Iptables防火牆(三)
防火牆備份及還原
備份:iptables-save ##默認iptables-save只是查看,想要保存要加“>”重定向
“-t 表名”可單獨輸出想要查看的表
輸出的信息以“#”號開頭的爲註釋,“*表名”表示所在的表“:鏈名 默認策略”
還原:iptables-restore ##結合“< 備份路徑”恢復即可
自動啓用防火牆規則
使用iptables-save >/etc/sysconfig/iptables #保存到這個目錄
也可以使用 service iptables save ##同上一樣的效果自動保存至/etc/sysconfig/iptables
開機啓動服務:
[root@bogon ~]# chkconfig --level2345 iptables on
[root@bogon ~]# chkconfig --listiptables
iptables 0:關閉 1:關閉 2:啓用 3:啓用 4:啓用 5:啓用 6:關閉
使用防火牆腳本
#!/bin/bash
##########定義基本變量#################
INET_IF="eth0"
INET_IP="169.1.1.1" //外網IP
LAN_IF="eth1" //內網接口
LAN_IP="192.168.2.1" //內網接口IP
LAN_NET="192.168.2.0" //內網網段
LAN_WWW_IP="192.168.2.254" //網站服務器IP
IPT="/sbin/iptables" //iptables命令路徑
MOD="/sbin/modprobe" //modprobe命令路徑
CTL="/sbin/sysctl" //sysctl命令的路徑
#########加載內核模塊###########
$MOD ip_tables //iptables基本模塊
$MOD ip_conntrack //連接跟蹤模塊
$MOD ip_REJECT //支持拒絕操作模塊
$MOD ipt_LOG //日誌記錄範圍
$MOD ipt_iprange //支持IP範圍
$MOD xt_tcpudp //支持TCP、UDP協議
$MOD xt_state //支持狀態匹配
$MOD xt_multiport //支持多端口匹配
$MOD xt_mac //支持MAC地址匹配
$MOD ip_nat_ftp //支持FTP地址轉換
$MOD ip_conntrack_ftp //支持FTP連接跟蹤
#########調整/proc參數##############
$CTL -w net.ipv4.ip_forward=1 //打開路由轉發功能
$CTL -wnet.ipv4.ip_default_ttl=128 //修改ICMP響應超時
$CTL -w net.ipv4.icmp_echo_ignore_all=1 //拒絕響應ICMP請求
$CTL -wnet.ipv4.icmp_echo_ignore_broadcasts=1 //拒絕響應ICMP廣播
$CTL -w net.ipv4.tcp_syncookies=1 //啓用SYN Cookie機制
$CTL -w net.ipv4.tcp_syn_retries=3 //最大SYN請求重試次數
$CTL -wnet.ipv4.tcp_synack_retries=3 //最大ACK確認重試次數
$CTL -wnet.ipv4.tcp_fin_timeout=60 //TCP連接等待超時
$CTL -wnet.ipv4.tcp_max_syn_backlog=3200 //SYN請求的隊列長度
########清理已有規則##############
$IPT -t filter -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -t raw -X
$IPT -t filter -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t raw –F
#########設置默認策略#########
$IPT -p INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
########nat設置###########
$IPT -t nat -A POSTROUTING -s$LAN_NET -o $INET_IF -j SNAT --to-source $INET_IP
$IPT -t nat -A PREROUTING -I$INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP
其它設置可以跟據公司實際情況更改及添加