Linux安全篇-iptables-白红宇

Linux安全篇-iptables

阅读量：5320 次

发布时间：2019-06-14

本文共 52221 字，大约阅读时间需要 174 分钟。

iptables工作在网络层

数据走向图：

iptables语句语法：

表名命令匹配目标

iptables -t t_name -A INPUT -p tcp/udp -j

icmp DROP

-I -s IP/NET ACCEPT

-L -d IP/NET REJECT

-D --sport N1:N2 REDIRECT

-F --dport 25 MASQUERADE

-P 25: LOG

25:28

-i 进入的接口

-o 出去的接口

-A 向下添加规则 INPUT -d 目标IP

filter 进入

－I 向上添加规则 OUTPUT -s源IP

发出 --sport源端口

－L显示规则与－n连用不用解析 FORWARD －p协议｛

iptables -t nat 转发 -i源接口 --dport目标端口

－F将规则全部清空 PREROUTING

路由前转化 -o目的接口

－D删除一条规则 POSTROUTING

路由后转化

－P 默认规则修改

mangle

－R 替换规则

－N 自定义规则

－S 删除自定义链

－Z 清空计算器

检查表的顺序：m－－－－>n------------>f

目标：设置iptables，提高安全性

service iptables save

内核的netfilter/iptables

进入出去

------->进行路由判断----->FORWARD------------------>

| |

INPUT OUTPUT

| |

|＿____本地程序___|

INPUT

filter {FORWARD 作FW功能，保护本机或者隔离两个网络

OUTPUT

eg: A 192.168.0.253

拒绝192.168.0.0/24访问A的22端口

iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j DROP

iptables -t filter -L INPUT

command match target

iptables -t table_name -A CHAIN_NAME -s ip/net DROP

-P INPUT -d ip/net ACCEPT

-F OUTPUT -p tcp/udp/icmp

-L FORWARD --sport 22 / 22:

-D PREROUTING --dport 22:100

-I POSTROUTING -i eth0

-o eth0

DROP/ACCEPT/REJECT/LOG/MASQUERADE/REDIRECT/SNAT/DNAT

｜｜｜｜｜｜｜｜

丢弃 /接受 / 丢弃＋恢复/r日志/伪装 /端口重定向 /源NAT/目标NAT

先来看防火墙功能－－－ filter表

INPUT 对目标地址是本机的数据包的检查点

OUTPUT 对由本地像外发的数据包的检查点

FORWARD 对经过本机转发到其它的网络的检查点(要求本机做为路由器功能打开ip_forward选项)

1 、现在有一台服务器，仅提供如下服务

各服务器端口号:

ICMP

TELNET --tcp/udp23

SSH －－tcp 22

DNS ---- udp/tcp 53

SAMBA ---- 137/138/139/445

NFS ---- 2049 ???

FTP ---- 21 20? 分主被动模式

SMTP---tcp/udp25 邮件的发

POP3---tcp/udp 110 邮件的收

DNS---tcp/udp53

DHCP---tcp/udp67.68

HTTP---tcp/udp80

HTTPS---tcp/udp 443

ORACLE--1521

WEBLOGIC--7777

MYSQL－－tcp/udp 3306

RPC--tcp/udp111

SQUID---3128

表：

1.filter：用于过滤的时候

2.nat：用于做地址转换 NAT：Network Address Translator

3.mangle: 给数据包打标记

链：

1.INPUT：位于 filter 表，匹配目的 IP 是本机的数据包

2.FORWARD：位于 filter 表，匹配穿过本机的数据包

3.OUTPUT: 位于 filter 表，匹配来源IP 是本机的数据包

4.PREROUTING：位于 nat 表，用于修改目的地址（DNAT）

5.POSTROUTING：位于 nat 表，用于修改源地址（SNAT）

语法：

iptables [-t 要操作的表] <操作命令> [要操作的链] [规则号码] [匹配条件] [-j 匹配到以后的动作]

iptables 中的指令，均需区分大小写。

在 iptables 中，要指定规则是欲作用在那一个规则表上(使用 -t 来指定，如 -t nat)，若不指定，则预设是作用在 filter 这个表。

1.iptables -A APPEND，追加一条规则

例：iptables -t filter -A INPUT -j DROP 在 filter 表的 INPUT 链里追加一条规则（作为最后一条规则）

匹配所有访问本机 IP 的数据包，匹配到的丢弃

2.iptables -I <链名> [规则号码] INSERT，插入一条规则

例： iptables -I INPUT -j DROP 在 filter 表的 INPUT 链里插入一条规则（插入成第 1 条）

iptables -I INPUT 3 -j DROP 在 filter 表的 INPUT 链里插入一条规则（插入成第 3 条）

注意： 1、-t filter 可不写，不写则自动默认是 filter 表

2、-I 链名 [规则号码]，如果不写规则号码，则默认是 1

3、确保规则号码 ≤ （已有规则数 + 1），否则报错

3.iptables -D <链名> <规则号码 | 具体规则内容> DELETE，删除一条规则

例：iptables -D INPUT 3（按号码匹配）删除 filter 表 INPUT 链中的第三条规则（不管它的内容是什么）

iptables -D INPUT -s 192.168.0.1 -j DROP（按内容匹配）删除 filter 表 INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则

注意：

1、若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条

2、按号码匹配删除时，确保规则号码 ≤ 已有规则数，否则报错

3、按内容匹配删除时，确保规则存在，否则报错

4.iptables -R <链名> <规则号码> <具体规则内容> REPLACE，替换一条规则

例：iptables -R INPUT 3 -j ACCEPT 将原来编号为 3 的规则内容替换为“-j ACCEPT”

5.iptables -P <链名> <动作> POLICY，设置某个链的默认规则

例：iptables -P INPUT DROP 设置 filter 表 INPUT 链的默认规则是 DROP

注意：当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理。

动作前面不能加 –j，这也是唯一一种匹配动作前面不加 –j 的情况

6.iptables -F [链名] FLUSH，清除规则

例：iptables -F INPUT 清空 filter 表 INPUT 链中的所有规则

iptables -t nat -F PREROUTING 清空 nat 表 PREROUTING 链中的所有规则

注意：

1、-F 仅仅是清空链中规则，并不影响 -P 设置的默认规则

2、-P 设置了 DROP 后，使用 -F 一定要小心！！！

3、如果不写链名，默认清空某表里所有链里的所有规则

7.iptables -L [链名] LIST，列出规则 --line-number 列出规则号

v：显示详细信息，包括每条规则的匹配包数量和匹配字节数

x：在 v 的基础上，禁止自动单位换算（K、M）

n：只显示 IP 地址和端口号码，不显示域名和服务名称

例：iptables -L 粗略列出 filter 表所有链及所有规则

iptables -t nat -vnL 用详细方式列出 nat 表所有链的所有规则，只显示 IP 地址和端口号

iptables -t nat -vxnL PREROUTING 用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字，不反解

8.iptables -X 清除预设表 filter 中，使用者自订链中的规则

9.流入、流出接口（-i、-o）

iptables -A INPUT -i lo -j ACCEPT 匹配是否从网络接口 lo进来，本地接受

-o eth0 匹配数据流出的网络接口

10.来源、目的地址（-s、-d）

例：

-s 192.168.0.1 匹配来自 192.168.0.1 的数据包

-s 192.168.1.0/24 匹配来自 192.168.1.0/24 网络的数据包

-s 192.168.0.0/16 匹配来自 192.168.0.0/16 网络的数据包

-d 202.106.0.20 匹配去往 202.106.0.20 的数据包

-d 202.106.0.0/16 匹配去往 202.106.0.0/16 网络的数据包

-d www.abc.com 匹配去往域名 www.abc.com 的数据包

11.协议类型（-p）可以是 TCP、UDP、ICMP 等，也可为空

例：-p tcp -p udp -p icmp --icmp-type 类型(request-请求,reply－回应)

iptables -A INPUT -s 192.168.1.3 -p icmp --icmp-type echo-reply -j ACCEPT 表示来源地址1.3ping不通目的地址，但目的地址能ping通1.3

