centos下iptables防火牆規則用法和概述

来源:https://www.cnblogs.com/fengdejiyixx/archive/2020/03/16/12506945.html
-Advertisement-
Play Games

iptables是組成Linux平臺下的包過濾防火牆,與大多數的Linux軟體一樣,這個包過濾防火牆是免費的,它可以代替昂貴的商業防火牆解決方案,完成封包過濾、封包重定向和網路地址轉換(NAT)等功能。在日常Linux運維工作中,經常會設置iptables防火牆規則,用來加固服務安全。 以下對ipt ...


   iptables是組成Linux平臺下的包過濾防火牆,與大多數的Linux軟體一樣,這個包過濾防火牆是免費的,它可以代替昂貴的商業防火牆解決方案,完成封包過濾、封包重定向和網路地址轉換(NAT)等功能。在日常Linux運維工作中,經常會設置iptables防火牆規則,用來加固服務安全。

以下對iptables的規則使用做了總結性梳理:

iptables首先需要瞭解的:
1)規則概念
規則(rules)其實就是網路管理員預定義的條件,規則一般的定義為“如果數據包頭符合這樣的條件,就這樣處理這個數據包”。規則存儲在內核空間的信息 包過濾表中,這些規則分別指定了源地址、目的地址、傳輸協議(如TCP、UDP、ICMP)和服務類型(如HTTP、FTP和SMTP)等。
當數據包與規則匹配時,iptables就根據規則所定義的方法來處理這些數據包,如放行(accept),拒絕(reject)和丟棄(drop)等。配置防火牆的主要工作是添加,修改和刪除等規則。
其中:
匹配(match):符合指定的條件,比如指定的 IP 地址和埠。
丟棄(drop):當一個包到達時,簡單地丟棄,不做其它任何處理。
接受(accept):和丟棄相反,接受這個包,讓這個包通過。
拒絕(reject):和丟棄相似,但它還會向發送這個包的源主機發送錯誤消息。這個錯誤消息可以指定,也可以自動產生。
目標(target):指定的動作,說明如何處理一個包,比如:丟棄,接受,或拒絕。
跳轉(jump):和目標類似,不過它指定的不是一個具體的動作,而是另一個鏈,表示要跳轉到那個鏈上。
規則(rule):一個或多個匹配及其對應的目標。

2)iptables和netfilter的關係: 
Iptables和netfilter的關係是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已,位於/sbin/iptables。真正實現防火牆功能的是 netfilter,它是Linux內核中實現包過濾的內部結構。

3)iptables的規則表和鏈
表(tables):提供特定的功能,iptables內置了4個表,即filter表、nat表、mangle表和raw表,分別用於實現包過濾,網路地址轉換、包重構(修改)和數據跟蹤處理。
鏈(chains):是數據包傳播的路徑,每一條鏈其實就是眾多規則中的一個檢查清單,每一條鏈中可以有一 條或數條規則。當一個數據包到達一個鏈時,iptables就會從鏈中第一條規則開始檢查,看該數據包是否滿足規則所定義的條件。如果滿足,系統就會根據 該條規則所定義的方法處理該數據包;否則iptables將繼續檢查下一條規則,如果該數據包不符合鏈中任一條規則,iptables就會根據該鏈預先定 義的預設策略來處理數據包。

Iptables採用“表”和“鏈”的分層結構,在Linux中現在是四張表五個鏈。下麵羅列一下這四張表和五個鏈(註意一定要明白這些表和鏈的關係及作用)。

規則表:
    1)filter表——三個鏈:INPUT、FORWARD、OUTPUT
作用:過濾數據包 內核模塊:iptables_filter.
    2)Nat表——三個鏈:PREROUTING、POSTROUTING、OUTPUT
作用:用於網路地址轉換(IP、埠) 內核模塊:iptable_nat
    3)Mangle表——五個鏈:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改數據包的服務類型、TTL、並且可以配置路由實現QOS內核模塊:iptable_mangle(別看這個表這麼麻煩,咱們設置策略時幾乎都不會用到它)
   4)Raw表——兩個鏈:OUTPUT、PREROUTING
作用:決定數據包是否被狀態跟蹤機制處理 內核模塊:iptable_raw

