為進(jìn)行一對(duì)一、一對(duì)多、多對(duì)多等網(wǎng)址轉(zhuǎn)譯工作（SNAT、DNAT），由于轉(zhuǎn)譯工作的特性，需進(jìn)行目的地網(wǎng)址轉(zhuǎn)譯的封包，就不需要進(jìn)行來(lái)源網(wǎng)址轉(zhuǎn)譯，反之亦然，因此為了提升改寫(xiě)封包的效率，在防火墻運(yùn)作時(shí)，每個(gè)封包只會(huì)經(jīng)過(guò)這個(gè)規(guī)則表一次。如果我們把封包過(guò)濾的規(guī)則定義在這個(gè)數(shù)據(jù)表里，將會(huì)造成無(wú)法對(duì)同一封包進(jìn)行多次比對(duì)，因此這個(gè)規(guī)則表除了作網(wǎng)址轉(zhuǎn)譯外，請(qǐng)不要做其它用途。
mangle 此規(guī)則表?yè)碛?Prerouting、FORWARD 和 postrouting 三個(gè)規(guī)則煉。
除了進(jìn)行網(wǎng)址轉(zhuǎn)譯工作會(huì)改寫(xiě)封包外，在某些特殊應(yīng)用可能也必須去改寫(xiě)封包（TTL、TOS）或者是設(shè)定 MARK（將封包作記號(hào)，以便進(jìn)行后續(xù)的過(guò)濾），這時(shí)就必須將這些工作定義在 mangle 規(guī)則表中，由于使用率不高，我們不打算在這里討論 mangle 的用法。
filter 這個(gè)規(guī)則表是預(yù)設(shè)規(guī)則表，擁有 INPUT、FORWARD 和 OUTPUT 三個(gè)規(guī)則煉，這個(gè)規(guī)則表顧名思義是用來(lái)進(jìn)行封包過(guò)濾的處理動(dòng)作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我們會(huì)將基本規(guī)則都建立在此規(guī)則表中。
常用命令列表：
命令 -A, --append
范例 iptables -A INPUT ...
說(shuō)明 新增規(guī)則到某個(gè)規(guī)則煉中，該規(guī)則將會(huì)成為規(guī)則煉中的最后一條規(guī)則。
命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說(shuō)明 從某個(gè)規(guī)則煉中刪除一條規(guī)則，可以輸入完整規(guī)則，或直接指定規(guī)則編號(hào)加以刪除。
命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說(shuō)明 取代現(xiàn)行規(guī)則，規(guī)則被取代后并不會(huì)改變順序。
命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說(shuō)明 插入一條規(guī)則，原本該位置上的規(guī)則將會(huì)往后移動(dòng)一個(gè)順位。
命令 -L, --list
范例 iptables -L INPUT
說(shuō)明 列出某規(guī)則煉中的所有規(guī)則。
命令 -F, --flush
范例 iptables -F INPUT
說(shuō)明 刪除某規(guī)則煉中的所有規(guī)則。
命令 -Z, --zero
范例 iptables -Z INPUT
說(shuō)明 將封包計(jì)數(shù)器歸零。封包計(jì)數(shù)器是用來(lái)計(jì)算同一封包出現(xiàn)次數(shù)，是過(guò)濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
范例 iptables -N allowed
說(shuō)明 定義新的規(guī)則煉。
命令 -X, --delete-chain
范例 iptables -X allowed
說(shuō)明 刪除某個(gè)規(guī)則煉。
命令 -P, --policy
范例 iptables -P INPUT DROP
說(shuō)明 定義過(guò)濾政策。 也就是未符合過(guò)濾條件之封包，預(yù)設(shè)的處理方式。
命令 -E, --rename-chain
范例 iptables -E allowed disallowed
說(shuō)明 修改某自訂規(guī)則煉的名稱。
常用封包比對(duì)參數(shù)：
參數(shù) -p, --protocol
范例 iptables -A INPUT -p tcp
說(shuō)明 比對(duì)通訊協(xié)議類型是否相符，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)，例如：-p ! tcp ，意思是指除 tcp 以外的其它類型，包含 udp、icmp ...等。如果要比對(duì)所有類型，則可以使用 all 關(guān)鍵詞，例如：-p all。
參數(shù) -s, --src, --source
范例 iptables -A INPUT -s 192.168.1.1
說(shuō)明 用來(lái)比對(duì)封包的來(lái)源 IP，可以比對(duì)單機(jī)或網(wǎng)絡(luò)，比對(duì)網(wǎng)絡(luò)時(shí)請(qǐng)用數(shù)字來(lái)表示屏蔽，例如：-s 192.168.0.0/24，比對(duì) IP 時(shí)也可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)，例如：-s ! 192.168.0.0/24。
參數(shù) -d, --dst, --destination
范例 iptables -A INPUT -d 192.168.1.1
說(shuō)明 用來(lái)比對(duì)封包的目的地 IP，設(shè)定方式同上。
參數(shù) -i, --in-interface
范例 iptables -A INPUT -i eth0
說(shuō)明 用來(lái)比對(duì)封包是從哪片網(wǎng)卡進(jìn)入，可以使用通配字符 + 來(lái)做大范圍比對(duì)，例如：-i eth+ 表示所有的 ethernet 網(wǎng)卡，也可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)，例如：-i ! eth0。
參數(shù) -o, --out-interface
范例 iptables -A FORWARD -o eth0
說(shuō)明 用來(lái)比對(duì)封包要從哪片網(wǎng)卡送出，設(shè)定方式同上。
參數(shù) --sport, --source-port
范例 iptables -A INPUT -p tcp --sport 22
說(shuō)明 用來(lái)比對(duì)封包的來(lái)源埠號(hào)，可以比對(duì)單一埠，或是一個(gè)范圍，例如：--sport 22:80，表示從 22 到 80 埠之間都算是符合條件，如果要比對(duì)不連續(xù)的多個(gè)埠，則必須使用 --multiport 參數(shù)，詳見(jiàn)后文。比對(duì)埠號(hào)時(shí)，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)。
參數(shù) --dport, --destination-port
范例 iptables -A INPUT -p tcp --dport 22
說(shuō)明 用來(lái)比對(duì)封包的目的地埠號(hào)，設(shè)定方式同上。
參數(shù) --tcp-flags