12.来源、目的端口（--sport、--dport）

--sport <匹配源端口> 可以是个别端口，可以是端口范围

例：

--sport 1000 匹配源端口是 1000 的数据包

--sport 1000:3000 匹配源端口是 1000-3000 的数据包（含1000、3000）

--sport :3000 匹配源端口是 3000 以下的数据包（含 3000）

--sport 1000: 匹配源端口是 1000 以上的数据包（含 1000）

--dport <匹配目的端口> 可以是个别端口，可以是端口范围

例：

--dport 80 匹配目的端口是 80 的数据包

--dport 6000:8000 匹配目的端口是 6000-8000 的数据包（含6000、8000）

--dport :3000 匹配目的端口是 3000 以下的数据包（含 3000）

--dport 1000: 匹配目的端口是 1000 以上的数据包（含 1000）

注意：--sport 和 --dport 必须配合 -p 参数使用

匹配应用举例

1、端口匹配 -p udp --dport 53 匹配网络中目的端口是 53 的 UDP 协议数据包

2、地址匹配 -s 10.1.0.0/24 -d 172.17.0.0/16 匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包

3、端口和地址联合匹配 -s 192.168.0.1 -d www.abc.com -p tcp --dport 80

匹配来自 192.168.0.1，去往 www.abc.com 的 80 端口的 TCP 协议数据包

注意：

1、--sport、--dport 必须联合 -p 使用，必须指明协议类型是什么

2、条件写的越多，匹配越细致，匹配范围越小

13.-j ACCEPT通过，允许数据包通过本链而不拦截它

例：iptables -A INPUT -j ACCEPT 允许所有访问本机 IP 的数据包通过

14.-j DROP 丢弃，阻止数据包通过本链而丢弃它

]# iptables -P INPUT DROP

]# ping 127.0.0.1

]# iptables -t filter -A INPUT -i lo -j ACCEPT

]# iptables -t filter -A INPUT -p icmp -s 192.168.0.0/24 -j ACCEPT

]# iptables -t filter -A INPUT -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT

允许本机访问192。168。0。0／24的主机22端口，回来的数据包

]# iptables -t filter -A INPUT -p tcp --sport 22 -s 192.168.0.0/24 -i eth0 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT

[root@localhost /]#

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 110 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -p udp --dport 137:138 -s 192.168.0.0/24 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 139 -j ACCEPT

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 445 -j ACCEPT

[root@localhost /]#

总结以上重点：

1、默认策略为DROP，会更加安全

itpables -t filter -P INPUT DROP

此时，最好iptables -t filter -A INPUT -i lo -j ACCEPT

千万不要iptables -t filter -F INPUT (并不会还原默认策略)

2、基本的iptables语句语法得会，并且能够了解内核是如何对数据包进行检查的。

一些常见的服务，基本IP／NET／PORT来做访问控制，应该没有任何问题！！！！

3、一定要会分析数据包的走向。SIP DIP SPORT DPORT

这样，写规则才能正确并且精确！！！

4、记得保存规则，以避免重启服务规则还原

[root@localhost /]# iptables -L --line-numbers

[root@localhost /]# iptables -L INPUT -nv --line-numbers

[root@localhost /]# /etc/init.d/iptables save

将当前规则保存到 /etc/sysconfig/iptables： [确定]

[root@localhost /]#

NFS如何配置允许192.168.0.0/24?(INPUT的默认策略为DROP的情况下)

NFS使用了哪些端口？

rpcinfo -p

确定111,2049是必用，并且固定的，但是还有一些端口不固定，因而需要配置nfs，定义端口！！！

]# vim /etc/sysconfig/nfs

[root@localhost /]# grep 500 /etc/sysconfig/nfs

RQUOTAD_PORT=5001

LOCKD_TCPPORT=5002

LOCKD_UDPPORT=5002

MOUNTD_PORT=5005

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 5005 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p udp --dport 5005 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 5001 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p udp --dport 5001 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 5002 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p udp --dport 5002 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 2049 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p udp --dport 2049 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 111 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p udp --dport 111 -j ACCEPT

FTP如何配置允许192.168.0.0/24?(INPUT的默认策略为DROP的情况下)

FTP的工作模式有2种

主动模式（port）

被动模式（passive）

加载模块，识别FTP的数据连接为相应状态

[root@localhost /]# modprobe ip_nat_ftp

允许FTP的连接

[root@localhost /]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT

允许FTP的数据传输，通过状态来匹配，匹配为ESTABLISHED和RELATED状态

[root@localhost /]# iptables -t filter -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

对应ICMP的不可达消息也是RELATED状态

[root@www ~]# iptables -t filter -A INPUT -p icmp -m state --state RELATED -j DROP

ICMP如何配置为只允许192.168.0.253ping通192.168.0.0/24，反之则不允许(INPUT的默认策略为DROP的情况下)

[root@localhost /]# iptables -t filter -A INPUT -p icmp -m state --state ESTABLISHED -s 192.168.0.0/24 -j ACCEPT

－－－－－－－－－－高级匹配和高级扩展以及应用－－－－－

icmp 无端口网络层

tcp22

回环接口就是自己和自己的通信 lo是虚假想象出来的

udp？

－n 不显示详细信息－v 显示详细信息

iptables -L-nv

rpcinfo -p 显示NFS的端口 111 2049必用

tcp/ip 协议卷一卷2 卷3

UDP

用端口不方便要用状态

源端口是大于1024的随即端口

1 192.168.1.0/24不可以访问192.168.2.253的22端口23端口53端口

分析来源和目标：

snet:192.168.1.0/24 dip:192.168.1.253

sport: >1024 dport:23,22,53

在1.253上的INPUT链写规则：

[root@ netfilter]# iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.253 --dport 22:23 -j DROP

[root@ netfilter]# iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 -d 192.168.1.253 --dport 22:23 -j DROP

[root@ netfilter]# iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.253 --dport 53 -j DROP

[root@ netfilter]# iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 -d 192.168.1.253 --dport 53 -j DROP

[root@ netfilter]# iptables -t filter -L INPUT -n

[root@ netfilter]# iptables -t filter -L INPUT -n --line-number

[root@ netfilter]# iptables -t filter -D INPUT 3

[root@ netfilter]# iptables -t filter -L INPUT -n --line-number -v

Chain INPUT (policy ACCEPT 184M packets, 14G bytes)

num pkts bytes target prot opt in out source destination

1 24 2432 DROP tcp -- * * 192.168.1.0/24 192.168.1.253 tcp dpts:22:23

2 0 0 DROP udp -- * * 192.168.1.0/24 192.168.1.253 udp dpts:22:23

[root@ netfilter]# iptables -t filter -P INPUT DROP

[root@ netfilter]# iptables -t filter -A INPUT -i lo -j ACCEPT

[root@ netfilter]# ping localhostPING localhost.localdomain (127.0.0.1) 56(84) bytes of data.

64 bytes from localhost.localdomain (127.0.0.1): icmp_seq=1 ttl=64 time=0.136 ms

－－－－－－－－－－－－－－

作业：

A －－－－－－ B

A、B都启动22端口

A、B的默认策略都设置为DROP掉

A 可以ssh到B

B 不可以ssh到A｀

－－－－－－－－－－－－－

sysctl -a

net.ipv4.netfilter.ip_conntrack_max = 65536

vim /etc/grub.conf

kernel /boot/vmlinuz-2.6.18-238.el5 ro root=LABEL=/1 ip_conntrack.hashsize=524288

------- iptables ++++++++扩展匹配++++++++++

这就需要用到 netfilter 的功能扩展模块，所有的扩展模块都存放在 /lib/modules/2.6.X/kernel/net/ipv4/netfilter/ 下。

可以自行编译额外的 netfilter 功能模块到这里，在使用新加入的模块之前，需要先加载模块：insmod 模块（可以填绝对路径），

也可以使用 iptables 的 --modprobe= 参数来指定。

!! 内核模块都是根据特定的内核环境编译出来的，所以不同的内核编译出来的内核模块一般是不通用的。

!! netfilter 的动态衔接库文件位于 /lib/iptables/ 下

使用方法：

需要先使用 -m 选项来指定要使用的扩展匹配功能（模块），之后再指明参数

!! TCP 连接，三次握手（建立链接），四次挥手（断开链接）

?? 模块与动态衔接库的区别

modinfo ip_nat_ftp.ko 查看模块的详细信息

大写的就是拓展目标，小写扩展匹配

1. -m connlimit 匹配并发连接数（一个用户打开多线程操作）用于限制每个IP并发的TCP最大连接数

[!] --connlimit-above n 匹配并发连接数大于 n 个

iptables -m connlimit -h 查看用法

例：只允许不超过三个用户连接到本机的21端口（ftp服务），如果超过了 3 个，则 REJECT 每个访问23端口的并发连接数

iptables -t filter -A INPUT -p tcp --dport 21 -m connlimit --connlimit-above 3 -j REJECT

iptables -t filter -A INPUT -p tcp --syn--dport 23 -m connlimit --connlimit-above 3 -j REJECT