規則鏈:
   1)INPUT——進來的數據包應用此規則鏈中的策略
   2)OUTPUT——外出的數據包應用此規則鏈中的策略
   3)FORWARD——轉發數據包時應用此規則鏈中的策略
   4)PREROUTING——對數據包作路由選擇前應用此鏈中的規則
(記住!所有的數據包進來的時侯都先由這個鏈處理)
   5)POSTROUTING——對數據包作路由選擇後應用此鏈中的規則
(所有的數據包出來的時侯都先由這個鏈處理)

管理和設置iptables規則:

4)iptables傳輸數據包的過程

   1)當一個數據包進入網卡時,它首先進入PREROUTING鏈,內核根據數據包目的IP判斷是否需要轉送出去。 
   2)如果數據包就是進入本機的,它就會沿著圖向下移動,到達INPUT鏈。數據包到了INPUT鏈後,任何進程都會收到它。本機上運行的程式可以發送數據包,這些數據包會經過OUTPUT鏈,然後到達POSTROUTING鏈輸出。 
   3)如果數據包是要轉發出去的,且內核允許轉發,數據包就會如圖所示向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出。

如果還是不清楚數據包經過iptables的基本流程,再看下麵更具體的流程圖:

從圖中可將iptables數據包報文的處理過程分為三種類型:
1)目的為本機的報文
報文以本機為目的地址時,其經過iptables的過程為:

1.數據包從network到網卡
2.網卡接收到數據包後,進入raw表的PREROUTING鏈。這個鏈的作用是在連接跟蹤之前處理報文,能夠設置一條連接不被連接跟蹤處理。(註:不要在raw表上添加其他規則)
3.如果設置了連接跟蹤,則在這條連接上處理。
4.經過raw處理後,進入mangle表的PREROUTING鏈。這個鏈主要是用來修改報文的TOS、TTL以及給報文設置特殊的MARK。(註:通常mangle表以給報文設置MARK為主,在這個表裡面,千萬不要做過濾/NAT/偽裝這類的事情)
5.進入nat表的PREROUTING鏈。這個鏈主要用來處理 DNAT,應該避免在這條鏈裡面做過濾,否則可能造成有些報文會漏掉。(註:它只用來完成源/目的地址的轉換)
6.進入路由決定數據包的處理。例如決定報文是上本機還是轉發或者其他地方。(註:此處假設報文交給本機處理)
7.進入mangle表的 INPUT 鏈。在把報文實際送給本機前,路由之後,我們可以再次修改報文。
8.進入filter表的 INPUT 鏈。在這兒我們對所有送往本機的報文進行過濾,要註意所有收到的並且目的地址為本機的報文都會經過這個鏈,而不管哪個介面進來的或者它往哪兒去。
9. 進過規則過濾,報文交由本地進程或者應用程式處理,例如伺服器或者客戶端程式。

 

2)本地主機發出報文

數據包由本機發出時,其經過iptables的過程為:

1.本地進程或者應用程式(例如伺服器或者客戶端程式)發出數據包。
2.路由選擇,用哪個源地址以及從哪個介面上出去,當然還有其他一些必要的信息。
3.進入raw表的OUTPUT鏈。這裡是能夠在連接跟蹤生效前處理報文的點,在這可以標記某個連接不被連接跟蹤處理。
4.連接跟蹤對本地的數據包進行處理。
5.進入 mangle 表的 OUTPUT 鏈,在這裡我們可以修改數據包,但不要做過濾(以避免副作用)。
6.進入 nat 表的 OUTPUT 鏈,可以對防火牆自己發出的數據做目的NAT(DNAT) 。
7.進入 filter 表的 OUTPUT 鏈,可以對本地出去的數據包進行過濾。
8.再次進行路由決定,因為前面的 mangle 和 nat 表可能修改了報文的路由信息。
9.進入 mangle 表的 POSTROUTING 鏈。這條鏈可能被兩種報文遍歷,一種是轉發的報文,另外就是本機產生的報文。
10.進入 nat 表的 POSTROUTING 鏈。在這我們做源 NAT(SNAT),建議你不要在這做報文過濾,因為有副作用。即使你設置了預設策略,一些報文也有可能溜過去。
11.進入出去的網路介面

 

