iptables 说明及实例

  1. 函数说明

    prerouting
    input
    output
    forward
    postrouting

2.链说明

    chain:
    PREROUTING
    INPUT
    OUTPUT
    FORWARD
    POSTROUTING

    

3.filter(过滤):

 

   INPUT
    OUTPUT
    FORWARD

4.nat(地址转换):

    PREROUTING
    OUTPUT
    POSTROUTING

5.mangle(拆开,修改,封装):

    PREROUTING
    INPUT
    OUTPUT
    FORWARD
    POSTROUTING

6.raw:

    PREROUTING

    OUTPUT

7.自定义链:

    可以使用自定义链,但只有在被调用时才能发挥作用,而且如果没有自定义的任何规则匹配,还应该有返回机制

    可以删除自定义的空链;

    默认链不能被删除;

    每个规则都有两个内置计数器:

    匹配报文个数

    匹配报文大小之和


匹配:

通用匹配

-s:--src:指定源地址
-d:--dst:指定目标地址
-p{tcp|udp|icmp}:指定协议
-iINTERFACE指定报文流入接口
可用于定义标准的链:PREROUTING,INPUT,FORWARD
-oINTERFACE:
可用于定义标准的链:OUTPUT,POSTROUTING,FORWARD
扩展匹配
隐含扩展:
不用特别指明由哪个模块进行扩展,因此使用时使用
-p{tcp|udp|icmp}
--sportPORT[]:源端口
--dportPORT[]:目标端口
--tcp-flagsmaskcomp:只检查mask指定的标志位,是逗号分隔的标志位列表;comp:此列表中出现的标记位必须为1,comp中没有出现的,必须为0
--tcp-flagsSYN,FIN,ACK,RSTSYN,ACK
--syn:匹配三次握手的第一次
-picmp
--icmp-type
0:echo-replay
8:echo-request
-pudp
--sport
--dport

显式扩展:

    

必须指明由哪个模块进行的扩展,在iptables中使用-m选项可以完成此功能
    -mextension
    state:状态扩展
    结合nf_conntrack追踪会话状态
    NEW:新连接请求
    ESTABLISHED:已建立的连接
    INVALID:非法连接
    RELATED:相关联的,如ftp21端口连接后,20必须连接数据
    forexp:-mstate--stateNEW,ESTABLISHED-jACCEPT

多端口匹配扩展:

    

multiport
    --source-ports:匹配源端口
    --destination-ports:匹配目标端口
    --ports:源端口和目标端口都可以匹配
    iptable-IINPUT-ptcp-mmultiport--destination-ports21,22,80-mstate--stateNEW-jACCEPT

    

-miprange:
    --src-range:
    --dst-range:
    iptable-AINPUT-ptcp-miprange--src-range192.168.1.11-192.168.1.22-mmultiport--ports22-mstate--stateNEW-jACCEPT
-mconnlimit:连接限制
!--connlimit-aboven连接上限!ACCEPT
-m
--limtrate
--limit-burst
iptable-AINPUT-d192.168.1.12-picmp--icmp-type8-mlimit--limit30/minute--limit-burst10-jACCEPT

limit-burst如上面的限制,表示每分钟限制30个请求,但是前10个是一批请求都会放行的

-mstring
-algo{bm|kmp}
--string"stringxx"


命令:

管理规则

-A:附加一条规则,添加至链的尾部
    -ICHAIN[NUM]:插入一条规则,插入为对应CHAIN上的第num条;不指定,默认为第一条
    -DCHAIN[NUM]:删除指定链中的第num条规则;
    -RCHAIN[NUM]:替换指定规则
    管理链:
    -FCHAIN:flush,清空指定规则链,如果省略CHAIN,则可以删除对应表中的所有链。
    -PCHAIN:设定指定链的默认策略
    -N:自定义一条空链
    -X:删除一个自定义空链
    -Z:置零指定链中的所有计数
    -E:重名名自定义链
    查看:
    -L:显示指定表中的规则
    -v:显示详细信息
    -x:显示精确值
    -n:已数字格式显示
    --line-numbers:显示规则号码