或者

iptables -t filter -A INPUT -p tcp --syn--dport 23 -m connlimit ！--connlimit-above 3 ACCEPT

限制子网掩码不常用

iptables -t filter -A INPUT -p tcp --syn--dport 23 -m connlimit --connlimit-above 3 --connlimit-mask 24 --j REJECT

每IP访问23端口的并发连接数上限超过2个就REJECT

[root@www netfilter]# iptables -t filter -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

[root@www netfilter]# iptables -t filter -A INPUT -p tcp --syn --dport 23 -m connlimit -h

[root@www netfilter]# iptables -m connlimit -h

每IP访问80端口的并发连接数上限超过3个就REJECT

[root@ ~]# iptables -t filter -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 3 -j DROP

[root@ ~]# iptables -t filter -A INPUT -p tcp --dport 80 -m connlimit ! --connlimit-above 3 -j ACCEPT

[root@ ~]# iptables -L INPUT -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 #conn/32 > 3

# limit the nr of parallel http requests to 16 per class C sized

# network (24 bit netmask)

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT

2. -m icmp 匹配 ICMP

--icmp-type [!] typename

可以使用 iptables -p icmp -h 来查看 typename，这些 typename 都对应着协议的编号，其中两个重要的是， 0 表示 echo-reply （icmp 回复），

8 表示 echo-request （icmp 请求）

注意：使用时，需要先指明网络协议为 icmp

两种基本的ICMP类型：

echo-request

echo-reply

ping (icmp) 工作流程图 A ping B B pingA数据包的走向图

A -- icmp (echo-request) --> B

A <-- icmp (echo-reply) -- B

A <－－icmp (echo-request)－B

A----icmp (echo-reply)------>B

可以直接拒绝 icmp 协议，但这样不论 ping 别人还是别人 ping 本机，都是不可以的（被DROP了）。

iptables -t filter -A INPUT -p icmp -j DROP

例：为了达到别人不能 ping 本机，而本机可以 ping 别人的目的，可以按顺序加入下规则

iptables -t filter -A INPUT -p icmp -s 192.168.0.0/24 -m icmp --icmp-type echo-reply -j ACCEPT

iptables -t filter -A INPUT -p icmp -j DROP

注意：可以直接以 0 代替 echo-reply ，8 代替 echo-request

[root@ ~]# iptables -I INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT

[root@ ~]# iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

[root@ ~]# iptables -I INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT

3. -m iprange 匹配 IP 的范围

[!]--src-range ip1-ipn源范围

[!]--dst-range ip1-ipn目标范围

例：不允许 192.168.0.1 到 192.168.0.100 的主机 ping 本机

iptables -t filter -A INPUT -p icmp -m iprange --src-range 192.168.0.1-192.168.0.100 -j DROP

]# iptables -P INPUT ACCEPT

]# iptables -F

]# iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m iprange --src-range 192.168.0.1-192.168.0.100 -j DROP

允许192.168.1.1-192.168.1.100主机上网

]# iptables -t filter -A FORWARD -m iprange --src-range 192.168.1.1-192.168.1.100 -j ACCEPT

]# iptables -t filter -A FORWARD -m iprange --src-range 192.168.1.101-192.168.1.252 -j DROP

范围的匹配，指某一段的ip

iptables -A INTPUT -m iprange --src-range 192.168.0.1-192.168.0.100 -j ACCEPT 一段地址进行访问允许

4. -m length 匹配IP数据包的大小分片分段按长度

注意：这里是数据包的大小，包括了IP包头信息和包内数据信息

num1:num2 包的大小为 num1 到 num2 之间

num1: 包的大小为 num1 以上，包括 num1

:num2 包的大小为 num2 以下，包括 num2

关于 ping 的包中的数据大小和包头大小

[root@station24 ~]# ping 192.168.0.253

PING 192.168.0.253 (192.168.0.253) 56(84) bytes of data.

64 bytes from 192.168.0.253: icmp_seq=1 ttl=64 time=0.566 ms

64 bytes from 192.168.0.253: icmp_seq=2 ttl=64 time=0.167 ms

64回的包的大小

注意，回执信息第一行中的 56(84) ，这表示回执的包大小是84个字节，其中54个字节是数据部分，剩下的28字节是 header 信息，其中20个字节是IP的 header 源ip目标IP，

剩下的8个是ICMP的 header。

使用 ping 的 -s 选项来指定发送的 icmp 包中的数据的大小

ping -s sum IP ping -s 100 192.168.0.253

这里用 -s sum 选项来指定发送的包中的数据的大小为 sum ，因此包的大小会是 sum + 28 bytes

例：只接受数据包大小在 200 bytes 以内的 icmp 数据包（ping ）

iptables -t filter -A INPUT -p icmp -m length --length :200 -j ACCEPT

]# iptables -t filter -A INPUT -p icmp -m length --length 100:200 -j ACCEPT

]# iptables -t filter -A INPUT -p icmp -j DROP

]# iptables -t filter -I INPUT -s 192.168.1.0/24 -p icmp -m length --length 80:100 -j DROP

这里列出所有的 header 大小信息：

TCP header 20 bytes

UDP header 8 bytes

IP header 20 bytes

icmp header 8 bytes

因为 MTU 为 1500 bytes（假设这里的路径MTU为 1500），那么发送一个 6000 bytes 的包就必须分片，这里要分为 4 片，分别是

packet_01 40 + 1460 = 1500 bytes

packet_02 40 + 1460 = 1500 bytes

packet_03 40 + 1460 = 1500 bytes

packet_04 40 + 620 = 1500 bytes

这里使用的是 TCP 协议，所以 TCP header + IP header = 40 bytes

5. -m limit 匹配每段时间内接受包的个数限制速度

使用令牌桶过滤算法，就是说，每段时间内允许传输一定数量的包，超过则阻止，如果传输的包较少，则把多余的允许值放入令牌桶，那么如果另一段时间，请求超过规定的数目后，

就会从令牌桶中抽出以前保存的允许值，交给这些多出的请求。

--limit rate rate的形式可以是 num/minute，表示每分钟只接受num个包，也可设定时间段为 second 、hour 、day，默认是 3/hour，这里一个包的最大大小受MTU大小所限制。

--limit-burst number 爆发流量，设定令牌桶中初始的允许包的数目为 number，默认是 5。

例：每分钟只接受10个icmp包，超过的（即使说不匹配这条规则的）则按默认规则来处理。

iptables -t filter -A INPUT -p icmp -m -icmp --icmp-type echo-request -m limit --limit 10/minute -j ACCEPT

这里通过限制本机服务的回包数，即在 OUTPUT 上限制包流量，来限制对方的对本服务的访问速度

]# iptables -F OUTPUT

]# iptables -t filter -A OUTPUT -p tcp --sport 80 -m limit --limit 20/second -j ACCEPT

]# iptables -t filter -A OUTPUT -p tcp --sport 80 -j DROP

----------

]# iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 10/minute --limit-burst 10 -j ACCEPT

]# iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP

例：设定客户端访问http服务的带宽为30KB

iptables -t filter -A OUTPUT -d 192.168.0.0/24 -p tcp --sport 80 -m limit --limit 20/minute -j ACCEPT

iptables -t filter -A OUTPUT -d 192.168.0.0/24 -p tcp --sport 80 -j DROP # 如果不匹配上面的那一条，则这一条就是 httpd 的默认规则

]# watch iptables -L INPUT -nv

]# iptables -t filter -A INPUT -s 192.168.1.0/24 -p icmp -m icmp --icmp-type echo-request -m limit --limit 10/minute --limit-burst 10 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.1.0/24 -p icmp -m icmp --icmp-type echo-request -j DROP