3)轉發報文

報文經過iptables進入轉發的過程為:
1.數據包從network到網卡
2.網卡接收到數據包後,進入raw表的PREROUTING鏈。這個鏈的作用是在連接跟蹤之前處理報文,能夠設置一條連接不被連接跟蹤處理。(註:不要在raw表上添加其他規則)
3.如果設置了連接跟蹤,則在這條連接上處理。
4.經過raw處理後,進入mangle表的PREROUTING鏈。這個鏈主要是用來修改報文的TOS、TTL以及給報文設置特殊的MARK。(註:通常mangle表以給報文設置MARK為主,在這個表裡面,千萬不要做過濾/NAT/偽裝這類的事情)
5.進入nat表的PREROUTING鏈。這個鏈主要用來處理 DNAT,應該避免在這條鏈裡面做過濾,否則可能造成有些報文會漏掉。(註:它只用來完成源/目的地址的轉換)
6.進入路由決定數據包的處理。例如決定報文是上本機還是轉發或者其他地方。(註:此處假設報文進行轉發)
7.進入 mangle 表的 FORWARD 鏈,這裡也比較特殊,這是在第一次路由決定之後,在進行最後的路由決定之前,我們仍然可以對數據包進行某些修改。
8.進入 filter 表的 FORWARD 鏈,在這裡我們可以對所有轉發的數據包進行過濾。需要註意的是:經過這裡的數據包是轉發的,方向是雙向的。
9.進入 mangle 表的 POSTROUTING 鏈,到這裡已經做完了所有的路由決定,但數據包仍然在本地主機,我們還可以進行某些修改。
10.進入 nat 表的 POSTROUTING 鏈,在這裡一般都是用來做 SNAT ,不要在這裡進行過濾。
11.進入出去的網路介面。

 

接下來說下iptables規則設置用法

1)iptables的基本語法格式

iptables [-t 表名] 命令選項 [鏈名] [條件匹配] [-j 目標動作或跳轉]
說明:
表名、鏈名:用於指定iptables命令所操作的表和鏈;
命令選項:用於指定管理iptables規則的方式(比如:插入、增加、刪除、查看等;
條件匹配:用於指定對符合什麼樣 條件的數據包進行處理;
目標動作或跳轉:用於指定數據包的處理方式(比如允許通過、拒絕、丟棄、跳轉(Jump)給其它鏈處理。

 

2)iptables命令的管理控制選項

-A 在指定鏈的末尾添加(append)一條新的規則 
-D 刪除(delete)指定鏈中的某一條規則,可以按規則序號和內容刪除 
-I 在指定鏈中插入(insert)一條新的規則,預設在第一行添加 
-R 修改、替換(replace)指定鏈中的某一條規則,可以按規則序號和內容替換 
-L 列出(list)指定鏈中所有的規則進行查看(預設是filter表,如果列出nat表的規則需要添加-t,即iptables -t nat -L)
-E 重命名用戶定義的鏈,不改變鏈本身 
-F 清空(flush) 
-N 新建(new-chain)一條用戶自己定義的規則鏈 
-X 刪除指定表中用戶自定義的規則鏈(delete-chain) 
-P 設置指定鏈的預設策略(policy)
-Z 將所有表的所有鏈的位元組和數據包計數器清零 
-n 使用數字形式(numeric)顯示輸出結果 
-v 查看規則表詳細信息(verbose)的信息 
-V 查看版本(version) 
-h 獲取幫助(help)

 

3)防火牆處理數據包的四種方式ACCEPT 允許數據包通過
DROP 直接丟棄數據包,不給任何回應信息
REJECT 拒絕數據包通過,必要時會給數據發送端一個響應的信息。
LOG在/var/log/messages文件中記錄日誌信息,然後將數據包傳遞給下一條規則

4)iptables防火牆規則的保存與恢復
iptables-save把規則保存到文件中,再由目錄rc.d下的腳本(/etc/rc.d/init.d/iptables)自動裝載
使用命令iptables-save來保存規則。

一般用:
iptables-save > /etc/sysconfig/iptables
生成保存規則的文件/etc/sysconfig/iptables
也可以用:
service iptables save
它能把規則自動保存在/etc/sysconfig/iptables中

 

當電腦啟動時,rc.d下的腳本將用命令iptables-restore調用這個文件,從而就自動恢復了規則。

5)iptables防火牆常用的策略梳理
設置預設鏈策略
ptables的filter表中有三種鏈:INPUT, FORWARD和OUTPUT。
預設的鏈策略是ACCEPT,可以將它們設置成DROP,如下命令就將所有包都拒絕了:

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP

 

---------------------------------------------------------------------------------------------------------------------------
其實,在運維工作中最常用的兩個規則就是白名單規則和NAT轉發規則:

1)白名單規則

在linux終端命令行里操作時,如果不是預設的filter表時,需要指定表;
如果在/etc/sysconfig/iptables文件里設置,就在對應表的配置區域內設置;
上面兩種方式設置效果是一樣的!