范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說(shuō)明 比對(duì) TCP 封包的狀態(tài)旗號(hào)，參數(shù)分為兩個(gè)部分，第一個(gè)部分列舉出想比對(duì)的旗號(hào)，第二部分則列舉前述旗號(hào)中哪些有被設(shè)定，未被列舉的旗號(hào)必須是空的。TCP 狀態(tài)旗號(hào)包括：SYN（同步）、ACK（應(yīng)答）、FIN（結(jié)束）、RST（重設(shè)）、URG（緊急）、PSH（強(qiáng)迫推送） 等均可使用于參數(shù)中，除此之外還可以使用關(guān)鍵詞 ALL 和 NONE 進(jìn)行比對(duì)。比對(duì)旗號(hào)時(shí)，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)。
參數(shù) --syn
范例 iptables -p tcp --syn
說(shuō)明 用來(lái)比對(duì)是否為要求聯(lián)機(jī)之 TCP 封包，與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 運(yùn)算子，可用來(lái)比對(duì)非要求聯(lián)機(jī)封包。
參數(shù) -m multiport --source-port
范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說(shuō)明 用來(lái)比對(duì)不連續(xù)的多個(gè)來(lái)源埠號(hào)，一次最多可以比對(duì) 15 個(gè)埠，可以使用 ! 運(yùn)算子進(jìn)行反向比對(duì)。
參數(shù) -m multiport --destination-port
范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說(shuō)明 用來(lái)比對(duì)不連續(xù)的多個(gè)目的地埠號(hào)，設(shè)定方式同上。
參數(shù) -m multiport --port
范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說(shuō)明 這個(gè)參數(shù)比較特殊，用來(lái)比對(duì)來(lái)源埠號(hào)和目的埠號(hào)相同的封包，設(shè)定方式同上。注意：在本范例中，如果來(lái)源端口號(hào)為 80 但目的地埠號(hào)為 110，這種封包并不算符合條件。
參數(shù) --icmp-type
范例 iptables -A INPUT -p icmp --icmp-type 8
說(shuō)明 用來(lái)比對(duì) ICMP 的類型編號(hào)，可以使用代碼或數(shù)字編號(hào)來(lái)進(jìn)行比對(duì)。請(qǐng)打 iptables -p icmp --help 來(lái)查看有哪些代碼可以用。
參數(shù) -m limit --limit
范例 iptables -A INPUT -m limit --limit 3/hour
說(shuō)明 用來(lái)比對(duì)某段時(shí)間內(nèi)封包的平均流量，上面的例子是用來(lái)比對(duì)：每小時(shí)平均流量是否超過(guò)一次 3 個(gè)封包。 除了每小時(shí)平均一次外，也可以每秒鐘、每分鐘或每天平均一次，默認(rèn)值為每小時(shí)平均一次，參數(shù)如后： /second、 /minute、/day。 除了進(jìn)行封包數(shù)量的比對(duì)外，設(shè)定這個(gè)參數(shù)也會(huì)在條件達(dá)成時(shí)，暫停封包的比對(duì)動(dòng)作，以避免因駭客使用洪水攻擊法，導(dǎo)致服務(wù)被阻斷。
參數(shù) --limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
說(shuō)明 用來(lái)比對(duì)瞬間大量封包的數(shù)量，上面的例子是用來(lái)比對(duì)一次同時(shí)涌入的封包是否超過(guò) 5 個(gè)（這是默認(rèn)值），超過(guò)此上限的封包將被直接丟棄。使用效果同上。
參數(shù) -m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說(shuō)明 用來(lái)比對(duì)封包來(lái)源網(wǎng)絡(luò)接口的硬件地址，這個(gè)參數(shù)不能用在 OUTPUT 和 Postrouting 規(guī)則煉上，這是因?yàn)榉獍统龅骄W(wǎng)卡后，才能由網(wǎng)卡驅(qū)動(dòng)程序透過(guò) ARP 通訊協(xié)議查出目的地的 MAC 地址，所以 iptables 在進(jìn)行封包比對(duì)時(shí)，并不知道封包會(huì)送到哪個(gè)網(wǎng)絡(luò)接口去。
參數(shù) --mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
說(shuō)明 用來(lái)比對(duì)封包是否被表示某個(gè)號(hào)碼，當(dāng)封包被比對(duì)成功時(shí)，我們可以透過(guò) MARK 處理動(dòng)作，將該封包標(biāo)示一個(gè)號(hào)碼，號(hào)碼最大不可以超過(guò) 4294967296。
參數(shù) -m owner --uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定使用者所產(chǎn)生的，這樣可以避免服務(wù)器使用 root 或其它身分將敏感數(shù)據(jù)傳送出去，可以降低系統(tǒng)被駭?shù)膿p失?？上н@個(gè)功能無(wú)法比對(duì)出來(lái)自其它主機(jī)的封包。
參數(shù) -m owner --gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定使用者群組所產(chǎn)生的，使用時(shí)機(jī)同上。
參數(shù) -m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定行程所產(chǎn)生的，使用時(shí)機(jī)同上。
參數(shù) -m owner --sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
說(shuō)明 用來(lái)比對(duì)來(lái)自本機(jī)的封包，是否為某特定聯(lián)機(jī)（Session ID）的響應(yīng)封包，使用時(shí)機(jī)同上。
參數(shù) -m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說(shuō)明 用來(lái)比對(duì)聯(lián)機(jī)狀態(tài)，聯(lián)機(jī)狀態(tài)共有四種：INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯(lián)機(jī)編號(hào)（Session ID）無(wú)法辨識(shí)或編號(hào)不正確。
ESTABLISHED 表示該封包屬于某個(gè)已經(jīng)建立的聯(lián)機(jī)。
NEW 表示該封包想要起始一個(gè)聯(lián)機(jī)（重設(shè)聯(lián)機(jī)或?qū)⒙?lián)機(jī)重導(dǎo)向）。
