防火墻規則

1、iptables -t -L -n
? ?-t指定表格
? ?-L 顯示目前表格的規則
? ?-n 數字顯示
2、iptables-save 
? ?以命令方式顯示規則

3、清除清空filter從頭制定規則
? ipatables -F ?清除已經定義
? iptables -X ? 清除自定義鏈
? iptables -z ? 清除鏈統計和計數
4、設定默認規則,當所有規則不匹配則執行默認策略
?iptables -t filter -P INPUT ACCEPT/REJECT/DROP
5、規則參數含義
?iptable -t tablename
?-A/I 給鏈追加到尾部或插入規則到首部 
?-i 針對來源于某個物理端口的數據包
?-o 針對從某個物理端口發出的數據包
?-p 協議，針對某個協議的數據包
?-s 針對來源于IP/網絡的數據包
?-d 針對發往目的IP/網絡的數據包
 -j 規則匹配后，將要執行的動作
?--sport 1024:65535 針對來源端口范圍的數據包 ，必須與-p標志配合使用，-p tcp/udp ,只有tcp/udp協議才有端口,參數值還可以是知名服務名稱 比如ssh
?--dport 1024:65535 針對目的端口范圍的數據包 ，必須與-p標志配合使用，-p tcp/udp ,只有tcp/udp協議才有端口，參數值還可以是知名服務名稱 比如ssh
?--syn 性質是主動發起連接的數據包
? 一般情況下，我們可以丟棄小于1023端口的主動連接，因為一般小于1023的端口都是作為服務存在，如果一個服務主動對外發起連接，就可能存在問題了
?-m state 外掛規則 
? -m state --state INVALID/ESTABLISHED/RELATED（表示主機發出請求回來的響應包）
?-m mac --mac-source ?----局域網的路由器可以這樣限制網內的某臺主機 ，MAC不能跨網絡。
? 
6、常見示例
?1）禁止掉 icmp 8類型的ping探測 
? ? iptables -A INPUT -p icmp --icmp-type 8 -j A DROP 一般局域網路由器不要設置，因為客戶需要測試網絡問題，個人主機可以設置。
?2）個人客戶機器的防火墻設置
? ? A、iftables -F clear all
? ? B、filter INPUT默認策略是DROP
? ? C、開放主動請求的回應
? ? ? ?-m state --state RELATED -j ACCEPT
? ? D、本地lo的端口完全開放
? ? ? ?iptables -I INPUT? -i lo? -j? ACCEPT
?3)拒絕服務攻擊
? ?A、啟用內核的防護，但不建議在高負載的服務器上使用，因為客戶對響應要求高。可以自用自動探測來動態添加防火墻規則。
? ? ? 內核參數：/proc/sys/net/ipv4/tcp_syncookies 為1
?4）拒絕廣播ping /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 為1
? ? 拒絕所有ping iptables -A INPUT -p icmp --icmp-type 8 -j A DROP
?5) 34設置可以通過配置文件實現永久設置
? ? /etc/sysctl.conf
? ? sysctl -p 即時生效加載配置


? 

?