比如開通本機的22埠,允許192.168.1.0網段的伺服器訪問(-t filter表配置可以省略,預設就是這種表的配置)

iptables -A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
或者
iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

 

開通本機的80埠,只允許192.168.1.150機器訪問(32位掩碼表示單機,單機指定時可以不加掩碼)

iptables -t filter -A INPUT -s 192.168.1.150/32 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
然後保存規則,重啟iptables
service iptables save
service iptables restart

 

或者在/etc/sysconfig/iptables文件里設置如下(其實上面在終端命令行里設置並save和restart防火牆後,就會自動保存規則到/etc/sysconfig/iptables這個文件中的):

[root@bastion-IDC ~]# cat /etc/sysconfig/iptables
......
*filter
:INPUT ACCEPT [442620:173026884]
:FORWARD ACCEPT [118911:23993940]
:OUTPUT ACCEPT [8215384:539509656]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.150/32 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

[root@bastion-IDC ~]# service iptables restart

 

2)NAT轉發設置

比如訪問本機(192.168.1.7)的8088埠轉發到192.168.1.160的80埠;訪問本機的33066埠轉發到192.168.1.161的3306埠
準備工作:
本機打開ip_forword路由轉發功能;192.168.1.160/161的內網網關要和本機網關一致!如果沒有內網網關,就將網關設置成本機內網ip,並且關閉防火牆(防火牆要是打開了,就設置對應埠允許本機訪問)

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8088 -j DNAT --to-destination 192.168.1.160:80iptables -t nat -A POSTROUTING -d 192.168.1.160/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 192.168.1.7iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 8088 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 33066 -j DNAT --to-destination 192.168.1.161:3306iptables -t nat -A POSTROUTING -d 192.168.1.161/32 -p tcp -m tcp --sport 3306 -j SNAT --to-source 192.168.1.7iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 33066 -j ACCEPT

service iptables save
service iptables restart

或者在/etc/sysconfig/iptables文件里設置如下
[root@bastion-IDC ~]# cat /etc/sysconfig/iptables
......
*nat
:PREROUTING ACCEPT [60:4250]
:INPUT ACCEPT [31:1973]
:OUTPUT ACCEPT [3:220]
:POSTROUTING ACCEPT [3:220]
-A PREROUTING -p tcp -m tcp --dport 8088 -j DNAT --to-destination 192.168.1.160:80    //PREROUTING規則都放在上面
-A PREROUTING -p tcp -m tcp --dport 33066 -j DNAT --to-destination 192.168.1.161:3306
-A POSTROUTING -d 192.168.1.160/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 192.168.1.7   //POSTROUTING規則都放在下麵
-A POSTROUTING -d 192.168.1.161/32 -p tcp -m tcp --sport 3306 -j SNAT --to-source 192.168.1.7
.....
*filter
:INPUT ACCEPT [16:7159]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [715:147195]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8088 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 33066 -j ACCEPT
.....
[root@bastion-IDC ~]# service iptables restart

[root@bastion-IDC ~]# iptables -L             //列出設置的規則,預設列出的是filter表下的規則
[root@bastion-IDC ~]# iptables -L -t nat      //如果列出nat表下規則,就加-t參數

 

--------------------------------------------------------------------------------------------------------------------------

刪除INPUT鏈的第一條規則

iptables -D INPUT 1

 

拒絕進入防火牆的所有ICMP協議數據包

iptables -I INPUT -p icmp -j REJECT

 

允許防火牆轉發除ICMP協議以外的所有數據包

iptables -A FORWARD -p ! icmp -j ACCEPT
說明:使用“!”可以將條件取反

 

拒絕轉發來自192.168.1.10主機的數據,允許轉發來自192.168.0.0/24網段的數據

iptables -A FORWARD -s 192.168.1.11 -j REJECT 
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
說明:註意一定要把拒絕的放在前面不然就不起作用了!

