數據包經過防火墻的路徑圖1比較完整地展示了一個數據包是如何經過防火墻的，考慮到節省空間，該圖實際上包了三種情況：

來自外部，以防火墻（本機）為目的地的包，在圖1中自上至下走左邊一條路徑。

由防火墻（本機）產生的包，在圖1中從“本地進程”開始，自上至下走左邊一條路徑

來自外部，目的地是其它主機的包，在圖1中自上至下走右邊一條路徑。

 圖1

如果我們從上圖中略去比較少用的mangle表的圖示,就有圖2所顯示的更為清晰的路徑圖.

 圖2

禁止端口的實例

禁止ssh端口

只允許在192.168.62.1上使用ssh遠程登錄，從其它計算機上禁止使用ssh

#iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT

#iptables -A INPUT -p tcp --dport 22 -j DROP

禁止代理端口

#iptables -A INPUT -p tcp --dport 3128 -j REJECT

禁止icmp端口

除192.168.62.1外，禁止其它人ping我的主機

#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j
      ACCEPT

#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j DROP

或

#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT

#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP

注：可以用iptables --protocol icmp --help查看ICMP類型

還有沒有其它辦法實現?

禁止QQ端口

#iptables -D FORWARD -p udp --dport 8000 -j REJECT

強制訪問指定的站點

 圖3

要使192.168.52.0/24網絡內的計算機(這此計算機的網關應設為192.168.52.10)強制訪問指定的站點,在做為防火墻的計算機(192.168.52.10)上應添加以下規則:

1. 打開ip包轉發功能

echo 1 > /proc/sys/net/ipv4/ip_forward

2. 在NAT/防火墻計算機上的NAT表中添加目的地址轉換規則:

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80

iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination 202.96.134.130:80

3. 在NAT/防火墻計算機上的NAT表中添加源地址轉換規則:　

iptables -t nat -I POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000

iptables -t nat -I POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000

4. 測試:在內部網的任一臺計算機上打開瀏覽器,輸入任一非本網絡的IP,都將指向IP為202.96.134.130的網站.

發布內部網絡服務器

 圖4

要使因特網上的計算機訪問到內部網的FTP服務器、WEB服務器,在做為防火墻的計算機上應添加以下規則:

1. echo 1 > /proc/sys/net/ipv4/ip_forward

2. 發布內部網web服務器

iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 80 -j DNAT --to-destination 192.168.52.15:80

iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.15 --sport 80 -j SNAT --to-source 202.96.134.10:20000-30000　

3. 發布內部網ftp服務器

iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 21 -j DNAT --to-destination 192.168.52.14:21

iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.14 --sport 21 -j SNAT --to-source 202.96.134.10:40000-50000

4. 注意:內部網的計算機網關要設置為防火墻的ip(192.168.52.1)

5. 測試: 用一臺IP地址為202.96.134.0段的計算機虛擬因特網訪問,當在其瀏覽器中訪問http://202.96.134.10時,實際應看到的是192.168.52.15的的web服務;

當訪問ftp://202.96.134.10時,實際應看到的是192.168.52.14上的的ftp服務

智能DNS

 
 圖5

1. echo 1 > /proc/sys/net/ipv4/ip_forward

2. 在NAT服務器上添加以下規則:

在PREROUTING鏈中添加目的地址轉換規則:

iptables -t nat -I PREROUTING -i eth0 -p tcp --dpor 53 -j DNAT --to-destination 202.96.134.130

iptables -t nat -I PREROUTING -i eth0 -p udp --dpor 53 -j DNAT --to-destination 202.96.134.130

在POSTROUTING鏈中添加源地址轉換規則:

iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p tcp --dpor 53 -j SNAT --to-source 202.96.134.10:40000-50000

iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p udp --dpor 53 -j SNAT --to-source 202.96.134.10:40000-50000

3. 測試

在內部網任一臺計算機上,將DNS設置為任意的外網IP,就可以使用DNS測試工具如nslookup來解析DNS服務器202.96.134.130上的名稱.

