iptables 的基本用法介紹

在ubuntu 系統裡使用懶人包安裝的 Firestarter 防火牆並不好用
會造成你的區網和ADSL連線(pppoe)無法同時使用。

Firestarter 啟動後,不是區網不能用，就是ADSL連線不能用
想要把Firestarter關掉，重開機後，或撥號後它又會自動啟動
最後整個把Firestarter移掉後，網路才回復正常。

改去研究 iptables 的使用方式，才發現其實不難。

1.建立一檔案名為 iptables.sh,內容如下：

#!/bin/bash
#我的防火牆設定
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
# 127.0.0.1 本地端回應全接受
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 eth0 這張網卡，設定我主動發出去的回應都予放行
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 ppp0 (撥號連線)這張網卡，設定我主動發出去的回應都予放行
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT
#↑192.168.0.1~255 這個網段全放行
#↓前面加 # 號是指停用這條規則
#iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
#iptables -A INPUT -i ppp0 -p udp --dport 4672 -j ACCEPT
#↑針對撥號連線 port 位 TCP 4662 & UDP 4672 (emule) 放行
#iptables -A INPUT -i ppp0 -p tcp --dport 51413 -j ACCEPT
#針對撥號連線 port 位 TCP 51413 (BT) 放行
iptables -A INPUT -i ppp0 -p tcp --dport 5500 -j ACCEPT
#針對撥號連線 port 位 TCP 5500 (vnc) 放行
# ↓隱形掃瞄攻擊防範
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP
# ↓因為有些 Hacker/Cracker 會利用 IPv6 的漏洞攻擊主機，所以封閉幾個重要的 PORT
/sbin/ip6tables -F
/sbin/ip6tables -A INPUT -p tcp --dport 21:23 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 139 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 445 -j DROP
/sbin/ip6tables -A INPUT -p udp --dport 137:138 -j DROP

#請將此檔放在你的家目錄內的backup (請建個backup 資料夾)

2.建立捷徑，請下指令
sudo ln -s /home/user/backup/iptables.sh /etc/init.d/iptables.sh

設定成可執行的權限
chmod 755 /home/user/backup/iptables.sh

註:/home/user 這個地方的"user"請更改成你的登入帳號名稱

3.加入啟動項目，請下指令
sudo update-rc.d -f iptables.sh defaults

4.重開機後，請用指令檢查
sudo iptables -L -n

若有出現如下字樣，表示你設定成功了
Chain INPUT (policy DROP)
target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:4672 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:51413 

5.往後你若想要修改防火牆的設定時，只要去修改此檔即可 /home/user/backup/iptables.sh 修改完再重開機就行了。

=====================================================

iptables.sh 內容詳細說明

它的設定是針對你指定哪張網卡而生效的，請先用ifconfig 看你有幾張網卡
eth0 －＞若你只有一張網卡，這是一定會有的
eth1 －＞若你有第二張網卡，它才會出現
wlan0 －＞若你有無線網卡，它才會出現
ppp0 －＞這通常是ADSL撥號連線上網後所產生的網卡

－－－－－－－－－－－－－－－－－－－
#!/bin/bash
#我的防火牆設定
iptables -P INPUT DROP
#↑這行是指把所有要連進來的連線，都預設為全擋掉，反正這行照做就是了
iptables -A INPUT -i lo -j ACCEPT
# 127.0.0.1 本地端回應全接受，同樣的這行照做就是了。
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 eth0 這張網卡，設定我主動發出去的回應都予放行，同樣的這行照做就是了。
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#針對 ppp0 (撥號連線)這張網卡，設定我主動發出去的回應都予放行，同樣的這行照做就是了。
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
# 192.168.0.1~255 這個網段全放行，如果你有區網才需要加這行
#↓底下就是針對撥號連線在防火牆上打洞了
iptables -A INPUT -i ppp0 -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 4672 -j ACCEPT
#針對撥號連線 port 位 TCP 4662 & UDP 4672 (emule) 連進來的連線放行
iptables -A INPUT -i ppp0 -p tcp --dport 51413 -j ACCEPT
#針對撥號連線 port 位 TCP 51413 (BT) 放行

－－－－－－－－－－－－－－－－－－－－－－－－－－－－
所以防火牆打洞的格式如下:

iptables -A INPUT -i "指定的網卡" -p "填tcp或udp" --dport "你指定的port位" -j ACCEPT