 

丟棄從外網介面(eth1)進入防火牆本機的源地址為私網地址的數據包

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP 
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP 
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

 

封堵網段(192.168.1.0/24),兩小時後解封

# iptables -I INPUT -s 10.20.30.0/24 -j DROP 
# iptables -I FORWARD -s 10.20.30.0/24 -j DROP 
# at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1
說明:這個策略可以藉助crond計劃任務來完成,就再好不過了

 

只允許管理員從202.13.0.0/16網段使用SSH遠程登錄防火牆主機

iptables -A INPUT -s 202.13.0.0/16 -p tcp -m tcp -m state --state NEW --dport 22  -j ACCEPT 
說明:這個用法比較適合對設備進行遠程管理時使用,比如位於分公司中的SQL伺服器需要被總公司的管理員管理時

 

通常在伺服器上會對某一服務埠的訪問做白名單限制,比如(其他埠設置和下麵一致):
運行本機的3306埠(mysql服務)被訪問

iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 3306 -j ACCEPT 
或者只運行本機的3306埠被192.168.1.0/24網段機器訪問
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp -m state --state NEW --dport 3306 -j ACCEPT

 

允許本機開放從TCP埠20-1024提供的應用服務

iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 20:1024 -j ACCEPT

 

允許轉發來自192.168.0.0/24區域網段的DNS解析請求數據包

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT 
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

 

屏蔽指定的IP地址
以下規則將屏蔽BLOCK_THIS_IP所指定的IP地址訪問本地主機:

BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP
(或者僅屏蔽來自該IP的TCP數據包)
iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP

 

屏蔽環回(loopback)訪問

iptables -A INPUT -i lo -j DROP
iptables -A OUTPUT -o lo -j DROP

 

屏蔽來自外部的ping,即禁止外部機器ping本機

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP

 

屏蔽從本機ping外部主機,禁止本機ping外部機器

iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

 

禁止其他主機ping本機,但是允許本機ping其他主機(禁止別人ping本機,也可以使用echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all)

iptables -I INPUT -p icmp --icmp-type echo-request -j DROP 
iptables -I INPUT -p icmp --icmp-type echo-reply -j ACCEPT 
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

 

禁止轉發來自MAC地址為00:0C:29:27:55:3F的和主機的數據包

iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
說明:iptables中使用“-m 模塊關鍵字”的形式調用顯示匹配。咱們這裡用“-m mac –mac-source”來表示數據包的源MAC地址

 

允許防火牆本機對外開放TCP埠20、21、25、110以及被動模式FTP埠1250-1280

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
註意:這裡用“-m multiport --dport”來指定多個目的埠
iptables -A INPUT -p tcp -m tcp -m multiport --dports 22,80,443,1250-1280 -m state --state NEW -j ACCEPT
也可以將這幾個埠分開設置多行:
iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 1250:1280 -j ACCEPT

 

禁止轉發源IP地址為192.168.1.20-192.168.1.99的TCP數據包

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
說明:
此處用“-m iprange --src-range”指定IP範圍
1)過濾源地址範圍:
iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP
2)過濾目標地址範圍:
iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP
3)針對埠訪問的過濾。下麵表示除了192.168.1.5-192.168.1.10之間的ip能訪問192.168.1.67機器的80埠以外,其他ip都不可以訪問!
iptables -A INPUT -d 192.168.1.67 -p tcp --dport 80 -m iprange --src-range 192.168.1.5-192.168.1.10 -j ACCEPT

 

禁止轉發與正常TCP連接無關的非--syn請求數據包

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
說明:“-m state”表示數據包的連接狀態,“NEW”表示與任何連接無關的

 

拒絕訪問防火牆的新數據包,但允許響應連接或與已有連接相關的數據包

iptables -A INPUT -p tcp -m state --state NEW -j DROP 
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
說明:“ESTABLISHED”表示已經響應請求或者已經建立連接的數據包,“RELATED”表示與已建立的連接有相關性的,比如FTP數據連接等

 

防止DoS攻擊

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
-m limit: 啟用limit擴展,限制速度。
--limit 25/minute: 允許最多每分鐘25個連接
--limit-burst 100: 當達到100個連接後,才啟用上述25/minute限制

--icmp-type 8 表示 Echo request——回顯請求(Ping請求)。下麵表示本機ping主機192.168.1.109時候的限速設置:
iptables -I INPUT -d 192.168.1.109 -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 5 -j ACCEPT

 

允許路由
如果本地主機有兩塊網卡,一塊連接內網(eth0),一塊連接外網(eth1),那麼可以使用下麵的規則將eth0的數據路由到eht1:

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

 