RELATED 表示該封包是屬于某個(gè)已經(jīng)建立的聯(lián)機(jī)，所建立的新聯(lián)機(jī)。例如：FTP-DATA 聯(lián)機(jī)必定是源自某個(gè) FTP 聯(lián)機(jī)。
常用的處理動(dòng)作：
-j 參數(shù)用來(lái)指定要進(jìn)行的處理動(dòng)作，常用的處理動(dòng)作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分別說(shuō)明如下：
ACCEPT 將封包放行，進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接跳往下一個(gè)規(guī)則煉（nat:postrouting）。
REJECT 攔阻該封包，并傳送封包通知對(duì)方，可以傳送的封包有幾個(gè)選擇：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（這個(gè)封包會(huì)要求對(duì)方關(guān)閉聯(lián)機(jī)），進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接 中斷過(guò)濾程序。 范例如下：
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理，進(jìn)行完此處理動(dòng)作后，將不再比對(duì)其它規(guī)則，直接中斷過(guò)濾程序。
REDIRECT 將封包重新導(dǎo)向到另一個(gè)端口（PNAT），進(jìn)行完此處理動(dòng)作后，將 會(huì)繼續(xù)比對(duì)其它規(guī)則。 這個(gè)功能可以用來(lái)實(shí)作通透式 porxy 或用來(lái)保護(hù) web 服務(wù)器。例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫(xiě)封包來(lái)源 IP 為防火墻 NIC IP，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作后，直接跳往下一個(gè)規(guī)則煉（mangle:postrouting）。這個(gè)功能與 SNAT 略有不同，當(dāng)進(jìn)行 IP 偽裝時(shí)，不需指定要偽裝成哪個(gè) IP，IP 會(huì)從網(wǎng)卡直接讀取，當(dāng)使用撥接連線時(shí)，IP 通常是由 ISP 公司的 DHCP 服務(wù)器指派的，這個(gè)時(shí)候 MASQUERADE 特別有用。范例如下：
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關(guān)訊息紀(jì)錄在 /var/log 中，詳細(xì)位置請(qǐng)查閱 /etc/syslog.conf 組態(tài)檔，進(jìn)行完此處理動(dòng)作后，將會(huì)繼續(xù)比對(duì)其它規(guī)則。例如：
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫(xiě)封包來(lái)源 IP 為某特定 IP 或 IP 范圍，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作后，將直接跳往下一個(gè)規(guī)則煉（mangle:postrouting）。范例如下：
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫(xiě)封包目的地 IP 為某特定 IP 或 IP 范圍，可以指定 port 對(duì)應(yīng)的范圍，進(jìn)行完此處理動(dòng)作后，將會(huì)直接跳往下一個(gè)規(guī)則煉（filter:input 或 filter:forward）。范例如下：
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包，也就是將來(lái)源 IP 與目的地 IP 對(duì)調(diào)后，將封包送回，進(jìn)行完此處理動(dòng)作后，將會(huì)中斷過(guò)濾程序。
QUEUE 中斷過(guò)濾程序，將封包放入隊(duì)列，交給其它程序處理。透過(guò)自行開(kāi)發(fā)的處理程序，可以進(jìn)行其它應(yīng)用，例如：計(jì)算聯(lián)機(jī)費(fèi)用.......等。
RETURN 結(jié)束在目前規(guī)則煉中的過(guò)濾程序，返回主規(guī)則煉繼續(xù)過(guò)濾，如果把自訂規(guī)則煉看成是一個(gè)子程序，那么這個(gè)動(dòng)作，就相當(dāng)于提早結(jié)束子程序并返回到主程序中。
MARK 將封包標(biāo)上某個(gè)代號(hào)，以便提供作為后續(xù)過(guò)濾的條件判斷依據(jù)，進(jìn)行完此處理動(dòng)作后，將會(huì)繼續(xù)比對(duì)其它規(guī)則。范例如下：
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
陸、應(yīng)用實(shí)例
#!/bin/sh
#
# 石牌國(guó)小防火墻設(shè)定指令稿
# 2002/8/27
# 設(shè)定者：李忠憲（修改自 iptables tutorial 1.1.11 by Oskar Andreasson ）
# 原文件是依 DMZ 需求設(shè)計(jì)，已根據(jù)校園 NAT 網(wǎng)絡(luò)之需求修改，其余改動(dòng)部份包括：
# 新增通訊協(xié)議定義區(qū)塊
# 新增執(zhí)行時(shí)，自動(dòng)清除已設(shè)定之規(guī)則
# 支援 FTP
# 修改所有規(guī)則，改采 multiport 方式以簡(jiǎn)化規(guī)則
# 原文件僅支持 IP 偽裝（多對(duì)一對(duì)應(yīng)），已擴(kuò)充為支持一對(duì)一對(duì)應(yīng)及多對(duì)多對(duì)應(yīng)
# 原文件僅支援 DNS 及 WEB，新增 ftp、mail、wam、PCAnywhere、ssh......等多種服務(wù)器
# 修改若干規(guī)則設(shè)定上的小錯(cuò)誤
#
# Copyright (C) 2001 Oskar Andreasson
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; version 2 of the License.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program or from the site that you downloaded it
# from; if not, write to the Free Software Foundation, Inc., 59 Temple
# Place, Suite 330, Boston, MA 02111-1307 USA
#
###########################################################################
#
# 1. Configuration options.
#
# 1.0 Protocols Configuration.
# 定義會(huì)用到的通訊協(xié)議
HTTP="80"
HTTPS="443"
FTP="21"
FTP_DATA="20"
SMTP="25"
POP3="110"
IMAP="143"
SSH="22"
TELNET="23"
PCAW_TCP="5631"
PCAW_UDP="5632"
WEBMIN="10000"
WAM="12000"
DNS="53"

