iptables

1 iptables实现字符串匹配,URL过滤,安全策略

通过string匹配域名来过滤，范例如下：

iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP
iptables -I OUTPUT -p udp -m string --string "qq.com" --algo kmp -j DROP

防止入侵的方法
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "cmd.exe" --algo bm -j DROP
iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"
保护DDOS服务
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "domain.com" --algo kmp -j DROP
防止电子邮件欺骗
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject" --algo bm -j DROP
做个最优规则
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject"  --algo bm --to 15000 -j DROP

使用string模块来匹配16进制的报文内容, 如果报文中存在00 00 ff 00 01时就丢弃该请求, 这里的 00 00 ff 00 01 匹配的是请求ANY的DNS query

iptables -A INPUT -p udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --algo bm --to 255 -j DROP

2 使用recent模块, 在60s内同一IP发起的链接超过10个时, 之后的请求全都丢弃, 用来降低恶意DNS间隔.

iptables -A INPUT -p udp --dport 53 -m recent --set --name dnsdosiptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnsdos -j DROP

3 ​使用connlimit模块, 同一IP发起超过3个连接之后的所有连接都直接丢弃, 这样可以限制恶意DNS请求的瞬时速率.

iptables -A INPUT -p udp --dport 53 -m connlimit --connlimit-above 3 -j DROP

4 ​另外如果想把奇怪的请求都记录下来, 可以通过下面这个命令记录到日志里, 以便后续的检查.

iptables -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --algo bm --to 255 -m limit --limit 1/min -j LOG --log-prefix "ANY DRDOS: "