1. 不同 Linux 核心版本的防火墙软件

• Version 2.0：使用 ipfwadm 这个防火墙机制；
• Version 2.2：使用的是 ipchains 这个防火墙机制；
• Version 2.4 与 2.6 ：主要是使用 iptables 这个防火墙机制，不过在某些早期的 Version 2.4 版本的 distributions 当中，亦同时支持 ipchains (编译成为模块)，好让用户仍然可以使用来自 2.2 版的 ipchains 的防火墙规划。不过，不建议在 2.4 以上的核心版本使用 ipchains 喔！

2. 封包进入流程：规则顺序的重要性！

当一个网络封包要进入到主机之前，会先经由 NetFilter 进行检查，那就是 iptables 的规则了。 检查通过则接受 (ACCEPT) 进入本机取得资源，如果检查不通过，则可能予以丢弃 (DROP) ！ 上图中主要的目的在告知你：『规则是有顺序的』！例如当网络封包进入 Rule 1 的比对时， 如果比对结果符合 Rule 1 ，此时这个网络封包就会进行 Action 1 的动作，而不会理会后续的 Rule 2, Rule 3… 等规则的分析了

而如果这个封包并不符合 Rule 1 的比对，那就会进入 Rule 2 的比对了！如此一个一个规则去进行比对就是了。 那如果所有的规则都不符合怎办？此时就会透过预设动作 (封包政策, Policy) 来决定这个封包的去向。

3. iptables 的表格 (table) 与链 (chain)

INPUT链 ：处理输入数据包。
OUTPUT链 ：处理输出数据包。
FORWARD链 ：处理转发数据包。
PREROUTING链 ：用于目标地址转换(DNAT)。
POSTOUTING链 ：用于源地址转换(SNAT)。

filter (过滤器)： 主要跟进入 Linux 本机的封包有关，这个是预设的 table 喔！
INPUT：主要与想要进入我们 Linux 本机的封包有关；
OUTPUT：主要与我们 Linux 本机所要送出的封包有关；
FORWARD：这个咚咚与 Linux 本机比较没有关系， 他可以『转递封包』到后端的计算机中，与下列 nat table 相关性较高。

nat (地址转换)： 是 Network Address Translation 的缩写， 这个表格主要在进行来源与目的之 IP 或 port 的转换，与 Linux 本机较无关，主要与 Linux 主机后的局域网络内计算机较有相关。
PREROUTING：在进行路由判断之前所要进行的规则(DNAT/REDIRECT)
POSTROUTING：在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)
OUTPUT：与发送出去的封包有关

mangle (破坏者)： 这个表格主要是与特殊的封包的路由旗标有关， 早期仅有 PREROUTING 及 OUTPUT 链，不过从 kernel 2.4.18 之后加入了 INPUT 及 FORWARD 链。 由于这个表格与特殊旗标相关性较高，所以像咱们这种单纯的环境当中，较少使用 mangle 这个表格。

4.iptables 语法

1. 规则的观察与清除

[[email protected] ~]# iptables [-t tables] [-L] [-nv]

