iptables

2023年4月17日发(作者：职业健康安全培训)RH 的 /etc/sysconfig/iptables 文件，为 iptables-save 生成的格式。



*nat 开始处理nat表

REROUTING ACCEPT [5278:800028] PREROUTING 链的默认策略为ACCEPT（接受/允许），即 -tnat -P PREROUTING ACCEPT。方括号内是本链引用计数，即通过本链的有5278个包，共800028字节。

OSTROUTING ACCEPT [5278:800028] POSTROUTING 链的默认策略为ACCEPT，即 -t nat -P POSTROUTING ACCEPT

:OUTPUT ACCEPT [5278:800028] OUTPUT 链的默认策略为接受，即 -t nat -P OUTPUT ACCEPT



QUOTE:

-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70



添加一SNAT规则，从eth1 外发的、源地址为192.168.0.0/24网络的数据包将被修改为好像从 61.133.202.70 发出。

COMMIT nat表处理结束，以下部分不再属于 nat 表





*filter 开始处理 filter 表

:INPUT ACCEPT [5278:800028]

:FORWARD ACCEPT [5278:800028]

:OUTPUT ACCEPT [5278:800028]

:RH-Firewall-1-INPUT [5278:800028] 定义一个自定义链，名称为RH-Firewall-1-INPUT

-A INPUT -j RH-Firewall-1-INPUT所有输入数据包都转到 RH-Firewall-1-INPUT 链处理

-A FORWARD -j RH-Firewall-1-INPUT所有转发数据包都转到 RH-Firewall-1-INPUT 链处理

-A RH-Firewall-1-INPUT -i lo -j ACCEPT在 RH-Firew只有一个地球课文 all-1-INPUT 链中添加规则，接受由本地环回接口进入的所有数据包

-A RH-Firewall-1-INPUT -托福试卷 i eth0 -j ACCEPT 接受由网络接口 eth0 进入的所有数据包

-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT 接受由网络接口 eth1 进入的所有数据包

-A RH-Firewall-1-INPUT -p icmp -m icmp any -j ACCEPT 接受所有 ICMP 协议的数据包

-A RH-Firewall-1-INPUT -p esp -j ACCEPT 接受所有 IPSec ESP 协议的数据包

-A RH-Firewall-1-INPUT -p ah -j ACCEPT 接受所有 IPSec AH 协议的数据包

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 接受所有目标端口为 80 的 TCP 新连接数据包

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 接受所有目标端口为 21 的 TCP 新连接数据包

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j AC社区居民 CEPT 接受所有目标端口为 22 的 TCP 新连接数据包

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 其余数据包一律拒绝，并以 icmp-host-prohibited 数据包回应

COMMIT filter表处理完毕



-A INPUT -s 219.150.13.170 -j DROP

-A INPUT -s 220.115.251.1 -j DROP

-A INPUT -s 211.115.68.55 -j DROP 高中诗词 还是在 filter 表里处理，丢弃源地址为219.150.13.170、220.115.251.1、211.115.68.55 的数据包。

这三行是手工加上去的了，不是 iptables-save茶底世界吉他谱 生成的。



IPTables 控制脚本配置文件?

iptables 初始脚本是由 /etc/sysconfig/iptables-config 配置文件所控制的?。?以?下是包括在这个文件中

的项的列表?：



IPTABLES_MODULES — 在防火墙被激活时，指定一组空间独立的额外 iptables 模块来加载。这可以包括 connection tracking 和 NAT helper。



IPTABLES_MODULES_UNLOAD — 在重新启动和停止时卸载的模块。这个项接受以下值：



yes — 默认的值。这个选项必须被设置来在启动和停止一个防火墙时达到一个正确的?状态。



no — 这个选项只有在卸载 netfilter 模块出现问题时才应该设置。



IPTABLES_SAVE_ON_STOP — 当防火墙停止时把当前的防火墙规则保存到 /etc/sysconfig/iptables。这个项接受以下值?：



yes — 当防火墙停止时把现存的规则保存到 /etc/sysconfig/iptables，而以?前的版本被保存为 /etc/sysconfig/。



no — 默认值。?当防火墙停止时不保存当前的规则。



IPTABLES_SAVE_ON_RESTART — 当防火墙重新启动时，保存当前的防火墙规则。这个项接受以下值：



yes — 当防火墙重新启动时，保存现存的规则到 /etc/sysconfig/iptables，而以前的版本被存为 /etc/sysconfig/。



no — 默认值。防火墙重新启动时，不保存现存的规则。



IPTABLES_SAVE_COUNTER — 保存并恢复所有chain 和规则中的数据包和字节计数器。这个项接受以下值：



yes — 保存计数器的值。



no — 默认值。不保存计数器值。



IPTABLES_STATUS_NUMERIC — 输出的IP地址是数字的格式，而不是域名和主机名的形式。?这个项接受以下值：



yes — 默认的值。在状态输出中只包括IP地址。



no — 在状态输出中返回域名或主机名。



#头两行是注释说明

# Firewall configuration written by system-config-curitylevel

# Manual customization of this file is not recommended.

#使用filter表

*filter

#下面四条内容定义了内建的INPUT、FORWAARD、ACCEPT链，还创建了一个被称为RH-Firewall-1-INPUT 的新链

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

#将所有流入的数据写入到日志文件中

-A INPUT -j LOG --log-level crit

#下面这条规则将添加到INPUT链上，所有发往INPUT链上的数据包将跳转到RH-Firewall-1 //链上。

-A INPUT -j RH-Firewall-1-INPUT

#下面这条规则将添加到FORWARD链上，所有发往INPUT链上的数据包将跳转到RH-Firewall-1 //链上。

-A FORWARD -j RH-Firewall-1-INPUT

#下面这条规则将被添加到RH-Firewall-1-input链。它可以匹配所有的数据包，其中流入接口（-i）//是一个环路接口(lo)。

#匹配这条规则的数据包将全部通过（ACCEPT），不会再使用别的规则来和它们进行比较

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

#下面这条规则是拒绝所以的icmp包-p 后是协议如：icmp、tcp、udp。端口是在-p后面--sport源端口，--dport目的端口。-j 指定数据包发送的

#目的地址如：AC

CEPT、DROP、QUEUE等等

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-I迷散 NPUT -p tcp -m tcp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#-m state --state ESTABLISHED,RELATED这个条件表示所有处于ESTABLISHED或者

RELATED状态的包，策略都是接受的。

# -m state --state NEW 这个条件是当connection的状态为初始连接(NEW)时候的策略。

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 2049 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j DROP -s 222.221.7.84

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT



iptalbes 是状态检测防火墙！