Iptables防火墙（三）

防火墙备份及还原

备份：iptables-save   ##默认iptables-save只是查看，想要保存要加“>”重定向

           “-t 表名”可单独输出想要查看的表

           输出的信息以“#”号开头的为注释，“*表名”表示所在的表“:链名 默认策略”

还原：iptables-restore   ##结合“< 备份路径”恢复即可

自动启用防火墙规则

         使用iptables-save >/etc/sysconfig/iptables  #保存到这个目录

         也可以使用 service iptables save  ##同上一样的效果自动保存至/etc/sysconfig/iptables

开机启动服务：

[root@bogon ~]# chkconfig --level2345 iptables on

[root@bogon ~]# chkconfig --listiptables

iptables      0:关闭   1:关闭     2:启用    3:启用    4:启用    5:启用    6:关闭

使用防火墙脚本

#!/bin/bash

##########定义基本变量#################

INET_IF="eth0"

INET_IP="169.1.1.1"                       //外网IP

LAN_IF="eth1"                        //内网接口

LAN_IP="192.168.2.1"                 //内网接口IP

LAN_NET="192.168.2.0"                //内网网段

LAN_WWW_IP="192.168.2.254"           //网站服务器IP

IPT="/sbin/iptables"                //iptables命令路径

MOD="/sbin/modprobe"                //modprobe命令路径

CTL="/sbin/sysctl"                 //sysctl命令的路径

#########加载内核模块###########

$MOD ip_tables                  //iptables基本模块

$MOD ip_conntrack               //连接跟踪模块

$MOD ip_REJECT                  //支持拒绝操作模块

$MOD ipt_LOG                    //日志记录范围

$MOD ipt_iprange                //支持IP范围

$MOD xt_tcpudp                  //支持TCP、UDP协议

$MOD xt_state                   //支持状态匹配

$MOD xt_multiport               //支持多端口匹配

$MOD xt_mac                     //支持MAC地址匹配

$MOD ip_nat_ftp                 //支持FTP地址转换

$MOD ip_conntrack_ftp           //支持FTP连接跟踪

#########调整/proc参数##############

$CTL -w net.ipv4.ip_forward=1                                     //打开路由转发功能

$CTL -wnet.ipv4.ip_default_ttl=128                               //修改ICMP响应超时

$CTL -w net.ipv4.icmp_echo_ignore_all=1                         //拒绝响应ICMP请求

$CTL -wnet.ipv4.icmp_echo_ignore_broadcasts=1                  //拒绝响应ICMP广播

$CTL -w net.ipv4.tcp_syncookies=1                             //启用SYN Cookie机制

$CTL -w net.ipv4.tcp_syn_retries=3                           //最大SYN请求重试次数

$CTL -wnet.ipv4.tcp_synack_retries=3                        //最大ACK确认重试次数

$CTL -wnet.ipv4.tcp_fin_timeout=60                         //TCP连接等待超时

$CTL -wnet.ipv4.tcp_max_syn_backlog=3200                  //SYN请求的队列长度

########清理已有规则##############

$IPT -t filter -X

$IPT -t nat -X

$IPT -t mangle -X

$IPT -t raw -X

$IPT -t filter -F

$IPT -t nat -F

$IPT -t mangle -F

$IPT -t raw –F

#########设置默认策略#########

$IPT -p INPUT DROP                           

$IPT -P FORWARD DROP

$IPT -P OUTPUT ACCEPT

########nat设置###########

$IPT -t nat -A POSTROUTING -s$LAN_NET -o $INET_IF -j SNAT --to-source $INET_IP

$IPT -t nat -A PREROUTING -I$INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP

其它设置可以跟据公司实际情况更改及添加

本文出自 “瘾” 博客，谢绝转载！

iptables防火墙笔记之三