端口映射

透明代理設置

#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.62.0/24 --dport 80 -j REDIRECT --to-ports 3128

通過NAT上網

典型NAT上網

一般做為NAT的計算機同時也是局域網的網關，假定該機有兩塊網卡eth0、eth1，eth0連接外網，IP為202.96.134.134；eth1連接局域網，IP為192.168.62.10

1. 先在內核里打開ip轉發功能

#echo 1 > /proc/sys/net/ipv4/ip_forward

2.使局域網用戶能訪問internet所要做的nat

#iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to?202.96.134.134

如果上網的IP是動態IP，則使用以下規則：

#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.62.0/24 -j MASQUERADE

如果是通過ADSL上網，且公網IP是動態IP，則使用以下規則：

#iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.62.0/24 -j MASQUERADE

3. 使internet用戶可以訪問局域網內web主機所要做的nat

#iptables -t nat -A PREROUTING -p tcp -d 202.96.134.134 --dport 80 -j DNAT --to-destination 192.168.62.10

注：局域網內的客戶端需將默認網關、DNS設為防火墻的IP

在我們的網絡機房實現NAT共享上網

工作環境:上層代理192.168.60.6(4480)，只授予教師機(192.168.62.111)使用該代理的權限

目標：不使用squid代理上網，而是使用NAT的方式上網

方法：

1) 確保停止教師機(192.168.62.111)的squid或其它代理服務

2) 客戶端網關、DNS均指向192.168.62.111，瀏覽器代理設置為192.168.60.6(4480)。測試在當前情況下能否上網

3) 在教師機(192.168.62.111)上添加如下iptables規則：

#iptables -t nat -A POSTROUTING -p tcp -d 192.168.60.6/32 --dport 4480 -j SNAT --to-source 192.168.62.111:10000-30000

解釋：對于目的地為192.168.60.6、目的端口為4480的TCP包，在經過防火墻路由后，將其源地址轉換為192.168.62.111，端口轉換為10000-30000間的某個端口。

4) 客戶端測試能否上網

IP規則的保存與恢復

iptables-save把規則保存到文件中，再由目錄rc.d下的腳本（/etc/rc.d/init.d/iptables）自動裝載

使用命令iptables-save來保存規則。一般用

iptables-save > /etc/sysconfig/iptables

生成保存規則的文件 /etc/sysconfig/iptables，

也可以用

service iptables save

它能把規則自動保存在/etc/sysconfig/iptables中。

當計算機啟動時，rc.d下的腳本將用命令iptables-restore調用這個文件，從而就自動恢復了規則。

iptables 指令語法

iptables [-t table] command [match] [-j target/jump]

[-t table] 指定規則表

-t 參數用來，內建的規則表有三個，分別是：nat、mangle 和 filter，當未指定規則表時，則一律視為是 filter。個規則表的功能如下：

nat：此規則表擁有 PREROUTING 和 POSTROUTING 兩個規則鏈，主要功能為進行一對一、一對多、多對多等網址轉換工作（SNAT、DNAT），這個規則表除了作網址轉換外，請不要做其它用途。

mangle：此規則表擁有 PREROUTING、FORWARD 和 POSTROUTING 三個規則鏈。除了進行網址轉換工作會改寫封包外，在某些特殊應用可能也必須去改寫封包（TTL、TOS）或者是設定 MARK（將封包作記號，以進行后續的過濾），這時就必須將這些工作定義在 mangle 規則表中，由于使用率不高，我們不打算在這里討論 mangle 的用法。

filter： 這個規則表是默認規則表，擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈，這個規則表顧名思義是用來進行封包過濾的處理動作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我們會將基本規則都建立在此規則表中。

command 常用命令列表：

命令 -A, --append

范例 iptables -A INPUT ...

說明 新增規則到某個規則鏈中，該規則將會成為規則鏈中的最后一條規則。

命令 -D, --delete

范例 iptables -D INPUT --dport 80 -j DROP

iptables -D INPUT 1

說明 從某個規則鏈中刪除一條規則，可以輸入完整規則，或直接指定規則編號加以刪除。

命令 -R, --replace

范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP

說明 取代現行規則，規則被取代后并不會改變順序。

命令 -I, --insert

范例 iptables -I INPUT 1 --dport 80 -j ACCEPT

說明 插入一條規則，原本該位置上的規則將會往后移動一個順位。

命令 -L, --list

范例1 iptables -L INPUT

說明 列出某規則鏈中的所有規則。

范例2 iptables -t nat -L

說明 列出nat表所有鏈中的所有規則。

命令 -F, --flush

范例 iptables -F INPUT

說明 刪除filter表中INPUT鏈的所有規則。

命令 -Z, --zero

范例 iptables -Z INPUT

說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數，是過濾阻斷式攻擊不可或缺的工具。

命令 -N, --new-chain

范例 iptables -N allowed

說明 定義新的規則鏈。

命令 -X, --delete-chain

范例 iptables -X allowed

說明 刪除某個規則鏈。

命令 -P, --policy

范例 iptables -P INPUT DROP

說明 定義過濾政策。 也就是未符合過濾條件之封包， 默認的處理方式。

命令 -E, --rename-chain

范例 iptables -E allowed disallowed

說明 修改某 自定義規則鏈的名稱。

[match] 常用封包匹配參數

參數 -p, --protocol

范例 iptables -A INPUT -p tcp

說明 匹配通訊協議類型是否相符，可以使用 ! 運算符進行反向匹配，例如：

-p !tcp

意思是指除 tcp 以外的其它類型，如udp、icmp ...等。

如果要匹配所有類型，則可以使用 all 關鍵詞，例如：

-p all

參數 -s, --src, --source

范例 iptables -A INPUT -s 192.168.1.1

說明 用來匹配封包的來源 IP，可以匹配單機或網絡，匹配網絡時請用數字來表示 子網掩碼，例如：

-s 192.168.0.0/24

匹配 IP 時可以使用 ! 運算符進行反向匹配，例如：

-s !192.168.0.0/24。

參數 -d, --dst, --destination

范例 iptables -A INPUT -d 192.168.1.1

說明 用來匹配封包的目的地 IP，設定方式同上。

參數 -i, --in-interface

范例 iptables -A INPUT -i eth0

說明 用來匹配封包是從哪塊網卡進入，可以使用通配字符 + 來做大范圍匹配，例如：

-i eth+

表示所有的 ethernet 網卡

也可以使用 ! 運算符進行反向匹配，例如：

-i !eth0

參數 -o, --out-interface

范例 iptables -A FORWARD -o eth0

說明 用來匹配封包要從哪 塊網卡送出，設定方式同上。

參數 --sport, --source-port

范例 iptables -A INPUT -p tcp --sport 22

說明 用來匹配封包的源端口，可以匹配單一端口，或是一個范圍，例如：

--sport 22:80

表示從 22 到 80 端口之間都算是符合條件，如果要匹配不連續的多個端口，則必須使用 --multiport 參數，詳見后文。匹配端口號時，可以使用 ! 運算符進行反向匹配

參數 --dport, --destination-port

范例 iptables -A INPUT -p tcp --dport 22

說明 用來匹配封包的目的地端口號，設定方式同上

參數 --tcp-flags

范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN

說明匹配 TCP 封包的狀態標志，參數分為兩個部分，第一個部分列舉出想 匹配的標志，第二部分則列舉前述標志中哪些有被設置，未被列舉的標志必須是空的。TCP動態標志包括：SYN（同步）、ACK（應答）、FIN（結束）、RST（重設）、URG（緊急） 、PSH（強迫推送） 等均可使用于參數中，除此之外還可以使用關鍵詞 ALL 和 NONE 進行匹配。匹配標志時，可以使用 ! 運算符行反向匹配。

參數 --syn

范例 iptables -p tcp --syn

說明 用來表示TCP通信協議中，SYN位被打開，而ACK與FIN位關閉的分組，即TCP的初始連接，與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 !運算符，可用來 匹配非要求連接封包。

參數 -m multiport --source-port

范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110

說明用來匹配不連續的多個源端口，一次最多可以匹配 15 個端口，可以使用 ! 運算符進行反向匹配。

參數 -m multiport --destination-port

范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110

說明用來 匹配不連續的多個目的地端口號，設定方式同上

參數 -m multiport --port

范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110

說明 這個參數比較特殊，用來匹配源端口和目的端口號相同的封包，設定方式同上。注意：在本范例中，如果來源端口號為 80目的地端口號為 110，這種封包并不算符合條件。

參數 --icmp-type

范例 iptables -A INPUT -p icmp --icmp-type 8

說明用來匹配 ICMP 的類型編號，可以使用代碼或數字編號來進行 匹配。請打 iptables -p icmp --help 來查看有哪些代碼可用。

參數 -m limit --limit

范例 iptables -A INPUT -m limit --limit 3/hour

說明 用來匹配某段時間內封包的平均流量，上面的例子是用來 匹配：每小時平均流量是否超過一次 3 個封包。 除了每小時平均次外，也可以每秒鐘、每分鐘或每天平均一次，默認值為每小時平均一次，參數如后： /second、 /minute、/day。 除了進行封 包數量的匹配外，設定這個參數也會在條件達成時，暫停封包的匹配動作，以避免因駭客使用洪水攻擊法，導致服務被阻斷。

參數 --limit-burst

范例 iptables -A INPUT -m limit --limit-burst 5

說明 用來匹配瞬間大量封包的數量，上面的例子是用來匹配一次同時涌入的封包是否超過 5 個（這是默認值），超過此上限的封包將被直接丟棄。使用效果同上。

參數 -m mac --mac-source

范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

說明 用來匹配封包來源網絡接口的硬件地址，這個參數不能用在 OUTPUT 和 POSTROUTING 規則鏈上，這是因為封包要送到網 卡后，才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址，所以 iptables 在進行封包匹配時，并不知道封包會送到哪個網絡接口去。

