iptables

Linux网络访问黑/白名单服务

编辑/etc/hosts.deny和/etc/hosts.allow文件配合使用完成网络IP的屏蔽.

sshd:10.1.5.*:allow

sshd:10.2.5.*:allow

以上写法表示允许10.1.5和10.2.5两个ip段连接sshd服务（这必然需要hosts.deny这个文件配合使用），当然:allow完全可以省略的

如果管理员集中在一个IP那么这样写是比较省事的

all:10.1.5.10//他表示接受10这个ip的所有请求！

service xinetd restart

首先列出iptables在linux内核中涉及的五个位置：

1.内核空间中：从一个网络接口进来，到另一个网络接口去的

2.数据包从内核流入用户空间的

3.数据包从用户空间流出的

4.进入/离开本机的外网接口

5.进入/离开本机的内网接口

这五个位置也被称为五个钩子函数（hook functions）,也叫五个规则链。

1.PREROUTING (路由前)

2.INPUT (数据包流入口)

3.FORWARD (转发管卡)

4.OUTPUT(数据包出口)

5.POSTROUTING（路由后）

这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。

$iptables -L -v -n --line-numbers

-L INPUT,PREROUTING(prerouting,input,output,forward,postrouting五张默认链)

-t mangle,filter (查看过滤规则等信息，iptables中有raw,mangle,nat,filter四张表)

如果想要地址不经过域名的转换，那么添加参数-n

每一条规则前添加序号，那么在命令后面添加参数--line

$iptables -L -n 

查看状态：

service iptables status

通过它可以设置linux防火墙，查看过滤规则等信息，iptables中有raw,mangle,nat,filter四张表，prerouting,input,output,forward,postrouting五张默认链，因此，本文将说明如何通过iptables查看系统的规则信息。

给服务器设置iptables防火墙白名单

①清空iptables的配置，即还原到初始状态   //注意：执行以下操作后，所有远程连接都会失效，因此不适用于远程配置

>iptables -F     //删除INPUT,OUTPUT,FORWARD三个链的配置

>iptables -X     //删除所有用户配置的规则

②配置接入、输出、转接三个链

>iptables -P INPUT DROP             //限制接入端

>iptables -P OUTPUT ACCEPT      //开放输出端

>iptables -P FORWARD ACCEPT   //开放中转端

③加入白名单

>iptables -A INPUT -s 192.111.51.45 -p all -j ACCEPT       //开放所有端口给指定ip:192.111.51.45

>iptables -A INPUT -s 192.111.51.44 -p all -j ACCEPT      //开放所有端口给本机 

>iptables -A INPUT -s 192.111.1.51 -p all -j ACCEPT      //开放所有端口给指定ip:192.111.1.51

删除规则，（删除多余的规则）

>iptables -D INPUT 2   //删除INPUTl链的第二条规则

黑名单机制 # iptables -I INPUT  -p tcp --dport 80 -j REJECT

比如：不允许202.110.0.0/24的进行访问。

iptables -t filter -A INPUT -s 202.110.0.0/16 -p udp --dport 53 -j DROP

当然你如果想拒绝的更彻底：

iptables -t filter -R INPUT 1 -s 202.110.0.0/16 -p udp --dport 53 -j REJECT

④查看规则

>iptables -L -n --line-number       //查看当前iptables的规则及所有过滤的条目（白名单显示在这里）

⑤保存有效配置            

>iptables save  //保存设置

>iptables-save /etc/iptables.rule   //保存设置到文件中

>cat /etc/iptables.rule          //查看配置文件

⑥从配置文件中载入配置，iptables生效

>iptables-restore < /etc/iptables.rule

iptables配置文件在系统的/etc/sysconfig/iptables-config

修改完iptables配置文件还需要通过命令： 

service iptables save 进行保存 

service iptables save && service iptables restart 重启iptables

---

下面是定义某些ip为系统可访问白名单的配置，主要是在INPUT (数据包流入口)这个规则下拦截白名单以外的ip进行具体端口的访问：

# Generated by iptables-save v1.4.7 on Sun Sep 18 11:49:08 2016

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [382404:29851692]

#定义白名单变量名

-N whitelist

#设置白名单ip段

-A whitelist -s 120.25.122.0 -j ACCEPT

-A whitelist -s 120.25.122.1 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j whitelist

-A INPUT -i lo -j ACCEPT

#开放http/https端口外界访问

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

#系统远程连接及数据库端口规定白名单ip才可访问

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j whitelist

-A INPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j whitelist

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j whitelist

-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j whitelist

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT