淺談iptables 入站 出站以及NAT實例

来源:http://www.cnblogs.com/harlanzhang/archive/2016/12/17/6188952.html
-Advertisement-
Play Games

本文是自己工作上的筆記總結,適合的可以直接拿去用,不適合的,適當修改即可! iptbales預設ACCEPT策略,也稱通策略,這種情況下可以做攔截策略,還有種叫堵策略,然後開放通的規則。(我偏向堵策略,自己需要開放什麼在開,以下例子也是在此基礎上的) iptables 一些參數名稱: 四表五鏈:fi ...


 

--------------本文是自己工作上的筆記總結,適合的可以直接拿去用,不適合的,適當修改即可!---------------

iptbales預設ACCEPT策略,也稱通策略,這種情況下可以做攔截策略,還有種叫堵策略,然後開放通的規則。(我偏向堵策略,自己需要開放什麼在開,以下例子也是在此基礎上的)

iptables 一些參數名稱:

四表五鏈:fifter表、NAT表、Mangle表、Raw表  。  INPUT鏈、OUTPUT鏈、FORWARD鏈、PREROUTING鏈、POSTROUTING鏈

  INPUT鏈 – 處理來自外部的數據。
  OUTPUT鏈 – 處理向外發送的數據。
  FORWARD鏈 – 將數據轉發到本機的其他網卡設備上。 

  PREROUTING鏈 – 處理剛到達本機併在路由轉發前的數據包。它會轉換數據包中的目標IP地址(destination ip address),通常用於DNAT(destination NAT)。(NAT表需要開啟linux路由 net.ipv4.ip_forward = 1)
  POSTROUTING鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源IP地址(source ip address),通常用於SNAT(source NAT)。
  OUTPUT鏈 – 處理本機產生的數據包。

iptables 新建時情況所有記錄

iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat -X

開放22 SSH埠

iptables -A INPUT -p tcp -p tcp --dport 22 -j ACCEPT  (允許外部訪問本機的22埠)

iptables -A OUTPUT   -p tcp --sport 22 -j ACCEPT (有進就有出,IP包是來回的)

例如一條比較完整的SSH埠限制:(意思為:從eth0進來的SSH訪問,除了公司192.168.16.0/24不限制,其他的地址都限製為每個ip最多5個SSH連接,且只為NEW和ESTABLISHED的連接,其他的都拒接)

iptables -A INPUT -i eth0 ! -s 192.168.16.0/24 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -m  connlimit --connlimit-above 5  -j REJECT

----

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT (允許本機去ssh其他的伺服器的22埠)

iptables -A INPUT -p tcp --sport 22 -j ACCEPT 

設置預設規則為DROP

iptables -P INPUT DROP

iptables -P OUTPUT DROP

此時占時不要service iptables save,先用客戶端ssh連接一下伺服器,看看可以連接嗎?如果不行最起碼還可以重啟,這樣規則沒保存重啟是不生效,如果保存了發現不通就麻煩一些了!

當發現可以SSH的時候,我們就可以繼續下麵的步驟了!

打開迴環地址,為了本地訪問,如本地訪問資料庫之類

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

打開伺服器的ping功能,我覺得有必要打開,可以檢測伺服器狀況

iptables -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT  (此2條規則是允許本機ping外網的ip,不包括功能變數名稱,其中8是icmp的請求,0是icmp的響應)

iptables -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

----

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT (此2條規則是允許外部ping本機)

iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT

允許內部ping外部的功能變數名稱

iptables -A INPUT -p udp  --sport 53 -j ACCEPT

iptables -A OUTPUT -p udp  --dport 53 -j ACCEPT

允許外部訪問本機的80服務,且只允許新連接的和已經連接的會話(狀態檢測)

iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

允許外部訪問我本地多個埠 如 8080,8081,8082,且只允許是新連接,已經連接的和已經連接的在延伸出新連接的會話

iptables -A INPUT -p tcp -m multiport --dport 8080,8081,8082  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --sport 8080,8081,8082 -m state --state ESTABLISHED -j ACCEPT

允許外部訪問本機81埠,且本機初始只允許有200個連接,超過了此數量,然後每秒新增加2個連接,如果訪問超過此限制則拒接 (此方式可以限制一些攻擊)

iptables -A INPUT -p tcp --dport 81 -m limit --limit 2/s --limit-burst 200 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 81 -j ACCEPT

限制除用戶192.168.16.99以外的IP連接數為50 (相當於可以給自己開特權^_^)

iptables -A FORWARD -p tcp -s !192.168.16.99 -m connlimit --connlimit-above 50 -j REJECT

