Linux系統(tǒng)下使用Iptables構(gòu)建靜態(tài)防火墻

　　這篇文章向讀者展示了如何一步一步建立靜態(tài)防火墻來保護您的計算機，同時在每一步中，我力圖向讀者講述清楚原理。在這篇教程之后，你將能理解到防火墻內(nèi)在過濾機制，同時也能自己動手建立符合自己要求的防火墻。

　　1、iptables介紹

　　iptables 是復雜的，它集成到linux內(nèi)核中。用戶通過iptables，可以對進出你的計算機的數(shù)據(jù)包進行過濾。通過iptables指令設置你的規(guī)則，來把守你的計算機網(wǎng)絡──哪些數(shù)據(jù)允許通過，哪些不能通過，哪些通過的數(shù)據(jù)進行記錄(log)。接下來，我將告訴你如何設置自己的規(guī)則，從現(xiàn)在就開始吧。

　　2、初始化工作

　　在shell提示符 # 下打入

　　iptables -F  
 
　　iptables -X  
 
　　iptables -t nat -F  
 
　　iptables -t nat -X  
 

　　以上每一個指令都有它確切的含義。一般設置你的iptables之前，首先要清除所有以前設置的規(guī)則，我們就把它叫做初始化好了。雖然很多情況下它什么也不做，但是保險起見，不妨小心一點吧! 要是你用的是redhat 或fedora，那么你有更簡單的辦法

　　service iptables stop  
 

　　3、開始設置規(guī)則:

　　接下下開始設置你的規(guī)則了

　　iptables -P INPUT DROP  
 

　　這一條指令將會為你架設一個非常“安全”的防火墻，我很難想象有哪個hacker能攻破這樣的機器，因為它將所有從網(wǎng)絡進入你機器的數(shù)據(jù)丟棄(drop) 了。這當然是安全過頭了，此時你的機器將相當于沒有網(wǎng)絡。要是你ping localhost，你就會發(fā)現(xiàn)屏幕一直停在那里，因為ping收不到任何回應。

　　4 、添加規(guī)則

　　接著上文繼續(xù)輸入指令：

　　iptables -A INPUT -i ! ppp0 -j ACCEPT  
 

　　這條規(guī)則的意思是：接受所有的，來源不是網(wǎng)絡接口ppp0的數(shù)據(jù)。

　　我們假定你有兩個網(wǎng)絡接口，eth0連接局域網(wǎng)，loop是回環(huán)網(wǎng)(localhost)。ppp0是一般的adsl上網(wǎng)的internet網(wǎng)絡接口，要是你不是這種上網(wǎng)方式，那則有可能是eth1。在此我假定你是adsl上網(wǎng)，你的internet接口是ppp0

　　此時你即允許了局域網(wǎng)的訪問，你也可以訪問localhost

　　此時再輸入指令 ping localhost，結(jié)果還會和剛才一樣嗎?

　　到此我們還不能訪問www,也不能mail，接著看吧。

　　5、我想訪問www

　　iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT  
 

　　允許來自網(wǎng)絡接口ppp0(internet接口)，并且來源端口是80的數(shù)據(jù)進入你的計算機。

　　80端口正是www服務所使用的端口。

　　好了，現(xiàn)在可以看網(wǎng)頁了。但是，你能看到嗎?

　　要是你在瀏覽器的地址中輸入www.baidu.com，能看到網(wǎng)頁嗎?

　　你得到的結(jié)果一定是：找不到主機www.baidu.com

　　但是，要是你再輸入220.181.27.5,你仍然能夠訪問baidu的網(wǎng)頁。

　　為什么?要是你了解dns的話就一定知道原因了。

　　因為要是你打入www.baidu.com,你的計算機無法取得www.baidu.com這個名稱所能應的ip地址220.181.27.5。要是你確實記得這個ip，那么你仍然能夠訪問www,你當然可以只用ip來訪問www，要是你想挑戰(zhàn)你的記憶的話^ _ ^，當然，我們要打開DNS。

　　6、打開dns端口

　　打開你的dns端口，輸入如下指令：

　　iptables -A INPUT -i ppp0 -p udp -sport 53 -j ACCEPT  
 

　　這條指令的含義是，接受所有來自網(wǎng)絡接口ppp0,upd協(xié)議的53端口的數(shù)據(jù)。53也就是著名的dns端口。

　　此時測試一下，你能通過主機名稱訪問www嗎?你能通過ip訪問www嗎?