#
# 1.1 Internet Configuration.
#
# 定義 NIC IP 及 WAN 接口
INET_IP="163.21.xxx.253"
HTTP1_IP="163.21.xxx.2"
HTTP2_IP="163.21.xxx.4"
HTTP3_IP="163.21.xxx.9"
HTTP4_IP="163.21.xxx.6"
HTTP5_IP="163.21.xxx.7"
HTTP6_IP="163.21.xxx.10"
FTP1_IP="163.21.xxx.2"
FTP2_IP="163.21.xxx.6"
FTP3_IP="163.21.xxx.7"
MAIL1_IP="163.21.xxx.6"
MAIL2_IP="163.21.xxx.7"
PCAW1_IP="163.21.xxx.2"
PCAW2_IP="163.21.xxx.4"
WAM1_IP="163.21.xxx.6"
WAM2_IP="163.21.xxx.7"
DNS_IP="163.21.xxx.2"
IP_POOL="163.21.xxx.240-163.21.xxx.250"
INET_IFACE="eth1"

#
# 1.2 Local Area Network configuration.
#
# 定義 NAT IP 及 LAN 接口
LAN_IP="192.168.1.253"
LAN_HTTP1_IP="192.168.1.2"
LAN_HTTP2_IP="192.168.1.4"
LAN_HTTP3_IP="192.168.1.9"
LAN_HTTP4_IP="192.168.1.6"
LAN_HTTP5_IP="192.168.1.7"
LAN_HTTP6_IP="192.168.1.53"
LAN_FTP1_IP="192.168.1.2"
LAN_FTP2_IP="192.168.1.6"
LAN_FTP3_IP="192.168.1.7"
LAN_MAIL1_IP="192.168.1.6"
LAN_MAIL2_IP="192.168.1.7"
LAN_PCAW1_IP="192.168.1.2"
LAN_PCAW2_IP="192.168.1.4"
LAN_WAM1_IP="192.168.1.6"
LAN_WAM2_IP="192.168.1.7"
LAN_DNS_IP="192.168.1.2"
LAN_IP_RANGE="192.168.0.0/16"
LAN_BROADCAST_ADDRESS="192.168.1.255"
LAN_IFACE="eth0"