选项与参数：

-t ：后面接 table ，例如 nat 或 filter ，若省略此项目，则使用默认的 filter

-L ：列出目前的 table 的规则

-n ：不进行 IP 与 HOSTNAME 的反查，显示讯息的速度会快很多！

-v ：列出更多的信息，包括通过该规则的封包总位数、相关的网络接口等
 
范例：列出 filter table 三条链的规则

[[email protected] ~]# iptables -L -n

Chain INPUT (policy ACCEPT)   <==针对 INPUT 链，且预设政策为可接受

target  prot opt source     destination <==说明栏

ACCEPT  all  --  0.0.0.0/0  0.0.0.0/0   state RELATED,ESTABLISHED <==第 1 条规则

ACCEPT  icmp --  0.0.0.0/0  0.0.0.0/0                             <==第 2 条规则

ACCEPT  all  --  0.0.0.0/0  0.0.0.0/0                             <==第 3 条规则

ACCEPT  tcp  --  0.0.0.0/0  0.0.0.0/0   state NEW tcp dpt:22      <==以下类推

REJECT  all  --  0.0.0.0/0  0.0.0.0/0   reject-with icmp-host-prohibited



Chain FORWARD (policy ACCEPT)  <==针对 FORWARD 链，且预设政策为可接受

target  prot opt source     destination

REJECT  all  --  0.0.0.0/0  0.0.0.0/0   reject-with icmp-host-prohibited



Chain OUTPUT (policy ACCEPT)  <==针对 OUTPUT 链，且预设政策为可接受

target  prot opt source     destination



范例：列出 nat table 三条链的规则

[[email protected] ~]# iptables -t nat -L -n

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination



Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

target：代表进行的动作， ACCEPT 是放行，而 REJECT 则是拒绝，此外，尚有 DROP (丢弃) 的项目！
prot：代表使用的封包协议，主要有 tcp, udp 及 icmp 三种封包格式；
opt：额外的选项说明
source ：代表此规则是针对哪个『来源 IP』进行限制？
destination ：代表此规则是针对哪个『目标 IP』进行限制？

建议使用 iptables-save 这个指令来观察防火墙规则啦！因为 iptables-save 会列出完整的防火墙规则，只是并没有规格化输出而已。

[[email protected] ~]# iptables-save [-t table]

选项与参数：

-t ：可以仅针对某些表格来输出，例如仅针对 nat 或 filter 等等



[[email protected] ~]# iptables-save

# Generated by iptables-save v1.4.7 on Fri Jul 22 15:51:52 2011

*filter                      <==星号开头的指的是表格，这里为 filter

:INPUT ACCEPT [0:0]          <==冒号开头的指的是链，三条内建的链

:FORWARD ACCEPT [0:0]        <==三条内建链的政策都是 ACCEPT 啰！

:OUTPUT ACCEPT [680:100461]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <==针对 INPUT 的规则

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT  <==这条很重要！针对本机内部接口开放！

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited <==针对 FORWARD 的规则

COMMIT

# Completed on Fri Jul 22 15:51:52 2011

 

[[email protected] ~]# iptables [-t tables] [-FXZ]

选项与参数：

-F ：清除所有的已订定的规则；

-X ：杀掉所有使用者 "自定义" 的 chain (应该说的是 tables ）啰；

-Z ：将所有的 chain 的计数与流量统计都归零



范例：清除本机防火墙 (filter) 的所有规则

[[email protected] ~]# iptables -F

[[email protected] ~]# iptables -X

[[email protected] ~]# iptables -Z

 

2. 定义预设政策 (policy)

[[email protected] ~]# iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]

选项与参数：

-P ：定义政策( Policy )。注意，这个 P 为大写啊！

ACCEPT ：该封包可接受

DROP   ：该封包直接丢弃，不会让 client 端知道为何被丢弃。



范例：将本机的 INPUT 设定为 DROP ，其他设定为 ACCEPT

[[email protected] ~]# iptables -P INPUT DROP

[[email protected] ~]# iptables -P OUTPUT ACCEPT

[[email protected] ~]# iptables -P FORWARD ACCEPT

[[email protected] ~]# iptables-save

# Generated by iptables-save v1.4.7 on Fri Jul 22 15:56:34 2011

*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

COMMIT

# Completed on Fri Jul 22 15:56:34 2011

# 由于 INPUT 设定为 DROP 而又尚未有任何规则，所以上面的输出结果显示：

# 所有的封包都无法进入你的主机！是不通的防火墙设定！(网络联机是双向的)
 

3. 封包的基础比对：IP, 网域及接口装置

[[email protected] ~]# iptables [-AI 链名] [-io 网络接口] [-p 协议] \

> [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]

选项与参数：

-AI 链名：针对某的链进行规则的 "插入" 或 "累加"

    -A ：新增加一条规则，该规则增加在原本规则的最后面。例如原本已经有四条规则，

         使用 -A 就可以加上第五条规则！

    -I ：插入一条规则。如果没有指定此规则的顺序，默认是插入变成第一条规则。

         例如原本有四条规则，使用 -I 则该规则变成第一条，而原本四条变成 2~5 号

    链 ：有 INPUT, OUTPUT, FORWARD 等，此链名称又与 -io 有关，请看底下。



-io 网络接口：设定封包进出的接口规范

    -i ：封包所进入的那个网络接口，例如 eth0, lo 等接口。需与 INPUT 链配合；

    -o ：封包所传出的那个网络接口，需与 OUTPUT 链配合；



-p 协定：设定此规则适用于哪种封包格式

   主要的封包格式有： tcp, udp, icmp 及 all 。



-s 来源 IP/网域：设定此规则之封包的来源项目，可指定单纯的 IP 或包括网域，例如：

   IP  ：192.168.0.100

   网域：192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。

   若规范为『不许』时，则加上 ! 即可，例如：

   -s ! 192.168.100.0/24 表示不许 192.168.100.0/24 之封包来源；



-d 目标 IP/网域：同 -s ，只不过这里指的是目标的 IP 或网域。



-j ：后面接动作，主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)

范例：设定 lo 成为受信任的装置，亦即进出 lo 的封包都予以接受

[[email protected] ~]# iptables -A INPUT -i lo -j ACCEPT
范例：只要是来自内网的 (192.168.100.0/24) 的封包通通接受

[[email protected] ~]# iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j ACCEPT

# 由于是内网就接受，因此也可以称之为『信任网域』啰。
 
范例：只要是来自 192.168.100.10 就接受，但 192.168.100.230 这个恶意来源就丢弃

[[email protected] ~]# iptables -A INPUT -i eth1 -s 192.168.100.10 -j ACCEPT

[[email protected] ~]# iptables -A INPUT -i eth1 -s 192.168.100.230 -j DROP

# 针对单一 IP 来源，可视为信任主机或者是不信任的恶意来源喔！
[[email protected] ~]# iptables-save

# Generated by iptables-save v1.4.7 on Fri Jul 22 16:00:43 2011

*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [17:1724]

-A INPUT -i lo -j ACCEPT

-A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT

-A INPUT -s 192.168.100.10/32 -i eth1 -j ACCEPT

-A INPUT -s 192.168.100.230/32 -i eth1 -j DROP

COMMIT

# Completed on Fri Jul 22 16:00:43 2011
[[email protected] ~]# iptables -A INPUT -s 192.168.2.200 -j LOG

[[email protected] ~]# iptables -L -n

target prot opt source         destination

LOG    all  --  192.168.2.200  0.0.0.0/0   LOG flags 0 level 4
# 看到输出结果的最左边，会出现的是 LOG 喔！只要有封包来自 192.168.2.200 这个 IP 时， 那么该封包的相关信息就会被写入到核心讯息，亦即是 /var/log/messages 这个档案当中。 然后该封包会继续进行后续的规则比对。所以说， LOG 这个动作仅在进行记录而已，并不会影响到这个封包的其他规则比对的。 

4. TCP, UDP 的规则比对：针对端口设定

[[email protected] ~]# iptables [-AI 链] [-io 网络接口] [-p tcp,udp] \

> [-s 来源IP/网域] [--sport 埠口范围] \

> [-d 目标IP/网域] [--dport 埠口范围] -j [ACCEPT|DROP|REJECT]

选项与参数：

--sport 埠口范围：限制来源的端口号码，端口号码可以是连续的，例如 1024:65535

--dport 埠口范围：限制目标的端口号码。
 

范例：想要联机进入本机 port 21 的封包都抵挡掉：

[[email protected] ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP



范例：想连到我这部主机的网芳 (upd port 137,138 tcp port 139,445) 就放行

[[email protected] ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT

[[email protected] ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT

[[email protected] ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT

例如：只要来自 192.168.1.0/24 的 1024:65535 埠口的封包，且想要联机到本机的 ssh port 就予以抵挡，
[[email protected] ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 \

> --sport 1024:65534 --dport ssh -j DROP

 除了埠口之外，在 TCP 还有特殊的旗标啊！最常见的就是那个主动联机的 SYN 旗标了。 我们在 iptables 里面还支持『 --syn 』的处理方式，我们以底下的例子来说明好了
范例：将来自任何地方来源 port 1:1023 的主动联机到本机端的 1:1023 联机丢弃

[[email protected] ~]# iptables -A INPUT -i eth0 -p tcp --sport 1:1023 \

> --dport 1:1023 --syn -j DROP

一般来说，client 端启用的 port 都是大于 1024 以上的埠口，而 server 端则是启用小于 1023 以下的埠口在监听的。所以我们可以让来自远程的小于 1023 以下的端口数据的主动联机都给他丢弃！ 但不适用在 FTP 的主动联机中！

5. iptables 外挂模块：mac 与 state

[[email protected] ~]# iptables -A INPUT [-m state] [--state 状态]

选项与参数：

-m ：一些 iptables 的外挂模块，主要常见的有：

     state ：状态模块

     mac   ：网络卡硬件地址 (hardware address)