----------wget 下载速率30k/s--------

]# iptables -t filter -A OUTPUT -p tcp --sport 80 -m limit --limit 20/second -j ACCEPT

]# iptables -t filter -A OUTPUT -p tcp --sport 80 -j DROP

可以限制数据包有多少通过

两个一起写：

1.iptables -A INPUT -m limit --limit 10/m -p icmp -j ACCEPT 10指每分钟10个包

2.iptables -A INPUT -p icmp -j DROP 不符合的丢弃

下载速度：

iptables -A INPUT -m limit --limit 20/s -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP 不符合上条规则的丢弃

测试：dd if=/dev/zero of=file 在/var/www/html/下写文件

启动APACHE

wget 192.168.0.28/file

也可这么写：

iptables -A OUTPUT -d 192.168.0.28 -p tcp --sport 80 -m limit --limit 20/s -j ACCEPT

iptables -A OUTPUT -d 192.168.0.28 -p tcp --sport 80 -j DROP

!! lo 接口的 MTU（16436），因为是本地回环，所以要远远大于其他物理网卡接口的 MTU 大小（1500bytes），所以使用 iptables 的 -m limit 限制流量时，若本机访问自己的服务，

则情况会有所不同

!! 使用 ethtool 来调整网卡的参数，比如修改网卡支持的贷款（10M 或 100M 或 1000M，以及全工双全工的设置等等）

wget http://192.168.0.253/file

8b=12KB

100/8

30KB/S=30000b/s

包大小大约是1500b

所以20/s 每秒20个包

6. -m mac 匹配网卡 MAC 地址基于MAC地址的访问只能用于INPUT和PREROUTING链使用

--mac-source [!] address

格式：-m mac --mac-source mac_addr

MAC 地址的写法是 XX:XX:XX:XX:XX:XX ，6个16进制数，总大小 48bit

]# iptables -A INPUT -p icmp -m mac --mac-source 00:B0:C4:01:27:D1 -j DROP

.ping 发个数据包然后用arp -n可查看mac地址

iptables -A INTPUT -m mac --mac-source 00:23:54:6A:18:CE -j DROP 不写协议表示都默认，写多个只有写多个iptables语句

7. -m mark 匹配 mangle 表所标记的包标记mask 相当于合格证安装数据包的标记匹配，按照数据包的标记匹配

mangle表：给数据包打标记，一般在路由前打标记

转发功能只能在nat表PREROUTING中打标记

--mark value

打标记：iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.0.1-192.168.0.100 -j MARK --set-mark 1

MARK打标记，名字为1。（1到无穷大的整数只是打标记，需要应用到其他的链里）

iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.0.101-192.168.0.200 -j MARK --set-mark 2

iptables -t filter -A FORWARD -m mark --mark 1 -j DROP

iptables -t filter -A FORWARD -m mark --mark 2 -j ACCEPT

]# iptables -t filter -I INPUT -m mark --mark 1 -j DROP

]# iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.1.1-192.168.1.50 -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.0.101-192.168.0.253 -j MARK --set-mark 2

iptables -t filter -A FORWARD -m mark --mark 1 -p tcp --dport 80 -j ACCEPT

iptables -t filter -A FORWARD -m mark --mark 2 -p tcp --dport 80 -j DROP

]# iptables -t mangle -A FORWARD -m iprange --src-range 192.168.1.1-192.168.1.100 -j MARK --set-mark 1

]# iptables -t mangle -A FORWARD -m iprange --src-range 192.168.1.101-192.168.1.200 -j MARK --set-mark 2

]# iptables -t filter -A FORWARD -m mark --mark 1 -j ACCEPT

]# iptables -t filter -A FORWARD -m mark --mark 2 -j DROP

-m mark --mark

-j MARK --set-mark

[root@www iptables]# iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.0.1-192.168.0.100 -j MARK --set-mark 1

[root@www iptables]# iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.0.101-192.168.0.253 -j MARK --set-mark 2

[root@www iptables]# iptables -t filter -A FORWARD -m mark --mark 1 -j DROP

[root@www iptables]# iptables -t filter -A FORWARD -m mark --mark 2 -j ACCEPT

iptables -A INPUT -m mark --mark 1 -p tcp --dport 80 -j ACCEPT 表示标记1到端口80的都接收，默认在filter表

8. -m multiport 匹配多个端口

--destination-port port1,port2,...,portN 指定多个目的端口

--source-port port1,port2,...,portN 指定多个源端口

例：DROP掉到本机端口 22、23 和 80 的包

iptables -t filter -A INPUT -p tcp -m multiport --destination-ports 22,23,80 -j DROP

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp -m multiport --destination-ports 22,25,110,80 -j ACCEPT

]# iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp -m multiport --destination-ports 22,25,110,80,53,21 -j DROP

9. -m owner 匹配数据包的创建者（用户、进程、用户组...）只能用于OUTPUT链并且不是所有包都是有所有者的比如ping包

--uid-owner 指明发出该包的用户的UID

--gid-owner 指明发出该包的用户组的GID

--pid-owner 指明发出该包的进程的PID

]# iptables -t filter -A OUTPUT -m owner --uid-owner pg -j DROP

su - pg

访问其它主机的80,22等，都不允许,因为产生的访问包所有者被匹配为pg身份

一般仅能用在 OUTPUT，限制本地发出的包，但有些协议不支持就是说不是所有包都有所有者的（icmp，它没有创建者）

注意：甚至可以限制 root （ uid = 0 )。

]# iptables -t filter -A OUTPUT -p tcp --dport 21 -m owner --uid-owner 0 -j DROP

例：凡是uid为500的用户发出的数据包，都DROP掉，即不允许他与外界通信

iptables -t filter -A OUTPUT -m owner --uid-owner 500 -j DROP

]# iptables -t filter -A OUTPUT -p tcp --dport 21 -m owner --uid-owner 1011 -j DROP

不想让普通帐号访问web服务器,也可是组

写法：iptables -A OUTPUT －m owner --uid-owner `id -u hello` -j DROP 如果用户为hello就丢弃，不让其访问（id -u hello 打印帐号UID）

访问其他主机的 80 22

10. -m state 匹配IP包的状态，用于对数据包的状态进行追踪

需要安装模块 ip_conntrack

所有包的状态被保存在文件： /proc/net/ip_conntrack

状态 NEW 表明这个包要开启一个新的连接，或者和另外一个包相关连（不管什么协议都一样，对 UDP 协议来说是第一个包，对 icmp 协议是 icmp-request 包）

状态 ESTABLISHED 表示一个连接已经建立了

状态 RELATED 表示这个包开启了一个新的连接，但与前一个开启的连接相关联（比如被动方式连接的 FTP 、icmp 的报错）

状态 INVALID 表示这个包不能被识别，它不是 NEW 状态，但这个包不和任何一个已经建立的连接相关联，这种包是十分可疑的，一般要 DROP

以 TCP 的3次握手建立连接为例：

| -- syn seq=num1 --> | NEW

ESTABLISHED | <-- ack=num1 seq=num1+1 -- |

| -- seq=num1+2 ack=num1+1 --> | ESTABLISHED

| ... | 之后两端传输的数据包就都是 ESTABLISHED 状态了

!! 数据传输的模式：主动模式（端口模式）和被动模式，主动模式的 FTP 是数据端口是 20 ，而被动模式的则是1024以上的随机端口

例：通过状态来限制 icmp 包

iptables -t filter -A INPUT -s 192.168.0.0/24 -p icmp -m state --state NEW -j ACCEPT

例：通过包的状态来控制ftp服务

因为ftp是默认被动连接的，所以需要通过包的状态来设置ftp的过滤规则

modprobe ip_nat_ftp # 需要安装这个模块，可以基于状态去控制 FTP 服务

]# insmod /lib/modules/2.6.18-128.el5xen/kernel/net/ipv4/netfilter/ip_nat_ftp.ko

使本地主机可以通过 lo 接口来访问本地的服务

iptables -I INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 21 -s 192.168.0.0/24 -j ACCEPT # 允许访问 21 端口

iptables -t filter -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -s 192.168.0.0/24 -j ACCEPT # 允许 ftp 随机开启的数据端口