#
# 1.4 Localhost Configuration.
#
# 定義 Loopback IP 及接口
LO_IFACE="lo"
LO_IP="127.0.0.1"

#
# 1.5 IPTables Configuration.
#
# 設(shè)定 iptables 指令路徑
IPTABLES="/sbin/iptables"

#
# 1.6 Other Configuration.
#
###########################################################################
#
# 2. Module loading.
#
#
# Needed to initially load modules
# 整理核心支持模塊之清單
/sbin/depmod -a

#
# 2.1 Required modules
# 加載會(huì)用到的模塊
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

#
# 2.2 Non-Required modules
# 其余未使用之模塊
#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_irc
###########################################################################
#
# 3. /proc set up.
#
#
# 3.1 Required proc configuration
# 啟動(dòng) Forward 接口
echo "1" > /proc/sys/net/ipv4/ip_forward

#
# 3.2 Non-Required proc configuration
# 其余未使用之接口
#echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
###########################################################################
#
# 4. rules set up.
#
######
# 4.1 Filter table
#
# 4.1.0 Ｒeset the default policies in the nat table.
# 清除所有已設(shè)定之規(guī)則，回復(fù)到不設(shè)防狀態(tài)
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#
# 4.1.1 Set policies
# 定義安全政策為正面表列
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#
# 4.1.2 Create userspecified chains
#
#
# 新增使用者自訂規(guī)則煉 bad_tcp_packets、 allowed 和 icmp_packets
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N icmp_packets

#
# 4.1.3 Create content in userspecified chains
#
#
# bad_tcp_packets chain
# bad_tcp_packets 規(guī)則煉的功能是：將要求重導(dǎo)向的聯(lián)機(jī)記錄起來(lái)，然后將封包丟棄（防止聯(lián)機(jī)被綁架，但會(huì)檔掉需要三方交談的服務(wù)，例如：M$ Media Server）
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-level INFO --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP

# allowed chain
# allowed 規(guī)則煉的功能是：允許要求聯(lián)機(jī)封包或響應(yīng)封包進(jìn)入，將其余封包丟棄
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

#
# ICMP rules
# icmp_packets 規(guī)則煉的功能是：允許 ping 封包進(jìn)入，將其余封包丟棄
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#
# 4.1.4 INPUT chain（過(guò)濾要到達(dá)防火墻的封包）
#
#
# 進(jìn)入防火墻主機(jī)的 TCP 封包必須先進(jìn)行 bad_tcp_packets 過(guò)濾
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

# 從 WAN 進(jìn)入防火墻主機(jī)的 ICMP 封包必須先進(jìn)行 icmp_packets 過(guò)濾，這是為了避免駭客傳送不完整的 IP 封包，系統(tǒng)會(huì)響應(yīng) ICMP 封包通知對(duì)方，導(dǎo)致主機(jī)位置被偵測(cè)出來(lái)
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

# 從 LAN 進(jìn)入防火墻主機(jī)的全部 unicast 和 broadcast 封包，通通放行；額外檢查目的地 IP 可以將 multicast 封包濾除
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT

# 從 Loopback 接口進(jìn)入防火墻主機(jī)的所有封包，檢查是否來(lái)自本機(jī)，若是則放行；此規(guī)則去檢查來(lái)源 IP ，似乎有些畫(huà)蛇添足，因?yàn)橹挥衼?lái)自本機(jī)的封包才有機(jī)會(huì)進(jìn)入 Loopback 接口
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

# 從 LAN 進(jìn)入防火墻主機(jī)的 DHCP 封包，予以放行，只有當(dāng)防火墻擔(dān)任 DHCP 時(shí)才使用
#$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

# 從 WAN 進(jìn)入防火墻主機(jī)的所有封包，檢查是否為響應(yīng)封包，若是則予以放行
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

# 限制過(guò)濾規(guī)則的比對(duì)頻率為每分鐘平均流量三個(gè)封包（超過(guò)上限的封包將暫停比對(duì)），并將瞬間流量設(shè)定為一次最多處理三個(gè)封包（超過(guò)上限的封包將丟棄不予處理），這類封包通常是駭客用來(lái)進(jìn)行阻斷式攻擊　
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packet died: "

#
# 4.1.5 FORWARD chain（過(guò)濾要通過(guò)防火墻的封包）
#
#
# 通過(guò)防火墻的 TCP 封包必須先進(jìn)行 bad_tcp_packets 過(guò)濾
$IPTABLES -A FORWARD -p TCP -j bad_tcp_packets

