Linux iptables 详解

1、安全优化

大并发的情况下,不能开iptables。我们使用硬件防火墙,当然硬件防火墙也有一定的吞吐量。根据公司业务流量选择防火墙。

iptables提示nf_conntrack: table full, dropping packet解决办法

“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有下面几种:

一、关闭防火墙。 简单粗暴,直接有效

chkconfig iptables off 
chkconfig ip6tables off 
service iptables stop 
service ip6tables stop
  切记:在防火墙关闭状态下,不要通过iptables指令(比如 iptables -nL)来查看当前状态!因为这样会导致防火墙被启动,而且规则为空。虽然不会有任何拦截效果,但所有连接状态都会被记录,浪费资源且影响性能并可能导致防火墙主动丢包!

二、加大防火墙跟踪表的大小,优化对应的系统参数

  1、状态跟踪表的最大行数的设定,理论最大值 CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32)

    以64G的64位操作系统为例,CONNTRACK_MAX = 64*1024*1024*1024/16384/2 = 2097152

    即时生效请执行:

sysctl –w net.netfilter.nf_conntrack_max = 2097152

  2、其哈希表大小通常为总表的1/8,最大为1/2。CONNTRACK_BUCKETS = CONNTRACK_MAX / 8

    同样64G的64位操作系统,哈希最佳范围是 262144 ~ 1048576 。

    运行状态中通过 sysctl net.netfilter.nf_conntrack_buckets 进行查看,通过文件 /sys/module/nf_conntrack/parameters/hashsize 进行设置

    或者新建 /etc/modprobe.d/iptables.conf ,重新加载模块才生效:

options nf_conntrack hashsize = 262144

  3、还有些相关的系统参数`sysctl -a | grep nf_conntrack`可以调优(/etc/sysctl.conf ):

net.netfilter.nf_conntrack_max  =   1048576  
net.netfilter.ip_conntrack_tcp_timeout_established  =   3600  
net.netfilter.nf_conntrack_tcp_timeout_close_wait  =   60  
net.netfilter.nf_conntrack_tcp_timeout_fin_wait  =   120  
net.netfilter.nf_conntrack_tcp_timeout_time_wait  =   120

 

  (1)、尽可能不给服务器配置外网IP。

  (2) 并发不是很大的话可以开启iptables。

 

iptables 包括的四个表、常用的前两个(filter、nat、mangle,raw)

filter: 负责过滤功能,防火墙;内核模块: iptables_filter

nat: network address translation 网络地址转换功能

mangle: 拆解报文,做出修改,重新分装的功能。

raw: 连接追踪。

Linux iptables 详解_第1张图片

iptables 的表又是链的容器

INPUT,OUTPUT、FORWARD、perrouting、postrouting

表名                   链名
  INPUT FORWARD OUTPUT PREROUTING POSTROUTING
filter * * *    
nat ×××   * *
mangle * * * * *
* 代表包含

                                                  centos6 与centos7 系统中nat表中包含链不同,centos7中nat表中多了一个input链。

可以使用下面的命令查看表中包含的链:

iptables -L -n  -t filter

 

                                                

规则中的链命令一定是大写

filter表: 强调:主要和主机自身有关,真正负责主机防火墙的(过滤流入流出主机的数据包)。

filter表示iptables 默认使用的表。企业工作场景: 主机防火墙。

INPUT: 负责过滤所有目标地址是本机地址的数据包。通俗讲就是过滤进入主机的数据包。

FORWARD: 负责转发流经主机的数据包。起到转发的作用。和NAT 表关系很大,后面会详细介绍。LVS NAT模式。net.ipv4.ip_forward=0

基本的处理行为:

ACCEPT(接受)  DROP(丢弃)、REJECT(拒绝,)

比较: DROP 好于REJECT

命令行执行的规则,仅仅在内存里临时生效。

-A 添加(追加规则的最低部)

-I 插入(默认放在第一)

iptables -A INPUT -p tcp -s 10.0.0.0/8 --dport 22 -j DROP

禁止ping

iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -s 0.0.0.0/0 -j DROP

禁止除了192.168.1.141之外的源地址:

iptables -A INPUT -p tcp   ! -s 192.168.1.141 --dport 22 -j DROP

端口范围

iptables -A INPUT -p tcp --sport 53 -j ACCEPT

iptable -A INPUT -p udp --dport 53 -j DROP

匹配指定端口之外的端口( ! 加在参数的前面)

iptables -A INPUT -p tcp    ! --dport  22

iptables -A INPUT -s  10.0.0.0/8

iptables -A INPUT  ! -s 10.0.0.0/8

端口范围(指定端口的格式)

iptables -A INPUT -p tcp --sport 22:80

iptables -A INPUT -p tcp  -s 10.0.0.0/0 -m multiport --dport 22,3306 -j DROP

 

iptables -A INPUT -i eth0 

iptables -A OUTPUT  -o eth0

 

根据状态:

-m state --state 

NEW: 新的连接

ESTABLISHED: 已建立的连接

RELATED: 正在启动新连接

INVALID: 非法或无法识别的连接

FTP服务是特殊的,需要配置状态连接

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-m limit 限制模块

--limit  n/{second/minute/hour}

 

生产环境:

iptables -F

iptables -X

iptables -Z

iptables -A 

iptables -A INPUT -p tcp  -s 10.0.0.0/8 --dport 22 -j ACCEPT 

iptables -A INPUT -i lo -j  ACCEPT

iptables -A OUTPUT -o lo  -j  ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -P INPUT DROP

#允许合法的公司IP地址进入

iptables -A INPUT -s 10.0.0.0/24 -p  all -j ACCEPT  (加入公司自己的IP)

#开启对外提供服务的端口

iptables -A INPUT -p tcp  --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#icmp 是否禁止ping

iptables -A INPUT -p imcp  --icmp-type 8  -j DROP

#状态

iptables -A INPUT -m state --state  ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

 

linux 做nat地址转换提供上网功能:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 10.0.07

外网地址变化时:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

端口映射(把外部ip及端口映射到内部ip及端口通过访问10.0.0.19:80 端口就可以访问到192.168.1.19:9000提供的web服务)

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.19  --dport 80 -j DNAT --to-destination 192.168.1.19:9000

 

 

 

 

iptabes 其他限制规则:            

#防御太多DOS攻击连接,可以允许外网每个IP最多15个初始连接,超过的丢弃,第二条是在第一条的基础上允许已经建立的连接和子连接允许

iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP  (--connlimit-mask 32为主机掩码,32即为一个主机ip,也可以是网段)
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#抵御DDOS ,允许外网最多24个初始连接,然后服务器每秒新增12个,访问太多超过的丢弃,第二条是允许服务器内部每秒1个初始连接进行转发
iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#允许单个IP访问服务器的80端口的最大连接数为 20 

iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 20 -j REJECT 

 #对访问本机的22端口进行限制,每个ip每小时只能连接5次,超过的拒接,1小时候重新计算次数

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 3600 --hitcount 5 -j DROP

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT

 (上面recent规则只适用于默认规则为DROP中,如果要适用默认ACCEPT的规则,需要--set放前面 并且无-j ACCEPT)

iptables 常用企业案例:

1、linux 主机防火墙(表:filter)

2、局域网上网(nat  POSTROUTING)

iptables -t nat -A POSTROUTING -s  -o eth0 -j SNAT --to-source  10.10.10.10

3、端口映射(NAT PREROUTING)

iptables -t nat -A PREROUTING -d 118.234.12.24 -ptcp --dport 80 -j DNAT --to-destination 192.168.1.8:8080 

 

企业内部局域网

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(Linux)