--state ：一些封包的状态，主要有：

     INVALID    ：无效的封包，例如数据破损的封包状态

     ESTABLISHED：已经联机成功的联机状态；

     NEW        ：想要新建立联机的封包状态；

     RELATED    ：这个最常用！表示这个封包是与我们主机发送出去的封包有关



范例：只要已建立或相关封包就予以通过，只要是不合法封包就丢弃

[[email protected] ~]# iptables -A INPUT -m state \

> --state RELATED,ESTABLISHED -j ACCEPT

[[email protected] ~]# iptables -A INPUT -m state --state INVALID -j DROP

范例：针对局域网络内的 aa:bb:cc:dd:ee:ff 主机开放其联机

[[email protected] ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff \

> -j ACCEPT

选项与参数：

--mac-source ：就是来源主机的 MAC 啦！

6. ICMP 封包规则的比对：针对是否响应 ping 来设计

[[email protected] ~]# iptables -A INPUT [-p icmp] [--icmp-type 类型] -j ACCEPT

选项与参数：

--icmp-type ：后面必须要接 ICMP 的封包类型，也可以使用代号，

              例如 8  代表 echo request 的意思。



范例：让 0,3,4,11,12,14,16,18 的 ICMP type 可以进入本机：

[[email protected] ~]# vi somefile

#!/bin/bash

icmp_type="0 3 4 11 12 14 16 18"

for typeicmp in $icmp_type

do

   iptables -A INPUT -i eth0 -p icmp --icmp-type $typeicmp -j ACCEPT

done



[[email protected] ~]# sh somefile

7. 客户端防火墙设计与防火墙规则储存

1. 规则归零：清除所有已经存在的规则 (iptables -F…)
2. 预设政策：除了 INPUT 这个自定义链设为 DROP 外，其他为预设 ACCEPT；
3. 信任本机：由于 lo 对本机来说是相当重要的，因此 lo 必须设定为信任装置；
4. 回应封包：让本机主动向外要求而响应的封包可以进入本机 (ESTABLISHED,RELATED)
5. 信任用户：这是非必要的，如果你想要让区网的来源可用你的主机资源时

[[email protected] ~]# vim bin/firewall.sh

#!/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH



# 1. 清除规则

iptables -F

iptables -X

iptables -Z



# 2. 设定政策

iptables -P   INPUT DROP

iptables -P  OUTPUT ACCEPT

iptables -P FORWARD ACCEPT



# 3~5. 制订各项规则

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

#iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT



# 6. 写入防火墙规则配置文件

/etc/init.d/iptables save



[[email protected] ~]# sh bin/firewall.sh

iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

5. IPv4 的核心管理功能： /proc/sys/net/ipv4/*

/proc/sys/net/ipv4/tcp_syncookies

我们在前一章谈到所谓的阻断式服务 (DoS) 攻击法当中的一种方式，就是利用 TCP 封包的 SYN 三向交握原理所达成的， 这种方式称为 SYN Flooding 。那如何预防这种方式的攻击呢？我们可以启用核心的 SYN Cookie 模块啊！ 这个 SYN Cookie 模块可以在系统用来启动随机联机的埠口 (1024:65535) 即将用完时自动启动。

当启动 SYN Cookie 时，主机在发送 SYN/ACK 确认封包前，会要求 Client 端在短时间内回复一个序号，这个序号包含许多原本 SYN 封包内的信息，包括 IP、port 等。若 Client 端可以回复正确的序号，那么主机就确定该封包为可信的，因此会发送 SYN/ACK 封包，否则就不理会此一封包。

透过此一机制可以大大的降低无效的 SYN 等待埠口，而避免 SYN Flooding 的 DoS 攻击说！ 那么如何启动这个模块呢？很简单，这样做即可：

[[email protected] ~]# echo "1" > /proc/sys/net/ipv4/tcp_syncookies

但是这个设定值由于违反 TCP 的三向交握 (因为主机在发送 SYN/ACK 之前需要先等待 client 的序号响应)， 所以可能会造成某些服务的延迟现象，例如 SMTP (mail server)。 不过总的来说，这个设定值还是不错用的！ 只是不适合用在负载已经很高的服务器内喔！ 因为负载太高的主机有时会让核心误判遭受 SYN Flooding 的攻击呢。

如果是为了系统的 TCP 封包联机优化，则可以参考 tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow 这几个设定值的意义。