# 從 LAN 要到 WAN 的封包通通放行
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT

# 從 WAN 要到 LAN 的封包僅放行回應(yīng)封包
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允許來(lái)自 WAN 的 Ping 封包，遞送到校內(nèi)所有的服務(wù)器
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -j icmp_packets

# 允許來(lái)自 WAN 的 HTTP、HTTPS 封包，遞送到校內(nèi)所有的 WEB 服務(wù)器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -m multiport --dport $HTTP,$HTTPS -j allowed

# 允許來(lái)自 WAN 的 FTP 封包，遞送到校內(nèi)所有的 FTP 服務(wù)器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP1_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP2_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP3_IP -m multiport --dport $FTP,$FTP_DATA -j allowed

# 允許來(lái)自 WAN 的 SMTP、POP3、IMAP 封包，遞送到校內(nèi)所有的 MAIL 服務(wù)器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL1_IP -m multiport --dport $SMTP,$POP3,$IMAP -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL2_IP -m multiport --dport $SMTP,$POP3,$IMAP -j allowed

# 允許來(lái)自 WAN 的 SSH、TELNET、WEBMIN、WAM 封包，遞送到校內(nèi)所有的 LINUX 服務(wù)器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM1_IP -m multiport --dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM2_IP -m multiport --dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed

# 允許來(lái)自 WAN 的 PCanywhere 封包，遞送到校內(nèi)所有的 PCanywhere 服務(wù)器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP --dport $PCAW_TCP -j allowed
$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP --dport $PCAW_UDP -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP --dport $PCAW_TCP -j allowed
$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP --dport $PCAW_UDP -j ACCEPT

# 允許來(lái)自 WAN 的 DNS 封包，遞送到校內(nèi)的 DNS 服務(wù)器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j allowed
$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j ACCEPT

# 限制過(guò)濾規(guī)則的比對(duì)頻率為每分鐘平均流量三個(gè)封包（超過(guò)上限的封包將暫停比對(duì)），并將瞬間流量設(shè)定為一次最多處理三個(gè)封包（超過(guò)上限的封包將丟棄不予處理），這類封包通常是駭客用來(lái)進(jìn)行阻斷式攻擊　
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 OUTPUT chain（過(guò)濾從防火墻送出的封包）
#
#
# 從防火墻送出的 TCP 封包必須先進(jìn)行 bad_tcp_packets 過(guò)濾
$IPTABLES -A OUTPUT -p TCP -j bad_tcp_packets

# 從防火墻網(wǎng)卡送出的所有封包，通通放行
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

# 限制過(guò)濾規(guī)則的比對(duì)頻率為每分鐘平均流量三個(gè)封包（超過(guò)上限的封包將暫停比對(duì)），并將瞬間流量設(shè)定為一次最多處理三個(gè)封包（超過(guò)上限的封包將丟棄不予處理），這類封包通常是駭客用來(lái)進(jìn)行阻斷式攻擊　
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 nat table
#
#
# 4.2.1 Set policies
#
#
# 4.2.2 Create user specified chains
#
#
# 4.2.3 Create content in user specified chains
#
#
# 4.2.4 PREROUTING chain（定義目的地地址轉(zhuǎn)譯）
#
# 從 WAN 要到校內(nèi)服務(wù)器的封包，在封包過(guò)濾前先轉(zhuǎn)譯目的地 IP 為 NAT IP
$IPTABLES -t nat -A PREROUTING -d $HTTP1_IP -j DNAT --to-destination $LAN_HTTP1_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP2_IP -j DNAT --to-destination $LAN_HTTP2_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP3_IP -j DNAT --to-destination $LAN_HTTP3_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP4_IP -j DNAT --to-destination $LAN_HTTP4_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP5_IP -j DNAT --to-destination $LAN_HTTP5_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP6_IP -j DNAT --to-destination $LAN_HTTP6_IP

#
# 4.2.5 POSTROUTING chain（定義來(lái)源地址轉(zhuǎn)譯）
#
# 從校內(nèi)服務(wù)器要到 WAN 的封包，在送出之前先轉(zhuǎn)譯來(lái)源 IP 為 NIC IP，配合上面區(qū)塊的設(shè)定，就可以做到一對(duì)一對(duì)應(yīng)
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP1_IP -j SNAT --to-source $HTTP1_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP2_IP -j SNAT --to-source $HTTP2_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP3_IP -j SNAT --to-source $HTTP3_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP4_IP -j SNAT --to-source $HTTP4_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP5_IP -j SNAT --to-source $HTTP5_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP6_IP -j SNAT --to-source $HTTP6_IP
# 從校內(nèi)一般單機(jī)要到 WAN 的封包，在送出之前先轉(zhuǎn)譯來(lái)源 IP 為預(yù)設(shè)的 NIC IP，這就是多對(duì)一對(duì)應(yīng)，若指定成 IP 范圍，就變成多對(duì)多對(duì)應(yīng)，例如本范例即是如此
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $IP_POOL