　　當然，都可以!

　　7、查看防火墻

　　此時可以查看你的防火墻了

　　iptables -L  
 

　　要是你只想訪問www，那么就可以到此為止，你將只能訪問www了。 不過先別急，將上面講的內(nèi)容總結(jié)一下，寫成一個腳本。

　　#!/bin/bash  
 
　　# This is a script  
 
　　# Edit by liwei  
 
　　# establish static firewall  
 
　　iptables -F  
 
　　iptables -X  
 
　　iptables -t nat -F  
 
　　iptables -t nat -X  
 
　　iptables -P INPUT DROP  
 
　　iptables -A INPUT -i ! ppp0 -j ACCEPT  
 
　　iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT  
 
　　iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT  
 

　　8、iptables復雜嗎?

　　到此iptables可以按你的要求進行包過濾了。你可以再設定一些端口，允許你的機器訪問這些端口。這樣有可能，你不能訪問QQ，也可能不能打網(wǎng)絡游戲，是好是壞，還是要看你自己而定了。順便說一下，QQ這個東西還真是不好控制，用戶與服務器連接使用的好像是8888端口，而QQ上好友互發(fā)消息使用的又是udp的4444端口(詳細是不是4444還不太清楚)。并且QQ還可以使用www的80端口進行登錄并發(fā)消息，看來學無止境，你真的想把這個家伙控制住還不容易呢?還是進入我們的正題吧。

　　要是你的機器是服務器，怎么辦?

　　9、問題簡答

　　要是不巧你的機器是服務器，并且要提供www服務。顯然，以上的腳本就不能符合我們的要求了。但只要你撐握了規(guī)則，稍作修改同樣也能很好的工作。在***面加上一句

　　iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT  
 

　　這一句也就是將自己機器上的80端口對外開放了,這樣internet上的其他人就能訪問你的www了。當然，你的www服務器得工作才行。要是你的機器同時是smtp和pop3服務器，同樣的再加上兩條語句,將--dport后面的80改成25和110就行了。要是你還有一個ftp服務器，呵呵，要是你要打開100個端口呢……

　　我們的工作好像是重復性的打入類似的語句，你可能自己也想到了，我可以用一個循環(huán)語句來完成，對，此處可以有效的利用shell腳本的功能，也讓你體驗到了shell腳本語言的威力?？聪挛模?/p>

　　10、用腳本簡化你的工作,閱讀下面的腳本

　　#!/bin/bash  
 
　　# This is a script  
 
　　# Edit by liwei  
 
　　# establish a static firewall  
 
　　# define const here  
 
　　Open_ports="80 25 110 10" # 自己機器對外開放的端口  
 
　　Allow_ports="53 80 20 21" # internet的數(shù)據(jù)可以進入自己機器的端口  
 
　　#init  
 
　　iptables -F  
 
　　iptables -X  
 
　　iptables -t nat -F  
 
　　iptables -t nat -X  
 
　　iptables -P INPUT DROP #we can use another method to instead it  
 
　　iptables -A INPUT -i ! ppp0 -j ACCEPT  
 
　　# define ruler so that some data can come in.  
 
　　for Port in "Allow_ports" ; do  
 
　　iptables -A INPUT -i ppp0 -p tcp -sport ?$Port -j ACCEPT  
 
　　iptables -A INPUT -i ppp0 -p udp -sport ?$Port -j ACCEPT  
 
　　done  
 
　　for Port in "Open_ports" ; do  
 
　　iptables -A INPUT -i ppp0 -p tcp -dport ?$Port -j ACCEPT  
 
　　iptables -A INPUT -i ppp0 -p udp -dport ?$Port -j ACCEPT  
 
　　done  
 

　　這個腳本有三個部分(最前面的一段是注釋，不算在這三部分中)

　　***部分是定義一些端口：訪問你的機器"Open_ports"端口的數(shù)據(jù)，允許進入;來源是"Allow_ports"端口的數(shù)據(jù)，也能夠進入。

　　第二部分是iptables的初始化，第三部分是對定義的端口詳細的操作。

　　要是以后我們的要求發(fā)生了一些變化，比如,你給自己的機器加上了一個ftp服務器，那么只要在***部分"Open_ports"的定義中，將ftp對應的20與21端口加上去就行了。呵呵，到此你也一定體會到了腳本功能的強大的伸縮性，但腳本的能力還遠不止這些呢!

