超级实用的 iptables 防火墙脚本

时间：2020-04-28 09:59:11 来源：作者：

本文档详细介绍生产环境中超级实用的iptables脚本。

创建 iptables.sh 脚本

[root@Jaking ~]# vim iptables.sh 
#!/bin/bash

#清空 filter 表和 nat 表
iptables -F
iptables -t nat -F

#关掉 firewalld
systemctl stop firewalld &>/dev/null
systemctl disable firewalld &>/dev/null

#以下两行允许某些调用 localhost 的应用访问
iptables -A INPUT -i lo -j ACCEPT #规则1
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #规则2

#以下一行允许从其他地方 ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #规则3

#以下一行允许从其他主机、网络设备发送 MTU 调整的报文
#在一些情况下，例如通过 IPSec VPN 隧道时，主机的 MTU 需要动态减小
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT #规则4

#以下两行分别允许所有来源访问 TCP 80,443 端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #规则5
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #规则6

#以下一行允许所有来源访问 UDP 80,443 端口
iptables -A INPUT -p udp -m multiport --dports 80,443 -j ACCEPT #规则7

#以下一行允许 192.168.1.63 来源的 IP 访问 TCP 22 端口(OpenSSH)
iptables -A INPUT -p tcp -s 192.168.1.63 --dport 22 -j ACCEPT #规则8

#以下一行允许 192.168.1.3(发起SSH连接的系统对应网卡的IP) 来源的 IP 访问 TCP 22 端口(OpenSSH)
#如果是在远程终端跑本脚本，最好开启以下一行以防被踢掉
#另一种更加简便的方式：iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.3 --dport 22 -j ACCEPT #规则9

#以下一行允许 192.168.1.26 来源的 IP 访问 UDP 161 端口(SNMP)
iptables -A INPUT -p udp -s 192.168.1.26 --dport 161 -j ACCEPT #规则10

#配置 NAT
#启用内核路由转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "net.ipv4.ip_forward = 1" > /etc/sysctl.conf
sysctl -p &>/dev/null

#配置源地址转换 SNAT 
#将 192.168.2.0/24 转换成 192.168.1.63
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 192.168.1.63 #规则11

#配置目的地址转换 DNAT
#将 192.168.1.63 的 80 端口请求转发到 192.168.2.2 的 80 端口
iptables -t nat -A PREROUTING -d 192.168.1.63 -p tcp --dport 80 -j DNAT --to 192.168.2.2:80 #规则12

#以下一行禁止所有其他的进入流量
iptables -A INPUT -j DROP #规则13

#以下一行允许本机响应规则编号为 1-12 的数据包发出
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT #规则14

#以下一行禁止本机主动发出外部连接
iptables -A OUTPUT -j DROP #规则15

#以下一行禁止本机转发数据包 
iptables -A FORWARD -j DROP #规则16

#固化 iptables
iptables-save > /etc/sysconfig/iptables

[root@Jaking ~]# chmod 755 iptables.sh

测试

[root@Jaking ~]# ./iptables.sh 
[root@Jaking ~]# 
[root@Jaking ~]# 
[root@Jaking ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  localhost            localhost           
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     icmp --  anywhere             anywhere             icmp fragmentation-needed
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere             multiport dports http,https
ACCEPT     tcp  --  192.168.1.63         anywhere             tcp dpt:ssh
ACCEPT     tcp  --  192.168.1.3          anywhere             tcp dpt:ssh
ACCEPT     udp  --  192.168.1.26         anywhere             udp dpt:snmp
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state ESTABLISHED
DROP       all  --  anywhere             anywhere            
[root@Jaking ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  anywhere             anywhere            
2    ACCEPT     all  --  localhost            localhost           
3    ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
4    ACCEPT     icmp --  anywhere             anywhere             icmp fragmentation-needed
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
6    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
7    ACCEPT     udp  --  anywhere             anywhere             multiport dports http,https
8    ACCEPT     tcp  --  192.168.1.63         anywhere             tcp dpt:ssh
9    ACCEPT     tcp  --  192.168.1.3          anywhere             tcp dpt:ssh
10   ACCEPT     udp  --  192.168.1.26         anywhere             udp dpt:snmp
11   DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  anywhere             anywhere             state ESTABLISHED
2    DROP       all  --  anywhere             anywhere            
[root@Jaking ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             192.168.1.63         tcp dpt:http to:192.168.2.2:80

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.2.0/24       anywhere             to:192.168.1.63
[root@Jaking ~]# iptables -t nat -L --line-number
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  anywhere             192.168.1.63         tcp dpt:http to:192.168.2.2:80

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    SNAT       all  --  192.168.2.0/24       anywhere             to:192.168.1.63

iptables 的清空和恢复

[root@Jaking ~]# iptables -F
[root@Jaking ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@Jaking ~]# iptables -t nat -F
[root@Jaking ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination 
[root@Jaking ~]# iptables-restore < /etc/sysconfig/iptables
[root@Jaking ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  localhost            localhost           
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     icmp --  anywhere             anywhere             icmp fragmentation-needed
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere             multiport dports http,https
ACCEPT     tcp  --  192.168.1.63         anywhere             tcp dpt:ssh
ACCEPT     tcp  --  192.168.1.3          anywhere             tcp dpt:ssh
ACCEPT     udp  --  192.168.1.26         anywhere             udp dpt:snmp
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state ESTABLISHED
DROP       all  --  anywhere             anywhere            
[root@Jaking ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             192.168.1.63         tcp dpt:http to:192.168.2.2:80