第一次发出来的是NEW包，服务器给你回应的包就为建立包ESTABLISHED

iptables -A INPUT -m --state NEW -j DROP 意思是：例如:0.254和0.28两个IP，这个命令就是0.254能ping通0.28，但0.28不能ping通0.254 ，0.28发出一个新包会被丢弃，是进入，

所以要看INPUT链，0.254是出去，所以要看OUTPUT链。

iptables -A OUTPUT -m state --state NEW -j DROP 0.254向外发出的数据包都被丢弃.即不允许访问别人

iptables -A OUTPUT -m state --state ESTBALISHED -j ACCEPT

第三个状态RELATED 通常和 ESTBALISHED连用，用逗号隔开

第四个状态INVALID 通常和NEW连用

写法：iptables -A OUTPUT -m state --state ESTBALISHED，RELATED -j ACCEPT

INVALID状态

iptables -t filter -A INPUT -m state --state INVALID -j DROP

1、如果从来没发送过ICMP－REQUEST，而收到了一个ICMP－REPLY，这种属于INVALID状态

2、如果从来没有TCP连接过，而收到了一个FIN的标记的数据包

iptables -t filter -A INPUT -p icmp -m state --state NEW -j ACCEPT

11. -m tcp 匹配 TCP header 的标记

--tcp-flags [!] mask comp 匹配标志位

tcp header 共20字节，其中包括一个字节的标记段

一个字节是 8 bit，这个标记段的每个 bit 位都代表一个标记，比如 SYN 和 ACK

它所匹配的其他标志位：

RST 标记如果服务端没有开启Client要访问的端口，则返回一个 RST 标记的包给 Client

FIN 标记断开链接时使用

PSH 标记

URG 标记紧急标记位，服务端当机时，会尽力发送一个带有URG标记的给Client，以通知。

SYN: tcp 3次握手同步位标记 syn洪水攻击占用系统的资源导致正常的用户无法完成数据的传输

ACK：确认标记位 3次握手 4次挥手中间发送数据都用到

PSH：信息快速到达接受放收到这个标记直接交给应用程序交互的服务应用较多推位

RST：重置标记位访问没有开启的端口的时候服务器发送ACK 和PST标记重置一下

FIN：仅在非法扫描和4此挥手用

URG：紧急标记位

以后会举例,针对于syn的洪水攻击来写规则

你好你好好 3次握手

例：

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN

它同时检查 SYN ACK FIN RST 四种标记，并且 SYN 标记置 1 ，其它的标记位（ACK FIN RST)为 0 。只有SYN位设置其他标记位没有被设置的就匹配

iptables -t filter -A INPUT -p tcp -m tcp SYN,RST,ACK,FIN SYN --dport 80 -j DROP

注意：-m tcp 是被默认加载的，可以不写 -m tcp

-p tcp --tcp-flags

]# iptables -t filter -A INPUT -p tcp --tcp-flags SYN,RST,ACK,FIN SYN --dport 80 -j DROP

-m tcp --tcp-flags SYN,ACK,FIN,PSH SYN

-p tcp --syn

保存 iptables 规则

]# /etc/init.d/iptables save

将当前规则保存到 /etc/sysconfig/iptables： [确定]

规则会被保存在 /etc/sysconfig/iptables ，这样下次开机时，这个文件中的规则会被自动地加载。

[root@ html]# tcpdump -i eth0 -vn src host 192.168.1.2 and dst port 22 and dst host 192.168.1.253 抓包测试

12. -m string 匹配包中数据所包含的字符串

需要 kernel >= 2.6.14

--string str 包中的数据是否包含 str 数据

z对中文字符是无效的

]# iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -m string --algo bm --string "pg" -j DROP

通过字符串匹配，实现不允许以FTP方式以pg身份连接192.168.0.253

# iptables -t filter -I INPUT -s 192.168.1.8 -p tcp --dport 21 -m string --algo bm --string "USER" -j DROP

# tcpdump -i lo -vn host localhost and port 21 -XROP／／抓包测试

13. -m tos 由于匹配 IP 头部信息中的 8 bits 的服务类型标志位（Type of Service field）在 IP首部（20字节）中有一个自己的位置用来描述数据包的TOS值

[!] --tos value

根据 tos 对服务进行分类，一共5种类型

Minimize-Delay 最小延时服务 16 典型的服务 telnet ssh 交互式服务

Maximize-Throughput 最大吞吐量服务 8 吞吐量是指单位时间内传输的数据量，这个标志位一般用于高速的数据传输，比如 scp ftp http下载wget

Maximize-Reliability 最大可靠性 4 要求数据最为可靠地（不丢包，数据不出现错误）传送过来

Minimize-Cost 最小消费服务 2 使用有限的带宽

Normal-Service 一般服务 0 比如 icmp 包

查看更多的帮助

iptables -m tos -h

8位的 Type of Service field 前三位为使用中间4位保留

xxx xxxx x

未用 TOS 0

1000 0 16 D 0X10

0100 0 8 T

0010 0 4 R

0001 0 2 C

0000 0 0 N

例：设定 ssh 服务的功能，只允许scp，不允许ssh

]#iptables -t filter -A INPUT -p tcp --dport 22 -m tos --tos 16 -j DROP

在IP首部（20字节）中有1个字节的位置用来描述数据包的TOS值

TYPE OF SERVICE 服务类型

# iptables -t filter -A INPUT -p tcp -m tos --tos 16 -j DROP

14. -m ttl 匹配IP包的存活时间，一个IP包一旦创建，则 ttl 被赋值为128（跳），每经过一个路由器，则减 1（默认减1，也可能有其他的减值）描述记过几个路由器

--ttl-eq num

ttl 值是 IP header 中的部分。描述记过几个路由器

系统现在的（内存中）的 ttl 值保存在 /proc/sys/net/ipv4/ip_default_ttl 。

可以使用如下的方法，来定义系统默认的 ttl 值，修改 /etc/sysctl.conf ，添加如下内容

net.ipv4.ip_default_ttl = new_value

注意：也就是把 net/ipv4/ip_default_ttl 路径中的 / 换成 . 得到的……

例：不转发 ttl 为 64 的数据包，一般 linux 的包的 ttl 为 64，而 Windows 的为 128

iptables -t filter -A FORWARD -m ttl --ttl-eq 64 -j DROP

iptables -t filter -A INPUT -p icmp -m ttl --ttl-eq -j DROP

]# iptables -A INPUT -p icmp -m ttl --ttl-eq 64 -j DROP

--------

]# iptables -t filter -A FORWARD -m ttl --ttl-eq 128 -j DROP

在 ping 对方时，设定 icmp 包的 ttl 值

ping -t ttl_value IP

ping 192.168.0.253 -t 66 用ttl值ping

]# iptables -t filter -A INPUT -p icmp -m ttl --ttl-eq 64 -j DROP

]# echo "net.ipv4.ip_default_ttl = 128" >> /etc/sysctl.conf

15. -m udp 匹配 UDP 协议

比较典型的UDP服务，syslog ，监听的端口为 514

16 -m time

编译time模块

]# cp /var/ftp/pg/iptables_dir/ipt_time.ko /lib/modules/2.6.18-194.el5/kernel/net/ipv4/netfilter/

]# insmod /lib/modules/2.6.18-194.el5/kernel/net/ipv4/netfilter/ipt_time.ko

]# iptables -t filter -A INPUT -p icmp -m time --timestart 15:23 --timestop 18:00 --days Wed -j DROP／／禁止ping

iptables -t filter -A INPUT -p tcp -m time --time start 15:23 --timestop 18:00 --days w ed -j DROP //15:23dao 18:00点禁止访问

/lib/modules/2.6.18-194.el5/kernel/net/ipv4/netfilter/

ko内核功能模块

so共享模块

＝＝＝＝＝＝＝目标扩展＝＝＝＝＝＝＝＝＝

是除 ACCEPT DROP REJECT 之外的处理操作

]# cd /lib/modules/2.6.18-194.el5/kernel/net/ipv4/netfilter/ 模块所在处

-j

TARGET扩展总结：

ACCEPT丢弃

DROP 拒绝

REJECT --reject-with拒绝并且回复信息

MARK --set-mark 标记

LOG 日志

MASQUERADE伪装

MIRROR 反弹数据包，就是将发向本机的数据包中的源地址和目的地址对换，然后发出

1. REJECT 扩展拒绝

REJECT 相当于丢失＋和恢复信息

REJECT --reject-with icmp_error_message

这些 icmp_error_message 不是随便设定的，因为要通过 icmp 回传，这些出错信息都是已经定义好的，出现什么错误就要回传什么 icmp 报错包。

