iptables識別數據包四種狀態:
NEW:當與任何主機通信時發出的第一個數據包的狀態即NEW�����,一般為發起連接方發送的第一個標志為SYN=1的數據包 注意:NEW是TCP三次握手中的第一次SYN必須等于1
ESTABLISHED:假設與主機通信時發出的第一個數據包能夠通過防火墻�����,那么后續的你與該主機之間發送和接收到所有數據包狀態均為ESTABLISHED (SYN不等于1���,ACK=1,FIN不等于1)
RELATED:由一個已經建立的連接所生成的新的連接的狀態即為RELATED���,例如FTP服務���,訪問FTP服務器時建立的連接是21端口的發送命令的連接�,如果要傳輸數據則需要按工作模式不同打開其他端口的連接���,那么這個連接就是RELATED狀態
INVALID:非法狀態的數據包�,也就是不屬于以上三種狀態的數據包����,無法實別的狀態比如:SYN=1 FIN=1 又請求又發送結束��,根本沒有這種狀態的包
iptables基本語法:
- iptables [-t TABLE] COMMAND CHAIN [createriaj] -j ACTION
-
- -t {raw|mangle|nat|filter},默認filter
-
- COMMAND:
- 規則管理類:
- -A 增加
- -I # 插入
- -D # 刪除
- -R # 替換
- 鏈接管理類:
- -F 清空鏈
- -N new�����,新建鏈
- -X 刪除自定義空鏈
- -E rename重命名
- 默認策略:
- —P policy
- 清空計算器
- -Z zero
- 每條規則(包括默認策略)都有兩個計數器
- 被此規則匹配到的所有數據包的個數
- 被此規則匹配到的所有數據包的大小之和
- 查看類:
- —L, list
- -n,numeric
- -v,verbose
- -vv
- -vvv
- -x exactly 顯示精確值����,不需要做換算
- --line-numbers
-
- 匹配條件:
- 基本匹配:
- -s source:ip ,NETWORK
- -d destnations
- -p {tcp|udp|icmp}
- -i inetface 流入
- -o inetface 流出
-
- 擴展匹配:(調用iptables模塊�����,以便擴展iptables匹配功能-m明確指定模塊)
- 隱含擴展
- -p tcp 可以省略-m -tcp
- --sport PORT
- --dport PORT
- --tcp-flags
- --tcp-flags ACK,SYN,RST,FIN SYN,ACK 這時SYN=1,ACK=1,其他為0
- 要帶兩個參數要檢查的標志位����,沒有出現的標志位必須為0���,出現的為1
- --tcp-flags ACK,SYN,RST,FIN SYN 可以簡單寫成--syn
- -p udp
- --sport PORT
- --dport PORT
- -p icmp
- --icmp-type
- 8:echo-request ping回顯請求
- 0:echo-reply 響應
- 3:ping不通的
- 還有很多子類
- 0��,1等等
-
-
-
- 顯式擴展
- -m state --state NEW
- -m multiport
- --source-port 22,53,80
- --destination-ports
- --ports
- -m iprange
- -src -range 192.168.0.2-192.168.22
- -dst -range
- -m limit
- --limit
- --limit burst
- -m string
- --algo bm|kmp
- --string "STRING"
- -m time
- --timestart 8:00 -timestop 18:00 -j DROP
- --days
- --datestart --datestop
- ACTION
- -j
- ACCEPT
- DROP
- REJECT
iptables實例操作:
- 開放ssh的22端口:
- iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d 172.16.100.1/32 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
- 注意:如果你寫成172.16.100.1/16就表示這個網段了�,不表示這個特定的ip地址了
-
- iptables -A OUTPUT -s 172.16.100.1 -d 0.0.0.0/0.0.0.0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
- 注意:這個表示別人連進來了����,我們要把數據包響應給別人要開OUTPUT鏈����,這時上面已經建立了NEW���,所以這次的通信過程是已經建立連接狀態�����,表示為ESTABLISHED
-
- 總結:1�、特定的地址掩碼是32
- 2���、一般進來允許NEW,ESTABLISHED 出去只允許ESTABLISHED
-
- 開放web服務器80端口
- iptables -A INPUT -d 192.168.184.136 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -s 192.168.184.136 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-
- 開放DNS的53端口����,一種是基于tcp的��,一種是基于udp的
- iptables -A INPUT -d 192.168.184.136 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A INPUT -d 192.168.184.136 -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -s 192.168.184.136 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -s 192.168.184.136 -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-