IPtables中可以靈活的做各種網路地址轉換(NAT)
網路地址轉換主要有兩種:SNAT和DNAT
1)SNAT是source network address translation的縮寫,即源地址目標轉換。
比如,多個PC機使用ADSL路由器共用上網,每個PC機都配置了內網IP。PC機訪問外部網路的時候,路由器將數據包的報頭中的源地址替換成路由器的ip,當外部網路的伺服器比如網站web伺服器接到訪問請求的時候,它的日誌記錄下來的是路由器的ip地址,而不是pc機的內網ip,這是因為,這個伺服器收到的數據包的報頭裡邊的“源地址”,已經被替換了。所以叫做SNAT,基於源地址的地址轉換

2)DNAT是destination network address translation的縮寫,即目標網路地址轉換。
典型的應用是,有個web伺服器放在內網中,配置了內網ip,前端有個防火牆配置公網ip,互聯網上的訪問者使用公網ip來訪問這個網站。
當訪問的時候,客戶端發出一個數據包,這個數據包的報頭裡邊,目標地址寫的是防火牆的公網ip,防火牆會把這個數據包的報頭改寫一次,將目標地址改寫成web伺服器的內網ip,然後再把這個數據包發送到內網的web伺服器上。這樣,數據包就穿透了防火牆,並從公網ip變成了一個對內網地址的訪問了。即DNAT,基於目標的網路地址轉換

以下規則將會把本機192.168.1.17來自422埠的流量轉發到22埠,這意味著來自422埠的SSH連接請求與來自22埠的請求等效。

1)啟用DNAT轉發
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.17 --dport 422 -j DNAT --to-destination 192.168.1.17:22
2)允許連接到422埠的請求
iptables -t filter -A INPUT -p tcp -m tcp -m state --state NEW --dport 422 -j ACCEPT
3)保存規則
# service iptables save
# service iptables restart

 

假設現在本機外網網關是58.68.250.1,那麼把HTTP請求轉發到內部的一臺伺服器192.168.1.20的8888埠上,規則如下:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 58.68.250.1 --dport 8888 -j DNAT --to 192.168.1.20:80
iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.2 --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
service iptables save
service iptables restart

 

或者或本機內網ip是192.168.1.10,那麼把HTTP請求轉發到內部的一臺伺服器192.168.1.20的8888埠上,規則如下:
準備工作:本機打開ip_forword路由轉發功能;192.168.1.20的內網網關要和本機網關保持一致!如果沒有內網網關,就將網關地址設置成本機內網ip,並且關閉防火牆(防火牆要是打開了,就設置對應埠允許本機訪問)

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 20022 -j DNAT --to-destination 192.168.1.150:22
iptables -t nat -A POSTROUTING -d 192.168.1.150/32 -p tcp -m tcp --sport 22 -j SNAT --to-source 192.168.1.8
iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 20022 -j ACCEPT
service iptables save
service iptables restart

 

MASQUERADE,地址偽裝,在iptables中有著和SNAT相近的效果,但也有一些區別:

1)使用SNAT的時候,出口ip的地址範圍可以是一個,也可以是多個,例如:
     1)如下命令表示把所有10.8.0.0網段的數據包SNAT成192.168.5.3的ip然後發出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3
     2)如下命令表示把所有10.8.0.0網段的數據包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等幾個ip然後發出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3-192.168.5.5
這就是SNAT的使用方法,即可以NAT成一個地址,也可以NAT成多個地址。但是,對於SNAT,不管是幾個地址,必須明確的指定要SNAT的ip!

 

假如當前系統用的是ADSL動態撥號方式,那麼每次撥號,出口ip192.168.5.3都會改變,而且改變的幅度很大,不一定是192.168.5.3到192.168.5.5範圍內的地址。
這個時候如果按照現在的方式來配置iptables就會出現問題了,因為每次撥號後,伺服器地址都會變化,而iptables規則內的ip是不會隨著自動變化的,每次地址變化後都必須手工修改一次iptables,把規則裡邊的固定ip改成新的ip,這樣是非常不好用的!