动作:

-jtarget:
    ACCEPT:放行
    DROP:丢弃
    REJECT:拒绝
    DNAT:目标地址转换
    SNAT:源地址转换
    REDIRECT:端口重定向
    MASQUERADE:地址伪装
    LOG:日志
    --log-prefix"STRING"记录日志时添加的字符串
    MARK:报文打标记


装载及卸载iptables/netfilter相关模块:

iptbales_nat,iptables_filter,iptables_mangle,iptables_raw,ip_nat,ip_conntrack
ip_conntrack/nf_conntrack:
新内核为nf_conntrack
建立连接后文件的记录位置/proc/net/nf_conntrack
所允许的最大连接:cat/proc/sys/net/netfilter/nf_conntrack_max
***设置值调整目录****
/proc/sys/net/netfilter/


规则保存,保存文件:

/etc/sysconfig/iptables
/etc/init.d/iptablessave
iptables-save>/etc/sysconfig/iptables.20150604
iptables-restore</etc/sysconfig/iptables.20150604


放行ftp:

加载模块:ip_nat_ftp,ip_conntrack_ftp
vi/etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_nat_ftpip_conntrack_ftp"
开放状态:ESTABLISHED,RELATED
-NCHAIN_NAME:自定义链
iptables-NCKL
被主链引用,比如被INPUT引用:
iptables-AINPUT-jCKL

利用iptablesrecent模块抵御DOS攻击

ssh远程连接

iptables-IINPUT-ptcp--dport22-mconnlimit--connlimit-above3-jDROP
iptables-IINPUT-ptcp--dport22-mstate--stateNEW-mrecent--set--nameSSH
iptables-IINPUT-ptcp--dport22-mstate--stateNEW--update--seconds300--hitcount3--nameSSH-jDROP


1.利用connlimit模块将单IP的并发设置为3,会误杀使用NAT上网的用户,可以根据实际情况调整

2.利用recent和state模块限制单IP300s内只能与本机建立3个连接,被限制5分钟后恢复


下面对最后两句做一个说明:

1.第二句是记录访问tcp22端口的新连接,记录名称为SSH

   --set记录数据包来源IP,如果IP已经存在,将更新已经存在的条目

2.第三句是指SSH记录中的IP,300s内发起超过3次请求则拒绝此IP

  --seconds必须与--rcheck或者--update同时使用

  --hitcount必须与--rcheck或者--update同时使用

3.iptables的记录:/proc/net/ipt_recent/SSH

也可以使用如下

 iptables-AINPUT-ptcp--dport22-mstate--stateNEW-mrecent--update--nameSSH--second300--hitcount3-jLOG--log-prefix"SSHAttack"

 

NAT:

 DNAT(PREROUTING,INPUT)目标地址转换:报文进入的时候

 SNAR(POSTROUTING,OUTPUT)源地址转换:报文流出的时候


 -jSNAT

 --to-source

 允许内部192.168.1.0/24通过外网地址122.22.3.4上网:

 iptables-tnat-APOSTROUTING-s192.168.1.0/24-jSNAT--to-source122.22.3.4

-jMASQUERADE

对于外网地址不固定的,MASQUERADE可以通过动态的进行地址转换

-jDNAT

--to-destination

内网服务器地址是192.168.1.13,外网地址是133.22.1.1允许外网可以访问内网的80(如果转换为8009)

iptables-tnat-APREROUTING-d133.22.1.1-ptcp--dport80-jDNAT--to-destination192.168.1.13

(如果转换为8009端口)

iptables-tnat-APREROUTING-d133.22.1.1-ptcp--dport80-jDNAT--to-destination192.168.1.13:8009


你可能感兴趣的:(iptables)