- 對上面的規則進行優化:
- INPUT鏈:
- 優化一
- iptables -A INPUT -d 192.168.184.136 -p tcp -m state --state NEW,ESTABLISHED -m multiport --destination-ports 22,53,80 -j ACCEPT
- iptables -A INPUT -d 192.168.184.136 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-
- 優化二(最好的)
- iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
- iptables -A INPUT -d 192.168.184.136 -p tcp -m state --state NEW -m multiport --destination-ports 22,53,80 -j ACCEPT
- iptables -A INPUT -d 192.168.184.136 -p udp --dport 53 -m state --state NEW -j ACCEPT
-
- OUTPUT鏈
- 優化一
- iptables -A OUTPUT -s 192.168.184.136 -p tcp -m state --state ESTABLISHED -m multiport --source-ports 22,53,80 -j ACCEPT
- iptables -A OUTPUT -s 192.168.184.136 -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-
- 優化二(最好的)
- iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
- 注意:仔細觀察一下這個規則這個狀態全部是ESTABLISHED��,所以可以再次優化的
-
- 開放TCP的23號端口�,只允許192.168.184.1-192.168.184.200內的主機訪問
- iptables -A INPUT -d 192.168.184.136 -m iprange --src-range 192.168.184.1-192.168.184.200 -p tcp --dport 23 -m state --state NEW -j ACCEPT
-
- 對ssh進行限制����,同一ip只允許發送兩個請求
- iptables -A INPUT -d 192.168.184.136 -p tcp --dport 22 -m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT
-
- 對網頁內容字符串進行屏蔽�����,比如屏蔽包含test字樣
- iptables -I OUTPUT 1 -m string --algo kmp --string "test" -j REJECT
-
- 開放ftp服務
- lsmod |grep ftp 查看內核的ftp模塊
- modprobe ip_nat_ftp 裝載內核的ftp模塊
- 開放命令連接21號端口:
- iptables -A INPUT -d 192.168.184.136 -p tcp --dport 21 -m state --state NEW -j ACCEPT
- 開放數據端口:
- iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-
- 禁ping
- iptables -A FORWARD -p icmp --icmp-type 8 -j REJECT
-
- SNAT源地址轉換
- iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 192.168.100.2
-
- DNAT目標地址轉換
- iptables -t nat -A PREROUTING -d 172.16.100.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.2
-
- 日志記錄功能
- iptables -t nat PREROUTING -d 172.16.100.1 -p tcp --dport 80 -j LOG --log-prefix "DNAT LOG"
- 注意:日志是記錄在messages
-
- 利用iptables的recent模塊來抵御DOS攻擊:
- ssh: 遠程連接
- iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
- iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
- iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
-
- 1.利用connlimit模塊將單IP的并發設置為3�;會誤殺使用NAT上網的用戶�,可以根據實際情況增大該值����;
- 2.利用recent和state模塊限制單IP在300s內只能與本機建立3個新連接�����。被限制一分鐘后即可恢復訪問�����。
- 下面對最后兩句做一個說明:
- 1.第一句是記錄訪問tcp 22端口的新連接�����,記錄名稱為SSH
- --set 記錄數據包的來源IP����,如果IP已經存在將更新已經存在的條目
- 2.第三句是指SSH記錄中的IP�����,300s內發起超過3次連接則拒絕此IP的連接��。
- --update 是指每次建立連接都更新列表�;
- --seconds必須與--rcheck或者--update同時使用
- --hitcount必須與--rcheck或者--update同時使用
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