2)MASQUERADE就是針對上述場景而設計的,它的作用是,從伺服器的網卡上,自動獲取當前ip地址來做NAT。
比如下邊的命令:

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

 

如此配置的話,不用指定SNAT的目標ip了。
不管現在eth0的出口獲得了怎樣的動態ip,MASQUERADE會自動讀取eth0現在的ip地址然後做SNAT出去
這樣就實現了很好的動態SNAT地址轉換

再看看幾個運維實例設置:
1)限制本機的web伺服器在周一不允許訪問;
     新請求的速率不能超過100個每秒;
     web伺服器包含了admin字元串的頁面不允許訪問:
     web 伺服器僅允許響應報文離開本機;
設置如下:
周一不允許訪問

iptables -A INPUT -p tcp --dport 80 -m time ! --weekdays Mon -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT

 

新請求速率不能超過100個每秒

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/s -j ACCEPT

 

web包含admin字元串的頁面不允許訪問,源埠:dport

iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'admin' -j REJECT

 

web伺服器僅允許響應報文離開主機,放行埠(目標埠):sport

iptables -A OUTPUT -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT

 

2)在工作時間,即周一到周五的8:30-18:00,開放本機的ftp服務給 192.168.1.0網路中的主機訪問;
    數據下載請求的次數每分鐘不得超過 5 個;
設置如下:

iptables -A INPUT -p tcp --dport 21 -s 192.168.1.0/24 -m time ! --weekdays 6,7 -m time --timestart 8:30 --timestop 18:00 -m connlimit --connlimit-above 5 -j ACCET

 

3)開放本機的ssh服務給192.168.1.1-192.168.1.100 中的主機;
     新請求建立的速率一分鐘不得超過2個;
    僅允許響應報文通過其服務埠離開本機;
設置如下:

iptables -A INPUT -p tcp --dport 22 -m iprange --src-rang 192.168.1.1-192.168.1.100 -m limit --limit 2/m -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m iprange --dst-rang 192.168.1.1-192.168.1.100 -m state --state ESTABLISHED -j ACCEPT

 

4)拒絕 TCP 標誌位全部為 1 及全部為 0 的報文訪問本機;

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

 

5)允許本機 ping 別的主機;但不開放別的主機 ping 本機;

iptables -I INPUT -p icmp --icmp-type echo-request -j DROP 
iptables -I INPUT -p icmp --icmp-type echo-reply -j ACCEPT 
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
或者下麵禁ping操作:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

 

以上就iptables的常用用法


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 在本文中,我將講解如何通過自定義 ,以便在中間件管道中發生錯誤時創建自定義響應,而不是提供一個“重新執行”管道的路徑。 作者:依樂祝 譯文:https://www.cnblogs.com/yilezhu/p/12497937.html 原文:https://andrewlock.net/creati ...
  • 我們先看一下執行流程圖圖中畫紅圈的部分便是HttpModule,在說創建HttpModule之前,先說一下HttpApplication對象,HttpApplication對象由Asp.net框架創建,每個請求對應一個HttpApplcation實例對象,Asp.Net框架內部維護了一個HttpAp... ...
  • 因為對C#不是特別熟悉,但是最近寫個c#的demo,需要對獲取的的json字元串進行解析,開始使用Newtonsoft.Json.Linq嘗試了以下,但是感覺操作起來比較麻煩,尤其對與JSON結構比較深的情況。可能是習慣了其它語言的方式,很想能找到類似的方法。 最終瞭解到System.Web.Scr ...
  • 應用程式使用統計信息 .NET CORE(C ) WPF界面設計 首發文章地址:https://dotnet9.com/10546.html 關鍵功能點 1. 抽屜式菜單 2. 圓形進度條 Demo演示: 1. 新建項目 使用 VS 2019 的 .NET Core 3.1 WPF 項目模板,創建名 ...
  • 在Abp中配置雖然使用方便,但是每個配置要先定義key,要去provider中定義,再最後使用key從ISetting中獲取還是挺麻煩的一件事, 最主要是獲取修改的時候,比如,修改用戶配置,是從獲取一批key/value來返回前端,並從前端提交修改保存就比較麻煩了。 很早之前做過一些嘗試,如下: h ...
  • 在使用eclipse時,有時需要從現有的文件夾開始工作 這時需要首先在eclipse中創建一個新的java project,然後file->import->file system,選中該文件的母文件夾即可導入 但是此時,可能會出現“ the declared package does not mat ...
  • 本文主要介紹Linux的shell腳本,在實踐中總結出大致的部署升級腳本化模板。 ...
  • 報錯是:command not found 解決方法: 先下載一下rarlinux的包,但是儘量下載64位的,因為現在的伺服器基本都是64位的,如果你不小心下錯了版本就會很麻煩以下的代碼可以讓客服幫你運行,因為需要管理員許可權: 首先先下載: wegt https://www.rarlab.com/r ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...