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.2.0/24       anywhere             to:192.168.1.63

总结

以上就是生产环境中超级实用的iptables脚本，这个脚本可以直接拿去用，不过请谨慎操作！

本文原创地址：https://www.linuxprobe.com/super-practical-iptables.html编辑：传棋，审核员：逄增宝

Tags： iptables 防火墙点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com)，我们将及时更正、删除，谢谢。

▌相关推荐

超级实用的 iptables 防火墙脚本

本文档详细介绍生产环境中超级实用的iptables脚本。创建 iptables.sh 脚本[root@Jaking ~]# vim iptables.sh #!/bin/bash#清空 filter 表和 nat 表iptables -Fiptables -t...【详细内容】

2020-04-28　　Tags: iptables 防火墙点击:(61)　　评论:(0)　　加入收藏

▌简易百科推荐

德勤2021网络安全前瞻调研报告：网络安全，为未来赋能您的员工

（报告出品方：德勤）数字化转型网络安全及转型挑战在任何行业，保持竞争力都需要快速开发新产品和服务并推向市场。创新型业务模式不仅仅是简单地将现有流程数字化，其正在覆盖供应...【详细内容】

2021-12-22　　认是　　　　Tags:网络安全　点击:(29)　　评论:(0)　　加入收藏

为强力解决XSS跨站点脚本攻击，原生WEB安全API终于出现了

10月18号， W3C中网络平台孵化器小组（Web Platform Incubator Community Group）公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。网络安全中...【详细内容】

2021-12-07　　实战Java　　博客园　　Tags:脚本攻击　点击:(20)　　评论:(0)　　加入收藏

小白如何用防火墙规则和IP安全策略关闭危险端口

一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则，但是大家知道如何配置Windows入站出站规则吗？有哪些常见的危险端口呢？如何解决上述问题...【详细内容】

2021-12-01　　Kali与编程　　　　Tags:防火墙　点击:(30)　　评论:(0)　　加入收藏

网络攻击者最有可能攻击的IT资产列表

网络安全服务商Randori公司日前发布了一份调查报告，列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际，以及在网络安全(尤其是勒索软件和供应...【详细内容】

2021-10-28　　企业网D1net 　　企鹅号　　Tags:网络攻击　点击:(57)　　评论:(0)　　加入收藏

域内一个特权提升技巧

0x01.背景实验利用Dns Administrators 组成员，通过远程配置Dns服务，进行Dll inject从而实现特权提升。在域内，Dns server 通常为Dc Server,Dns服务器管理基于rpc，通过调用c:\wi...【详细内容】

2021-10-22　　IT影子　　　　Tags:特权提升　点击:(37)　　评论:(0)　　加入收藏

CSRF跨站请求伪造的安全防护

本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施，工作中有用到的朋友不妨收藏转发一下，以备您参考。什么是CSRF？CSRF跨站点请求伪造(Cross—Site Request...【详细内容】

2021-10-13　　快乐中恒　　　　Tags:CSRF 　点击:(49)　　评论:(0)　　加入收藏

如何绕过WAF和本地防火墙双重防护？

waf拦截在打某市 Hvv 第一天就找到一个文件上传的点，经过测试，可以直接任意文件上传，没有什么道理。直接尝试上传 Php 文件，被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】

2021-10-11　　KaliMa　　　　Tags:防火墙　点击:(56)　　评论:(0)　　加入收藏

Web 文件管理器elFinder 的漏洞链分析

应用程序与文件系统的交互始终是高度安全敏感的，因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确，其作用是复制完整文件系统的功能...【详细内容】

2021-09-17　　IT野涵　　　　Tags:漏洞链　点击:(56)　　评论:(0)　　加入收藏

iPhone 会被黑客入侵吗？

您的苹果手机尽管iPhone比Android更安全，但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序，并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】

2021-09-16　　Hackers爱好者　　　　Tags:黑客入侵　点击:(633)　　评论:(0)　　加入收藏

主备模式防火墙在网络里的布置方式

防火墙一般布置在逻辑区域的入口处，位于三层网络架构的核心和汇聚之间，起到隔离逻辑区域，为逻辑区域创建安全策略的作用。上面就是应用区的防火墙布置方式，他布置在应用区，可以...【详细内容】

2021-09-03　　知来知去　　　　Tags:主备模式防火墙　点击:(109)　　评论:(0)　　加入收藏

推荐资讯

聊聊如何自定义数据脱	河南人到底有多爱吃面
人称“犬中四煞”的4	离婚后，约定每月给孩子
“三皇五帝”分别是哪	印度低种姓群体如何翻
日本研发“飞行摩托”	2021年Steam最畅销游