ubuntu iptables和ufw相关设置

Sunny

ubuntu iptables和ufw相关设置

用whereis命令查看iptables看有没有启用。 输出如下表示已经安装了。

1. root@ubuntu:~# whereis iptables
   
2. iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz
   

复制代码

举几个最常用的命令
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT  #允许22端口访问并指定eth0端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT            #允许80 tcp访问
iptables -A INPUT -p tcp -m multiport --source-port 80,443,22 -j ACCEPT   #允许tcp 80,443,22多端口访问

iptables常用命令
iptables -h         #查看帮助
iptables -L        #查看过滤规则
iptables -L -n    #-n以ip显示，如果没有加-n直接显示主机名
iptables -L -V   #-V显示详细信息
iptables-save     #保存创建好的规则到文件
iptables-restore #从文件恢复到规则

iptables [-t table] command chain [match] [-j target]

t table，table有四个选项，默认为filter：
filter：一般的过滤功能，默认的table
nat：用于NAT功能（端口映射，地址映射等）
mangle：用于对特定数据包的修改
raw：主要用于配合NOTRACK的响应
security：用户强制访问控制(MAC)网络规则

command，定义规则写入方式：
-P：定义链的默认规则（所有其它规则都没有匹配到的数据包，将按照默认规则来执行）
-A：追加，在当前链的最后新增一个规则
-I num：插入，把当前规则插入为第几条
-R num：Replays替换/修改第几条规则
-D num：删除，明确指定删除第几条规则

chain，netfilter可以在五个位置进行过滤：
PREROUTING (路由前)
INPUT (数据包流入口)
FORWARD (转发管卡)
OUTPUT(数据包出口)
POSTROUTING（路由后）

match：匹配规则，常用的规则有以下几种：
-p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP，逗号分隔多个协议，ALL是确实设置，!表示反向匹配）
-s：匹配源地址ip或ip段（IP或IP/MASK，!表示反向匹配）
-d：匹配信息包的目的地IP地址（!表示反向匹配）
-i：流入网卡
-o：流出网卡
–dport：目标端口
–sport：源端口
–state：连接状态
-m：显式扩展以上的规则（即可以匹配多个状态、端口等）

target：进行的操作/响应，常见的有以下几种：
DROP（悄悄丢弃）
REJECT（明示拒绝）
ACCEPT（接受）
MASQUERADE（源地址伪装）
REDIRECT（重定向）
MARK（打防火墙标记的）
RETURN（返回）


ufw相关设置
apt-get install ufw  #安装ufw
ufw status  #ufw状态

vim /etc/default/ufw
IPV6=no    #ufw禁用ipv6

dpkg --get-selections | grep ufw  #检测是否安装了ufw
ufw allow 22 #ufw允许访问22
ufw allow 6000:6007/tcp #ufw允许6000-6007段端口访问
ufw allow from 203.0.113.4 #ufw允许从指定ip访问
ufw allow from 203.0.113.4/24  #ufw允许203.0.113.1-254访问
ufw enable #ufw启用
ufw disable #ufw禁用
ufw restet #ufw重置全部规则