!! icmp 包除了 1 和 8，其他的都是用于错误信息的回应，比如无法访问对应httpd服务，对方就会返回一个 icmp 包，通知相应的错误。

iptables -t filter -A INPUT -p tcp -j REJECT --reject-with icmp-proto-unreachable网络不可达

icmp-host-unreachable 主机不可达

icmp-proto-unreachable 协议不可达

iptables -t filter -A INPUT -p tcp -j REJECT -h 可以查看

]# iptables -t filter -A INPUT -p icmp -j REJECT --reject-with icmp-proto-unreachable

REJECT --reject-with xxxxxx

[root@ html]# iptables -t filter -A INPUT -p icmp -j REJECT -h

[root@ html]# iptables -t filter -A INPUT -p icmp -j REJECT --reject-with icmp-net-unreachable

[root@ html]# iptables -t filter -A INPUT -p tcp --dport 80 -j REJECT --reject-with icmp-net-unreachable

# iptables -t filter -I INPUT -p tcp --dport 80 -j REJECT --reject-with tcp-reset

[root@ html]# iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.10.10.112 -j DNAT --to 192.168.1.2:80

[root@ html]# iptables -t nat -A PREROUTING -p tcp --dport 80 -d 10.10.10.112 -j DNAT --to 192.168.1.2:8080

NAT网络地址转换相关的处理动作：

IP地址

端口地址

DNAT/SNAT/MASQUERADE/REDIRECT

做完 NAT 转发数据包之后，unNAT 会对回传的对应数据包作反向处理（处理操作与之前NAT作的相反）

2. SNAT/MASQUERADE

源地址转换，一般用于位于内部网络（私有网络）的主机去连接外部网络的主机，常见的是实现共享上网

C3 --> (192.168.0.1)GW（10.10.10.112) --> internet

...

192.168.0.0/24

例：简单的SNAT

iptable -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 1.1.1.1 # --to-source 可以简写为 --to

如果网关的公网地址是动态分配的，就不能使用 --to 了，必须使用地址伪装 MASQUERADE

iptable -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

iptables -t nat -A POSTROUTING -j SNAT --to 192.168.2.1 能ping通主机但主机ping不回来，原因是：0.254去ping0.3的时候经POSTROUTING把IP转为2.1了，0.3接收到数据包

但不在同一网段，所以无法ping通

]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.10.10.112

]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 10.10.10.112

]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

3. DNAT

DNAT 的一个重要作用是发布位于内网的服务器

C3 <-- GW <-- internet

192.168.0.253 1.1.1.1

例子：简单的DNAT

iptables -t nat -A PREROUTING -p tcp --dport 80 -d 1.1.1.1 -j DNAT --to-destination 192.168.0.253:80 # --to-destination 可以简写位 --to

注意：DNAT在转换目的地址的同时，也可以指定转换到新的地址的指定端口

注意：同时需要开启IP转发。

例：本地主机 C2 通过域名 www.test.com 访问位于内网的C1的www服务

C1(0.88) --> (0.253)GW(1.253 www.test.com) --> internet

C2(0.77)

iptables -t nat -A OUTPUT -s 192.168.0.0/24 -d xxx.xxx.1.253 --dport 80 -j DNAT --to 192.168.0.88:80

在 OUTPUT 上作地址转换

4. REDIRECT

端口重定向，只能重定向为自己的端口

例：在GW处架设 squid 来代理内网主机上网，这里要把内网 Client 发到网关的访问80端口的包，重定向到网关的3128端口，就是由 squid 监听的端口

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128

]# iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to 3128

5. LOG表示记录日志

对端口访问记录日志，用于入侵检测和取证

--log-level 日志级别日志级别可以去查看 syslog.conf ，不需要指定日志的对象，这里是 kernel

--log-prefix " 日志前缀 " 为日志记录添加上前缀，便于查看，注意这个日志前缀两端最好要加上空格，便于与其他日志信息隔开。

--log-tcp-sequence 记录 tcp 序号的选项，还有很多的记录日志的选项，可以去看帮助。

注意：-j LOG 只是用来记录匹配上的包的日志，并不对该包进行处理，所以要在记录日志的包的下面在加上匹配该包的规则。

例：对访问80端口的包记录日志

iptables -t filter -A INPUT -p tcp --syn--dport 80 -j LOG --log-tcp-options --log-ip-options --log-prefix "IPTABLES"

iptables -t filter -A INPUT -p tcp -j DROP # 后面应该紧跟着处理规则，因为上面那条只是用来记录日志的

记录的日志会默认保存在 /var/log/messages 中

nmap -sF 192.168.0.253 扫描开放的端口

日志记录规则下面应该立即加上一条对数据包的ACCEPT或者DROP规则的处理

]# iptables -t filter -A INPUT -p tcp --syn --dport 22 -j LOG --log-prefix "22PORT " --log-tcp-options --log-ip-options --log-uid

]# iptables -t filter -A INPUT -p tcp --syn --dport 22 -j ACCEPT

－－－－－－－－－－

iptables -t filter -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID PACK" --log-tcp-options --log-ip-options --log-uid

iptables -t filter -A INPUT -m state --state INVALID -j DROP

!! iptables 中每个 check_point 处理的次序是：mangle nat filter；也可以这样理解，在不同的表中有相同的链时，总是先处理 mangle 表的，之后是 nat 表的，最后才是 filter 表的。

]# iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j LOG --log-prefix "IPTABLES " --log-tcp-options --log-ip-options --log-uid

]# iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP

]# grep IPTABLES /var/log/messages

6. mangle

只能在 mangle 表中使用，且标记只能用数字，一般能在 PREROUTING 和 OUTPUT 中使用

先 mangle 再 routing 再 output

-j MARK --set-mark MARK_NUMBER

在匹配时要使用

-m mark --mark MARK_NUMBER

例：在检查点 PREROUTING 为不同网段的包打上标记，然后在检查点 FORWARD 处理打上标记的包

iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.0.1-192.168.0.100 -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -m iprange --src-range 192.168.0.101-192.168.0.200 -j MARK --set-mark 2

iptables -t filter -A FORWARD -m mark --mark 1 -j DROP

iptables -t filter -A FORWARD -m mark --mark 2 -j ACCEPT

使用 sevice iptables save 保存iptables过滤规则

7层过滤就是在应用层进行过滤

注意：出现错误 Unknown error 4294967295 ，很有可能是因为添加的规则没有加到正确的链上，比如将只能在 OUTPUT 上加的规则加到了 INPUT 上。

对于iptables 的 Bugs，可以去 iptables 的 bug 报告网站去查看。

作业

A -- B

A B 都启动 22 端口

A B 的默认策略都设置为 DROP

A 可以 ssh 到 B，而 B 不可以 ssh 到 A

作业

流量监控，经由网关的的机器的流量

需要在网关的 FORWARD 上写

作业

开启 iptables 的情况下配置服务

作业：

1写一个规则集保护本机，HOST FW

主要针对于INPUT链做检查

对于OUTPUT相对宽松

不对外做服务，只访问外部服务

2 写一个规则集保护内网，GETWAY FW

内网办公网络 GW 外网

内部服务器（202.1.1.0/24 公网地址）--（202.1.1.11）GW（202.1.2.11）

首先，内网有两个网段A（192。168。1。0）和B（192。168。2。0），A需要能够SNAT上网，B需要SQUID上网（不可上QQ，TAOBAO，KAIXIN网，

不可下载.exe .rm .rmvb .mp3 .mp4）

其次，内网对可以访问内部的服务器群，有HTTP，FTP，CIFS（Samba）。同时外网也可以访问这些服务器

再次，要对洪水攻击进行防范（tcp syn洪水，ICMP洪水）

137\138\139\445

modprobe connlimit

iptables -t filter -P INPUT DROP

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT

iptables -t filter -A INPUT -p tcp --sport 22 -j ACCEPT

iptables -t filter -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

[root@ html]# iptables -t filter -A INPUT -p tcp -m multiport --dports 137,138,139,445 -i eth0 -j ACCEPT