/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

阻断式服务常见的是 SYN Flooding ，不过，我们知道系统其实可以接受使用 ping 的响应， 而 ping 的封包数据量是可以给很大的！想象一个状况， 如果有个搞破坏的人使用 1000 台主机传送 ping 给你的主机，而且每个 ping 都高达数百 K bytes时， 你的网络带宽会怎样？要嘛就是带宽被吃光，要嘛可能系统会当机！ 这种方式分别被称为 ping flooding (不断发 ping) 及 ping of death (发送大的 ping 封包)。

那如何避免呢？取消 ICMP 类型 8 的 ICMP 封包回应就是了。我们可以透过防火墙来抵挡， 这也是比较建议的方式。当然也可以让核心自动取消 ping 的响应。不过你必须要了解， 某些局域网络内常见的服务 (例如动态 IP 分配 DHCP 协议) 会使用 ping 的方式来侦测是否有重复的 IP ，所以你最好不要取消所有的 ping 响应比较好。

核心取消 ping 回应的设定值有两个，分别是：/proc/sys/net/ipv4 内的 icmp_echo_ignore_broadcasts (仅有 ping broadcast 地址时才取消 ping 的回应) 及 icmp_echo_ignore_all (全部的 ping 都不回应)。鸟哥建议设定 icmp_echo_ignore_broadcasts 就好了。 你可以这么做：

[[email protected] ~]# echo "1" > \

> /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

/proc/sys/net/ipv4/conf/网络接口/*

咱们的核心还可以针对不同的网络接口进行不一样的参数设定喔！网络接口的相关设定放置在 /proc/sys/net/ipv4/conf/ 当中，每个接口都以接口代号做为其代表，例如 eth0 接口的相关设定数据在 /proc/sys/net/ipv4/conf/eth0/ 内。那么网络接口的设定数据有哪些比较需要注意的呢？ 大概有底下这几个：

rp_filter：称为逆向路径过滤 (Reverse Path Filtering)， 可以藉由分析网络接口的路由信息配合封包的来源地址，来分析该封包是否为合理。举例来说，你有两张网卡，eth0 为 192.168.1.10/24 ，eth1 为 public IP 。那么当有一个封包自称来自 eth1 ，但是其 IP 来源为 192.168.1.200 ， 那这个封包就不合理，应予以丢弃。这个设定值建议可以启动的。

log_martians：这个设定数据可以用来启动记录不合法的 IP 来源， 举例来说，包括来源为 0.0.0.0、127.x.x.x、及 Class E 的 IP 来源，因为这些来源的 IP 不应该应用于 Internet 啊。 记录的数据默认放置到核心放置的登录档 /var/log/messages。

accept_source_route：或许某些路由器会启动这个设定值， 不过目前的设备很少使用到这种来源路由，你可以取消这个设定值。

accept_redirects：当你在同一个实体网域内架设一部路由器， 但这个实体网域有两个 IP 网域，例如 192.168.0.0/24, 192.168.1.0/24。此时你的 192.168.0.100 想要向 192.168.1.100 传送讯息时，路由器可能会传送一个 ICMP redirect 封包告知 192.168.0.100 直接传送数据给 192.168.1.100 即可，而不需透过路由器。因为 192.168.0.100 与 192.168.1.100确实是在同一个实体线路上 (两者可以直接互通)，所以路由器会告知来源 IP 使用最短路径去传递数据。但那两部主机在不同的 IP 段，却是无法实际传递讯息的！这个设定也可能会产生一些轻微的安全风险，所以建议关闭他。

send_redirects：与上一个类似，只是此值为发送一个 ICMP redirect 封包。 同样建议关闭。(事实上，鸟哥就曾经为了这个 ICMP redirect 的问题伤脑筋！其实关闭 redirect 的这两个项目即可啊！)

虽然你可以使用『 echo “1” > /proc/sys/net/ipv4/conf/???/rp_filter 』之类的方法来启动这个项目，不过， 鸟哥比较建议修改系统设定值，那就是 /etc/sysctl.conf 这个档案！假设我们仅有 eth0 这个以太接口，而且上述的功能要通通启动， 那你可以这样做：

[[email protected] ~]# vim /etc/sysctl.conf

# Adding by VBird 2011/01/28

net.ipv4.tcp_syncookies = 1

net.ipv4.icmp_echo_ignore_broadcasts = 1

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.eth0.rp_filter = 1

net.ipv4.conf.lo.rp_filter = 1

....(以下省略)....