參數 --mark

范例 iptables -t mangle -A INPUT -m mark --mark 1

說明 用來匹配封包是否被表示某個號碼，當封包被 匹配成功時，我們可以透過 MARK 處理動作，將該封包標示一個號碼，號碼最大不可以超過 4294967296。

參數 -m owner --uid-owner

范例iptables -A OUTPUT -m owner --uid-owner 500

說明 用來匹配來自本機的封包，是否為某特定使用者所產生的，這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出，可以降低系統被駭的損失。可惜這個功能無法 匹配出來自其它主機的封包。

參數 -m owner --gid-owner

范例 iptables -A OUTPUT -m owner --gid-owner 0

說明 用來匹配來自本機的封包，是否為某特定使用者群組所產生的，使用時機同上。

參數 -m owner --pid-owner

范例 iptables -A OUTPUT -m owner --pid-owner 78

說明 用來匹配來自本機的封包，是否為某特定進程所產生的，使用時機同上。

參數 -m owner --sid-owner
 

范例 iptables -A OUTPUT -m owner --sid-owner 100

說明 用來匹配來自本機的封包，是否為某特定 連接（Session ID）的響應封包，使用時機同上。

參數 -m state --state

范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED

說明 用來匹配連接狀態， 連接狀態共有四種：INVALID、ESTABLISHED、NEW 和 RELATED。

INVALID 表示該封包的連接編號（Session ID）無法辨識或編號不正確。

ESTABLISHED 表示該封包屬于某個已經建立的連接。

NEW 表示該封包想要起始一個連接（重設連接或將連接重導向）。

RELATED 表示該封包是屬于某個已經建立的連接，所建立的新連接。例如：FTP-DATA 連接必定是源自某個 FTP 連接。

[-j target/jump] 常用的處理動作：

-j 參數用來指定要進行的處理動作，常用的處理動作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分別說明如下：

ACCEPT： 將封包放行，進行完此處理動作后，將不再匹配其它規則，直接跳往下一個規則鏈（natostrouting）。

REJECT： 攔阻該封包，并傳送封包通知對方，可以傳送的封包有幾個選擇：ICMP port-unreachable、ICMP echo-reply 或是tcp-reset（這個封包會要求對方關閉 連接），進行完此處理動作后，將不再匹配其它規則，直接中斷過濾程序。 范例如下：

iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

DROP： 丟棄封包不予處理，進行完此處理動作后，將不再匹配其它規則，直接中斷過濾程序。

REDIRECT： 將封包重新導向到另一個端口（PNAT），進行完此處理動作后，將會繼續匹配其它規則。 這個功能可以用來實現透明代理或用來保護 web 服務器。例如：

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

MASQUERADE： 改寫封包來源 IP 為防火墻 NIC IP，可以指定 port 對應的范圍，進行完此處理動作后，直接跳往下一個規則 鏈（manglepostrouting）。這個功能與SNAT 略有不同，當進行 IP 偽裝時，不需指定要偽裝成哪個 IP，IP會從網卡直接讀取，當使用撥 號接連時，IP通常是由ISP公司的DHCP 服務器指派的，這個時候 MASQUERADE 特別有用。范例如下：

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000

LOG： 將封包相關訊息紀錄在 /var/log 中，詳細位置請查閱 /etc/syslog.conf 配置文件，進行完此處理動作后，將會繼續匹配其規則。例如：

iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"

SNAT： 改寫封包來源 IP 為某特定 IP 或 IP 范圍，可以指定 port 對應的范圍，進行完此處理動作后，將直接跳往下一個規則（mangleostrouting）。范例如下：

iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source?194.236.50.155-194.236.50.160:1024-32000　

DNAT： 改寫封包目的地 IP 為某特定 IP 或 IP 范圍，可以指定 port 對應的范圍，進行完此處理動作后，將會直接跳往下一個規則鏈（filter:input 或 filter:forward）。范例如下：

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100

MIRROR： 鏡射封包，也就是將來源 IP 與目的地 IP 對調后，將封包送回，進行完此處理動作后，將會中斷過濾程序。

QUEUE： 中斷過濾程序，將封包放入隊列，交給其它程序處理。通過自行開發的處理程序，可以進行其它應用，例如：計算連接費用等。

RETURN： 結束在目前規則鏈中的過濾程序，返回主規則鏈繼續過濾，如果把自定義規則鏈看成是一個子程序，那么這個動作，就相當于提前結束子程序并返回到主程序中。

MARK： 將封包標上某個代號，以便提供作為后續過濾的條件判斷依據，進行完此處理動作后，將會繼續匹配其它規則。范例如下：

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2