[root@ html]# iptables -t filter -A INPUT -p udp -m multiport --dports 137,138,139,445 -i eth0 -j ACCEPT

内网卡接口

layer7

l7-iptables

squid

arptables

iptables

==================

1 解压成与当前IPTABLES同版本的源码

[root@ src]# tar jxvf iptables-1.4.0.tar.bz2

mv iptables-1.4.0 /usr/src/iptables

[root@ src]# ls iptables -ld

drwxr-xr-x 6 root root 4096 2007-12-22 iptables

[root@ src]# pwd

/usr/src

--------------------

2、生成与当前内核同版本的内核源码

useradd mockbuild

rpm -ivh --nomd5 kernel-2.6.18.src.rpm

[root@ SOURCES]# cd /usr/src/redhat/SPECS/

[root@ SPECS]# ls

kernel-2.6.spec

[root@ SPECS]# rpmbuild -bp --target=$(uname -m) kernel-2.6.spec

生成如下内核源代码：

[root@ html]# cd /usr/src/redhat/BUILD/kernel-2.6.18/linux-2.6.18.i686/

[root@ linux-2.6.18.i686]# ln -s /usr/src/redhat/BUILD/kernel-2.6.18/linux-2.6.18.i686/ /usr/src/linux

=----------------

3 下载包含那些需要的iptables模块的补丁文件。解压，执行如下命令：

[root@ patch-o-matic-ng-20080214]# ./runme --download

[root@ patch-o-matic-ng-20080214]# ./runme connlimit

[root@ patch-o-matic-ng-20080214]# cd /usr/src/linux

[root@ linux]# make oldconfig

Connections/IP limit match support (IP_NF_MATCH_CONNLIMIT) [N/m/?] (NEW) m

# configuration written to .config

[root@ linux]# make modules_prepare

scripts/kconfig/conf -s arch/i386/Kconfig

CHK include/linux/version.h

UPD include/linux/version.h

CHK include/linux/utsrelease.h

UPD include/linux/utsrelease.h

SYMLINK include/asm -> include/asm-i386

CC arch/i386/kernel/asm-offsets.s

GEN include/asm-i386/asm-offsets.h

HOSTCC scripts/genksyms/genksyms.o

SHIPPED scripts/genksyms/lex.c

SHIPPED scripts/genksyms/parse.h

SHIPPED scripts/genksyms/keywords.c

HOSTCC scripts/genksyms/lex.o

SHIPPED scripts/genksyms/parse.c

HOSTCC scripts/genksyms/parse.o

HOSTLD scripts/genksyms/genksyms

CC scripts/mod/empty.o

HOSTCC scripts/mod/mk_elfconfig

MKELF scripts/mod/elfconfig.h

HOSTCC scripts/mod/file2alias.o

HOSTCC scripts/mod/modpost.o

HOSTCC scripts/mod/sumversion.o

HOSTLD scripts/mod/modpost

HOSTCC scripts/kallsyms

HOSTCC scripts/pnmtologo

HOSTCC scripts/conmakehash

[root@ netfilter]# cd /usr/src/linux/net/ipv4/netfilter/

[root@ netfilter]# mv Makefile Makefile.orig

[root@ netfilter]# vim Makefile

[root@ netfilter]# cat Makefile

obj-m := ipt_connlimit.o

KDIR := /lib/modules/$(shell uname -r)/build

PWD := $(shell pwd)

default: $(MAKE) -C $(KDIR) M=$(PWD) modules

[root@ netfilter]# cd /usr/src/linux

[root@ linux]# make M=net/ipv4/netfilter

屏幕输出如下：

WARNING: Symbol version dump /usr/src/redhat/BUILD/kernel-2.6.18/linux-2.6.18.i686/Module.symvers

is missing; modules will have no dependencies and modversions.

LD net/ipv4/netfilter/built-in.o

CC [M] net/ipv4/netfilter/ipt_connlimit.o

Building modules, stage 2.

MODPOST

CC net/ipv4/netfilter/ipt_connlimit.mod.o

LD [M] net/ipv4/netfilter/ipt_connlimit.ko

[root@ linux]# cp net/ipv4/netfilter/ipt_connlimit.ko /lib/modules/2.6.18-128.el5/kernel/net/ipv4/netfilter/

[root@ linux]# insmod /lib/modules/2.6.18-128.el5/kernel/net/ipv4/netfilter/ipt_connlimit.ko

[root@ linux]# iptables -m connlimit -h

[root@ iptables]# pwd

/usr/src/iptables

[root@ iptables]# make

[root@ iptables]# ls extensions/libipt_time.so

extensions/libipt_time.so

[root@ iptables]# cp extensions/libipt_time.so /lib/iptables/

[root@ linux]# iptables -t filter -I INPUT -p tcp --dport 80 -m time --timestart 12:15 --timestop 15:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

[root@ linux]# iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

例：iptables -A FORWARD -s 192.168.1.39 -j DROP 阻止来源地址为 192.168.1.39 的数据包通过本机

各服务器的iptables安全设置：

NFS:

portmap 111 nfs 2049 端口号为2049

vim /etc/sysconfig/nfs

MOUNTD_PORT="4002"

STATD_PORT="4003"

LOCKD_TCPPORT="4004"

LOCKD_UDPPORT="4004"

RQUOTAD_PORT="4005"

[root@tea net]# rpcinfo -p

[root@pg ~]# iptables -t filter -A INPUT -p tcp --dport 111 -j ACCEPT

[root@pg ~]# iptables -t filter -A INPUT -p udp --dport 111 -j ACCEPT

[root@pg ~]# iptables -t filter -A INPUT -p tcp --dport 2049 -j ACCEPT

[root@pg ~]# iptables -t filter -A INPUT -p udp --dport 2049 -j ACCEPT

[root@pg ~]# iptables -t filter -A INPUT -p tcp --dport 4002:4005 -j ACCEPT

[root@pg ~]# iptables -t filter -A INPUT -p udp --dport 4002:4005 -j ACCEPT

samba:

nmbd 137/udp 138/udp

smbd 139/tcp 445/tcp

iptables -t filter -A INPUT -p udp --dport 137:139 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 139 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT

FTP:

modprobe ip_nat_ftp

iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

要求:外部网络可以访问内部网络的WEB和DNS

内部网络可以访问外部的DNS,FTP,SSH,SMTP,HTTP/HTTPS,ICMP

内部网络或从本机发起的会话包被IPTABLES进行状态跟踪.

本机接受内部网络和外部网络的ICMP请求.

防火墙配置默认日志记录和丢弃规则,使任何其它数据包以及端口扫描或者没有明确允许的连接被记录并丢弃

防火墙本机只开SSH服务

补充：-j后可跟：1.ACCEPT 2.DROP 3.REJECT 4.LOG 5.子链（自定义的）

例：iptables －N uplooking 创建一个子链，－N指创建一个新的

iptables －A uplooking －s 192.168.0.0/24 －j DROP 设置这样的一个规则应用它不生效，需要结合下面的规则一起使用

1.iptables －A INPUT －p tcp －－dport 23 －j uplooking 整个的意思是创建这个规则使这个网段访问23端口时将被丢弃

删除子链：iptabes －X uplooking 提示无法删除有连接的链

iptables －D INTPUT 1

iptables -F uplooking 删除这里定义的规则

iptables －X uplooking 即可删除了

主机自己访问自己用到nat表OUTPUT

NAT：地址转换

SNAT（改变数据包于源IP）共享上网

开启转换功能：vi /etc/sysctl.conf ip_forward=0改为1 （在路由里操作这步）

让文件生效：sysctl -p

POSTROUTING：位于 nat 表，用于修改源地址（SNAT）

测试：

环境：web服务器 ip 地址 1.2.3.5/24（外网服务器）

路由：可以是个路由器，也可是两个网卡的linux系统192.168.0.254 1.2.3.4/24(公有ip）

客户端：192.168.0.2 指定网关 192.168.0.254

在路由里添加规则：iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT －－to 1.2.3.4（web服务器地址）