[[email protected] ~]# sysctl -p

脚本

[[email protected] ~]# mkdir -p /usr/local/virus/iptables

[[email protected] ~]# cd /usr/local/virus/iptables

[[email protected] iptables]# vim iptables.rule

#!/bin/bash



# 请先输入您的相关参数，不要输入错误了！

  EXTIF="eth0"             # 这个是可以连上 Public IP 的网络接口

  INIF="eth1"              # 内部 LAN 的连接接口；若无则写成 INIF=""

  INNET="192.168.100.0/24" # 若无内部网域接口，请填写成 INNET=""

  export EXTIF INIF INNET



# 第一部份，针对本机的防火墙设定！##########################################

# 1. 先设定好核心的网络功能：

  echo "1" > /proc/sys/net/ipv4/tcp_syncookies

  echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

  for i in /proc/sys/net/ipv4/conf/*/{
    rp_filter,log_martians}; do

        echo "1" > $i

  done

  for i in /proc/sys/net/ipv4/conf/*/{
    accept_source_route,accept_redirects,\

send_redirects}; do

        echo "0" > $i

  done



# 2. 清除规则、设定默认政策及开放 lo 与相关的设定值

  PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin; export PATH

  iptables -F

  iptables -X

  iptables -Z

  iptables -P INPUT   DROP

  iptables -P OUTPUT  ACCEPT

  iptables -P FORWARD ACCEPT

  iptables -A INPUT -i lo -j ACCEPT

  iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



# 3. 启动额外的防火墙 script 模块

  if [ -f /usr/local/virus/iptables/iptables.deny ]; then

        sh /usr/local/virus/iptables/iptables.deny

  fi

  if [ -f /usr/local/virus/iptables/iptables.allow ]; then

        sh /usr/local/virus/iptables/iptables.allow

  fi

  if [ -f /usr/local/virus/httpd-err/iptables.http ]; then

        sh /usr/local/virus/httpd-err/iptables.http

  fi



# 4. 允许某些类型的 ICMP 封包进入

  AICMP="0 3 3/4 4 11 12 14 16 18"

  for tyicmp in $AICMP

  do

    iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT

  done



# 5. 允许某些服务的进入，请依照你自己的环境开启

# iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j ACCEPT # FTP

# iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65534 -j ACCEPT # SSH

# iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j ACCEPT # SMTP

# iptables -A INPUT -p UDP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT # DNS

# iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT # DNS

# iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT # WWW

# iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65534 -j ACCEPT # POP3

# iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65534 -j ACCEPT # HTTPS





# 第二部份，针对后端主机的防火墙设定！###############################

# 1. 先加载一些有用的模块

  modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack ip_conntrack_ftp ip_conntrack_irc"

  for mod in $modules

  do

      testmod=`lsmod | grep "^${mod} " | awk '{print $1}'`

      if [ "$testmod" == "" ]; then

            modprobe $mod

      fi

  done



# 2. 清除 NAT table 的规则吧！

  iptables -F -t nat

  iptables -X -t nat

  iptables -Z -t nat

  iptables -t nat -P PREROUTING  ACCEPT

  iptables -t nat -P POSTROUTING ACCEPT

  iptables -t nat -P OUTPUT      ACCEPT



# 3. 若有内部接口的存在 (双网卡) 开放成为路由器，且为 IP 分享器！

  if [ "$INIF" != "" ]; then

    iptables -A INPUT -i $INIF -j ACCEPT

    echo "1" > /proc/sys/net/ipv4/ip_forward

    if [ "$INNET" != "" ]; then

        for innet in $INNET

        do

            iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE

        done

    fi

  fi

  # 如果你的 MSN 一直无法联机，或者是某些网站 OK 某些网站不 OK，

  # 可能是 MTU 的问题，那你可以将底下这一行给他取消批注来启动 MTU 限制范围

  # iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss \

  # --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu



# 4. NAT 服务器后端的 LAN 内对外之服务器设定

# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 80 \

# -j DNAT --to-destination 192.168.1.210:80 # WWW



# 5. 特殊的功能，包括 Windows 远程桌面所产生的规则，假设桌面主机为 1.2.3.4

# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --dport 6000 \

# -j DNAT --to-destination 192.168.100.10

# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --sport 3389 \

# -j DNAT --to-destination 192.168.100.20



# 6. 最终将这些功能储存下来吧！

  /etc/init.d/iptables save