#
# 4.2.6 OUTPUT chain
#
######
# 4.3 mangle table
#
#
# 4.3.1 Set policies
#
#
# 4.3.2 Create user specified chains
#
#
# 4.3.3 Create content in user specified chains
#
#
# 4.3.4 PREROUTING chain
#
#
# 4.3.5 INPUT chain
#
#
# 4.3.6 FORWARD chain
#
#
# 4.3.7 OUTPUT chain
#
#
# 4.3.8 POSTROUTING chain
#
柒、Log 分析
分析 iptables 防火墻 Log 的免費(fèi)軟件相當(dāng)多，底下僅介紹 iptables_logger_v0.3，這個(gè)軟件提供一個(gè) perl 程序，可以讀取系統(tǒng) LOG，并將數(shù)據(jù)寫(xiě)入 MySql 數(shù)據(jù)庫(kù)，然后還提供 php 程序，可以從數(shù)據(jù)庫(kù)讀取數(shù)據(jù)，整理成網(wǎng)頁(yè)提供瀏覽，因此要安裝此分析軟件，必須先安裝 perl、php、mysql 和 apache，有關(guān)這些套件的安裝在這里不再介紹，請(qǐng)自行參考相關(guān)文件，或參加 Linux 進(jìn)階班課程。你可以從這里取得 iptables_logger_v0.3 程序，其安裝程序如下：
安裝數(shù)據(jù)表：
這個(gè)套件解壓縮后，可以看到有一個(gè)數(shù)據(jù)夾叫做 sql，數(shù)據(jù)夾內(nèi)有一個(gè) sql 的指令稿叫做 db.sql，這個(gè)指令稿是用來(lái)建立擺放聯(lián)機(jī)紀(jì)錄所需的數(shù)據(jù)表，請(qǐng)利用以下指令來(lái)安裝，如果您還不熟悉 mysql 的指令，請(qǐng)自行閱讀 man mysql 文件。
root@firewall sql# mysql -u root -p（以 root 身分登入 MySql 主控臺(tái)）
mysql> create database iptables;（建立一個(gè)數(shù)據(jù)庫(kù)叫做 iptables，數(shù)據(jù)庫(kù)也可以自行命名，但是要記得修改相關(guān)程序）
mysql> grant create,select,insert on iptables.* to iptables_admin@localhost identified by ‘xx‘;（將 iptables 數(shù)據(jù)庫(kù)新建、讀取和寫(xiě)入權(quán)限授權(quán)給 iptables_admin 這個(gè)賬號(hào)，并限制只能從本機(jī)聯(lián)機(jī)，密碼為 xx，請(qǐng)自行修改上述指令中之賬號(hào)與密碼）
mysql> grant create,select on iptables.* to iptables_user@localhost identified by ‘xx‘;（將 iptables 數(shù)據(jù)庫(kù)讀取權(quán)限授權(quán)給 iptables_user 這個(gè)賬號(hào)，并限制只能從本機(jī)聯(lián)機(jī)，密碼為 xx，請(qǐng)自行修改上述指令中之賬號(hào)與密碼）
root@firewall sql# cat db.sql | mysql -u iptables_admin -p iptables（以 iptables_admin 身分來(lái)執(zhí)行 db.sql，如果你改了數(shù)據(jù)庫(kù)的名字，請(qǐng)記得修改 db.sql）
修改 iptables 指令稿：
由于這支 Log 分析程序是以讀取系統(tǒng) LOG 加以分析后才匯入到數(shù)據(jù)庫(kù)的方法，來(lái)處理聯(lián)機(jī)紀(jì)錄，并非使用 ULOG 直接由 iptables 將紀(jì)錄寫(xiě)入 mysql 數(shù)據(jù)庫(kù)，感覺(jué)上效能比較差，但在 ULOG 機(jī)制尚未被實(shí)體化之前，這也不失為一個(gè)好的解決方案。
原則上只要在 iptables 指令稿中有產(chǎn)生 LOG 的動(dòng)作，這些信息就會(huì)被分析匯入到數(shù)據(jù)表（由 feed_db.pl 負(fù)責(zé)這個(gè)工作），特別要注意的是 LOG 產(chǎn)生時(shí)會(huì)加入一個(gè)標(biāo)頭（prefix），程序是透過(guò)標(biāo)頭來(lái)分析這筆 LOG 的意義，請(qǐng)將 LOG 標(biāo)頭取名為 IPTABLES DROP 或 IPTABLES ACCEPT，以方便事后的統(tǒng)計(jì)。范例如下：
首先建立一個(gè)新的規(guī)則煉 LOG_DROP，這個(gè)規(guī)則煉用來(lái)將要丟棄的封包先 LOG 到系統(tǒng)日志文件，然后再丟棄。
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix ‘[IPTABLES DROP] : ‘
iptables -A LOG_DROP -j DROP