TCP匹配擴展協議--tcp-flags

iptables -A INPUT -p tcp --tcp-flags SYN,FIN,ACK,RST SYN (表示 SYN,FIN,ACK,RST的標識都檢查,但只匹配SYN標識)

iptables -A INPUT -p tcp --syn (如果這是為了匹配SYN標識位也可以寫成這樣,選項—syn相當於”--tcp-flags SYN,RST,ACK SYN”的簡寫。)

實例:

//nmap-xmas

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP (檢查所以的標識位,匹配到FIN URG PSH的丟棄)

//nmap-push

iptables -A INPUT  -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP (檢查所以的標識位,匹配到SYN RST ACK FIN URG的丟棄)

// Null

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP (檢查所以的標識位,沒標誌位的丟棄)

iptables -A INPUT  -p tcp --tcp-flags SYN,RST SYN,RST -j DROP(檢查 SYN,RST標識位,匹配到 SYN,RST的丟棄,SYN是建立連接,RST是重置連接,所以這樣的包是有問題的)

iptables -A INPUT  -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP (檢查 SYN,FIN標識位,匹配到 SYN,FIN的丟棄,SYN是建立連接,FIN是結束連接,所以這樣的包是有問題的)

iptables -A INPUT  -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

iptables -A INPUT  -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

 

SNAT 和 DNAT

SNAT:

假如我要讓公司192.168.10.0/24段的地址都通過linux伺服器的eth0 :123.123.123.123上網

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 123.123.123.123

DNAT

GATEWAY eth0:123.123.123.123 eth1:192.168.10.1 內網主機:192.168.10.10

要使訪問123.123.123.123的80 自動跳到192.168.10.10的80埠上

iptables -t nat -A PREROUTING -p tcp -d 123.123.123.123 --dport 80 -j DNAT --to-destination 192.168.10.10:80

iptables -t nat -A POSTROUTING -p tcp -d 192.168.10.10 --dport 80 -j SNAT --to-source 192.168.10.1 (內網之間進行nat才加上)

第一條:將外部數據包的目的地址改到內網主機的指定埠
第二條:轉發前,將外部源地址改為內網本地地址


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • ionic第二坑——ionic 上拉菜單(ActionSheet)安卓樣式坑 ...
  • 最近有個需求,需要做兩個功能相似的APP,大部分代碼是一樣的,只是界面不一樣,以前要維護兩套代碼,比較麻煩,最近在網上找資料,發現可以用gradle使用同一套代碼構建兩個APP。下麵介紹使用方法: 首先要構建兩個APP需要有兩個APP圖標、APP名字和AndroidManifest.xml。Andr ...
  • 本期內容包括: 開發一個自定義View併發布為開源庫的完整流程介紹; 用`AnimatedVectorDrawable`實現的動畫; 什麼樣的程式是可測試的; `DownloadManager`介紹; Okhttp的重試; Android 7取消了`file://`; Android Studio即... ...
  •      圖片輪播器 是一個在應用中使用率非常高的控制項,翻了一遍手機上的app,發現幾乎所有的應用中都不乏圖片輪播的身影。醒目、美觀、信息直面撲來等等特點使得輪播器成了app展示信息的首選。     其實在github上 ...
  • 前言 學習本系列內容需要具備一定 HTML 開發基礎,沒有基礎的朋友可以先轉至 "HTML快速入門(一)" 學習 本人接觸 React Native 時間並不是特別長,所以對其中的內容和性質瞭解可能會有所偏差,在學習中如果有錯會及時修改內容,也歡迎萬能的朋友們批評指出,謝謝 文章第一版出自簡書,如果 ...
  • 開源 iOS 項目分類索引大全 開源 iOS 項目分類索引大全 GitHub 上大概600個開源 iOS 項目的分類和介紹,對於你挑選和使用開源項目應該有幫助 系統基礎庫 Category/Util sstoolkit 一套Category類型的庫,附帶很多自定義控制項 功能不錯~ BlocksKit ...
  • 1.XML:可擴展標記語言。 可擴展標記語言是一種很像超文本標記語言的標記語言。 它的設計宗旨是傳輸數據,而不是顯示數據。 它的標記沒有被預定義。需要自行定義標簽。 它被設計為具有自我描述性。 是W3C的推薦標準。 2.Android解析XML的三種方式 (1).SAX解析 http://www.c ...
  • 示例代碼 ///////////////////////////OC.h////////////////////////// //// UIView+FreeBorder.h// BHBFreeBorder//// Created by bihongbo on 15/12/30.// Copyrig ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...