　　11、使你的防火墻更加完善

　　看上面的腳本init部分的倒數(shù)第二句

　　iptables -P INPUT DROP  
 

　　這是給防火墻設置默認規(guī)則。當進入我們計算機的數(shù)據(jù)，不匹配我們的任何一個條件時，那么就由默認規(guī)則來處理這個數(shù)據(jù)----drop掉，不給發(fā)送方任何應答。

　　也就是說，要是你從internet另外的一臺計算機上ping你的主機的話，ping會一直停在那里，沒有回應。

　　要是黑客用namp工具對你的計算機進行端口掃描，那么它會提示黑客，你的計算機處于防火墻的保護之中。我可不想讓黑客對我的計算機了解太多，怎么辦，要是我們把drop改成其他的動作，或許能夠騙過這位剛出道的黑客呢。

　　怎么改呢?將剛才的那一句( iptables -P INPUT DROP )去掉，在腳本的***面加上

　　iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset  
 
　　iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable  
 

　　這樣就好多了，黑客雖然能掃描出我們所開放的端口，但是他卻很難知道，我們的機器處在防火墻的保護之中。要是你只運行了ftp并且僅僅對局域網(wǎng)內(nèi)部訪問,他很難知道你是否運行了ftp。在此我們給不該該進入我們機器的數(shù)據(jù)，一個欺騙性的回答，而不是丟棄(drop)后就不再理會。這一個功能，在我們設計有狀態(tài)的防火墻中(我這里講的是靜態(tài)的防火墻)特別有用。

　　你可以親自操作一下，看一看修改前后用namp掃描得到的結(jié)果會有什么不同?

　　12、總結(jié)：

　　這個教程我想到此就完畢了，其中有很多東西在這里沒有提到，如ip偽裝，端口轉(zhuǎn)發(fā)，對數(shù)據(jù)包的記錄功能。還有一個很重要的東西就是：iptables處理數(shù)據(jù)包的流程.在這里我想告訴你，你設置的過濾規(guī)則的順序很重要，在此不宜詳細介紹，因為這樣一來，這個教程就會拘泥于細節(jié)。

　　iptables是復雜的，我在linuxsir上看過很多教程，它們往往多而全，反而讓人望而生畏，希望我的這個教程，能夠指導你入門。加油!

　　***，我把完整的腳本寫出來如下，你只要修改常量定義部分，就能表現(xiàn)出較大的伸縮性^_^

　　#!/bin/bash  
 
　　# This is a script  
 
　　# Edit by liwei  
 
　　# establish a static firewall  
 
　　# define const here  
 
　　Open_ports="80 25 110 10" # 自己機器對外開放的端口  
 
　　Allow_ports="53 80 20 21" # internet的數(shù)據(jù)可以進入自己機器的端口  
 
　　#init  
 
　　iptables -F  
 
　　iptables -X  
 
　　iptables -t nat -F  
 
　　iptables -t nat -X  
 
　　# The follow is comment , for make it better  
 
　　# iptables -P INPUT DROP  
 
　　iptables -A INPUT -i ! ppp0 -j ACCEPT  
 
　　# define ruler so that some data can come in.  
 
　　for Port in "Allow_ports" ; do  
 
　　ptables -A INPUT -i ppp0 -p tcp -sport ?$Port -j ACCEPT  
 
　　iptables -A INPUT -i ppp0 -p udp -sport ?$Port -j ACCEPT  
 
　　done  
 
　　for Port in "Open_ports" ; do  
 
　　iptables -A INPUT -i ppp0 -p tcp -dport ?$Port -j ACCEPT  
 
　　iptables -A INPUT -i ppp0 -p udp -dport ?$Port -j ACCEPT  
 
　　done  
 
　　# This is the last ruler , it can make you firewall better  
 
　　iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset  
 
　　iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable  
 

　　以上，你已經(jīng)成功在Linux下使用Iptables構(gòu)建靜態(tài)防火墻了。更多Iptables的配置文章請關注本欄目的其他文章。

【編輯推薦】

1. Linux iptables防火墻介紹
2. netfilter/iptables系統(tǒng)的安裝
3. 圖解netfilter/iptables工作原理