接著修改所有規(guī)則，只要是需進(jìn)行 DROP 動(dòng)作，都改為跳到 LOG_DROP 規(guī)則煉，例如：
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
改為
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG_DROP
至于需要進(jìn)行 ACCEPT 處理的規(guī)則也如法炮制，先建立 LOG_ACCEPT 規(guī)則煉：
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-tcp-options --log-ip-options --log-prefix ‘[IPTABLES ACCEPT] : ‘
iptables -A LOG_ACCEPT -j ACCEPT
接著修改所有規(guī)則，例如：
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
改為
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j LOG_ACCEPT
安裝顯示分析結(jié)果的 PHP 程序：
在解壓縮的數(shù)據(jù)夾中，找到一個(gè)叫做 web 的子數(shù)據(jù)夾，里面就是要給人從網(wǎng)頁(yè)瀏覽分析結(jié)果的 PHP 程序，如果你的 Apache 已經(jīng)設(shè)定好支持 php 和 php_mysql，那么只要將此數(shù)據(jù)夾復(fù)制到 Apache 的根文件目錄就行了。方法如下：
cp -R web /var/www/iptables
拷貝完成后請(qǐng)修改 config.php ，目的是為了讓 PHP 程序執(zhí)行時(shí)，能以正確的賬號(hào)密碼連上 MySql ，以便從數(shù)據(jù)庫(kù)讀取數(shù)據(jù)，請(qǐng)找到底下三行：
$db_host="localhost";（一般不需修改，除非數(shù)據(jù)庫(kù)在另一臺(tái)主機(jī)上）
$db_user="iptables_user";（修改為僅具有讀取權(quán)限的賬號(hào)，如果之前安裝數(shù)據(jù)庫(kù)有自設(shè)賬號(hào)的話）
$db_password="xxxx";（請(qǐng)將密碼修改為自設(shè)的密碼）
安裝 feed_db.pl：
前面已經(jīng)介紹過(guò)這支程序的作用，請(qǐng)務(wù)必修改這支程序中有關(guān)數(shù)據(jù)庫(kù)聯(lián)機(jī)的 SQL 指令，將指令中的賬號(hào)密碼，改成你當(dāng)初所設(shè)定的賬號(hào)密碼，建議最好不要用 root 身分聯(lián)機(jī)，以免影響防火墻的安全性。這支程序是放在解壓縮后數(shù)據(jù)夾內(nèi)的 scripts 子數(shù)據(jù)夾，請(qǐng)修改下面這三行：
my $dsn = ‘DBI:mysql:iptables:localhost‘;（請(qǐng)將 iptables 改成你自訂的數(shù)據(jù)庫(kù)名稱）
my $db_user_name = ‘iptables_admin‘;（請(qǐng)將 iptables_admin 改成你自訂的管理賬號(hào)）
my $db_password = ‘xxxx‘;（請(qǐng)將 xxxx 改成管理賬號(hào)的密碼）
程序修改好后，請(qǐng)將它拷貝到 /usr/local/bin 數(shù)據(jù)夾，接著將程序執(zhí)行起來(lái)，注意：這支程序會(huì)跑一個(gè)無(wú)窮盡循環(huán)，持續(xù)分析系統(tǒng) LOG，因此必須在背景執(zhí)行，同時(shí)只能有一支程序執(zhí)行，以避免造成 IO 過(guò)大的負(fù)載，執(zhí)行方式如下：
tail --follow=name --retry /var/log/syslog | /usr/local/bin/feed_db.pl &
如果這些動(dòng)作都作了，但程序并未執(zhí)行成功，有可能是因?yàn)?perl_DBI:DBD 套件沒(méi)安裝，請(qǐng)自行用 rpm 補(bǔ)裝該套件。
查看分析結(jié)果：
完成以上所有安裝步驟后，就可以坐下來(lái)享受一下成果，請(qǐng)打開(kāi)瀏覽器輸入底下網(wǎng)址
http://192.xx.1.254/iptables
看到的畫(huà)面，如下圖所示（請(qǐng)點(diǎn)選放大）：

安裝 LOG 分析后的安全防范：
防火墻上安裝越多套件，系統(tǒng)安全性也就越低，改進(jìn)的方法有兩個(gè)：
1. 將 apache 和 mysql 架設(shè)在內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器上，防火墻上僅安裝 mysql client，這樣可以避免 apache 和 mysql 的漏洞被駭客利用
2. 在防火墻上設(shè)定規(guī)則，僅允許來(lái)自內(nèi)部的網(wǎng)絡(luò)，進(jìn)行 HTTP 和 MySql 聯(lián)機(jī)，這個(gè)方法比較簡(jiǎn)單，本文所介紹的 iptables 范例也是采用此法，缺點(diǎn)是無(wú)法在校外查看 LOG 分析結(jié)果