用ADSL拨号就改为伪装MASQUERADE

－－>内网访问外网的时候用

客户端去访问web服务器，进入路由通过规则转换ip去web服务器找资源，返回给客户端

返回的时候是自动返回数据包

路由：是源到目的的过程。

私有IP：A类：10.0.0.0～10.255.255.255

B类:172.16.0.0~172.31.255.255

C类:192.168.0.0~192.168.255.255

1.内网访问自己内部的网络只要搭建DNS就可以网关会自己做判断是往内网和外网发送数据包

如果是目标地址是外网，通向外网的网关直接指向外网的IP

如果目标地址是内网，内网网关指向内网的IP，

两个网关直接通讯在外网用户访问内网的时候用到

iptables -t nat -A POSTROUTING -s 192.168.0.0／24 -p tcp --dport 80 -j SNAT －－to 192.168.0.253(内网的网关)

192.168.0.12 |-------------------|

\ | |

\ | 0.253 |

/ | |

192.168.0.13 |-------------------

DNAT（改变数据包目的IP）外网通过iptables访问内网

PREROUTING：位于 nat 表，用于修改目的地址（DNAT）

环境：web服务器 ip 地址 192.168.0.28（内网服务器）指定网关192p.168.0.254

路由：可以是个路由器，也可是两个网卡（即网关）的linux系统192.168.0.254 1.2.3.4/24(公有ip）

客户端：1.2.3.5（公有ip）访问1.2.3.4就可访问 ip地址为192.168.0.28的web服务器

路由设置：

iptables -t nat -A PRETROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT －－to 192.168.0.28

源地址转换 (主要用于共享上网，POSTROUTING）

-j SNAT --to ip

-j MASQUERADE

目标地址转换（主要用于做内网的服务器的发布，PREROUTING，OUTPUT）

-j DNAT --to ip:port

-j REDIRECT 3128 以透明代理为例子

DNAT

[root@www ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 -d 1.1.1.1 -j DNAT --to-destination 192.168.0.188:80

[root@www ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 -d 1.1.1.1 -j DNAT --to 192.168.0.188:80

iptables -t nat -A OUTPUT -p tcp --dport 80 -d 1.1.1.1 -j DNAT --to 192.168.0.188:8000

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128

REDIRECT

MASQUERADE

实例1、

配置一个个人防火墙

目的是保护自己－－－ filter表中配置---INPUT,OUTPUT

1、不允许其它主机主动访问本机

2、ping允许

3、本机访问其它主机是可行的

iptables -t filter -P INPUT DROP

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID PACK " --log-ip-options --log-tcp-options --log-uid

iptables -t filter -A INPUT -m state --state INVALID -j DROP

iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP

iptables -t filter -A INPUT -j LOG --log-prefix "KEYI PACK " --log-level info --log-ip-options --log-tcp-options --log-uid

实例2、

配置一个服务器防火墙

服务器对外提供80端口的服务，并且允许远程维护－－－filter表

iptables -t filter -P INPUT DROP

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 2021 -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW.ESTABLISHED,RELATED -m multiport --dport 53,80,25,110,143,995,993,69,139,445 -j ACCEPT

iptables -A INPUT -p udp -m state --state NEW.ESTABLISHED,RELATED -m multiport --dport 53,80,25,110,143,995,993,69,139,445 -j ACCEPT

1、要配置不允许root登录2021

2、可能受到攻击

由于站点源代漏洞导致的攻击--SQL注入攻击等等

由于系统软件漏洞导致的攻击

由于tcp的可靠性引起的安全问题－－－SYN半连接洪水攻击

iptables -t filter -A INPUT -p tcp --syn --dport 80 -m limit --limit 20/sec -j ACCEPT

iptables -t filter -A INPUT -p tcp --syn --dport 80 -j DROP

由于服务器一般是允许其它主机PING－－－引起ICMP洪水攻击

iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP

实例3、

配置一个网关防火墙

1、内网用户通过透明代理上网

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128

iptables -t nat -A POSTROUTING -p udp --dport 53 -j SNAT --to 外_ip

内网用户需要配置好IP，DNS，网关指向内_ip

2、内网用户可以访问内网的FTP（通过IP访问），WEB(通过域名访问)

3、外网可以访问内网的WEB（通过域名）,并且可以VPN连接到网关上

4、关于内网用户的下载问题

结合有限速功能路由

iptables -t filter -I FORWARD -p tcp --syn -s 内网_net --dport 80 -m connlimit --connlimit-above 5 -j REJECT

iptables -t filter -I FORWARD -p tcp --syn -s 内网_net --dport 21 -m connlimit --connlimit-above 5 -j REJECT

iptables -t filter -A FORWARD -s 内网_net -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

实例4、关于内网WEB服务通过DNAT发布，内网通过域名访问WEB的问题

192.168.0.0/24 内网 1.1.1.0/24外网

192.168.0.11 client eth0 Gataway eth1

0.188:80 server 0.253-----1.1.1.1 ----- 1.1.1.2

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 1.1.1.1

iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to 192.168.0.188:80

------------

iptables -t nat -A OUTPUT -d 1.1.1.1 --dport 80 -p tcp -j DNAT --to 192.168.0.188:80

------------

G: iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -d 192.168.0.188 --dport 80 -o eth0 -j SNAT --to 192.168.0.253

iptables 体系结构

DNAT SNAT

目标地址转换源地址转换

－－－－－－－－－－－－－－－－－－－－－－－－－－－

| / \ / 路由判断 \ / \ / \ ｜

->｜M PREPOUTING N ---> M ROUTING TABLE N ---> M FORWARD F－－－> M POSTROUTING N———|－－－>

| \ / \ / \ / \ / |

－－－－－－－－－－－－－－－－－－－－－－－－－－－ |

｜ /\ |

｜｜

\/ －－－－－－－－－－－－－／

－－－－－－－－ /

/ \ / OUTPUT \ DNAT

M INPUT F OUTPUT M->N->F也可以作目标地址转换

\ / \ /

－－－－－－－－

| /\

| |

\/ |

－－－－－－－－

/ \

Local process

\ /

－－－－－－－－

一般LINUX防火墙（iptalbes）的运用无非是用nat 表（PREROUTING、OUTPUT、POSTROUTING）和filter表(FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置

防火墙。现用一个相对比较直观的图形解释数据的走向。（此处只作最基本的iptables数据流走向说明。）

上图是你的家，蓝色的圈是你家院子，有两扇大门①⑥进出，你家有两个房间，分别为eth0和 eth1房间，每个房间有两个门可以进出②③④⑤。旁边是张三和李四的家，

张三家和李四家之间的往返必须要过你家院子。

现假设，eth0网卡IP为：192.168.5.1链接内网，eth1网卡IP为：218.100.100.111链接互连网。

再假设，“张三家”为一个局域网，“李四家”为互连网。进我家院子用PREROUTING，出我家院子用FORWARD，进我家门用INPUT，出我家门用 OUTPUT。

（当我们的操作是征对服务器本身而言的话，如SSH操作，此时肯定会用到PREROUTING、INPUT和OUTPUT，当数据只是通过服务器去访问别的机器时会用到PREROUTING和FORWARD。）

又假设，默认这六个门都是关的。生成如下代码。

*nat

:PREROUTING DROP [0:0]

:OUTPUT DROP [0:0]

:POSTROUTING DROP [0:0]

-F

-Z

-X

### 以后要新增语句请在此处增加。

-L –v

COMMIT

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-F

-Z

-X

### 以后要新增语句请在此处增加。

-L –v

COMMIT

1、局域网用户通过服务器共享上网

(即从张三家到李四家)

1)首先进①号门，再从⑥号门走出。

-A PREROUTING –p tcp --dport 80 –j ACCEPT #允许TCP 80端口通过服务器

-A FORWARD –p tcp --dport 80 –j ACCEPT #允许TCP80 端口转发

-A FORWARD –p tcp --sport 80 –j ACCEPT #允许接收对方为TCP80端口反回的信息

2)其次，由于我们上网打的是域名，为此有一个公网DNS服务器为我们服务，那当然也要允许内网机器与DNS服务器的数据转发。DNS用UDP 53或者 TCP 53端口。

两者用其一个就行。

-A PREROUTING –p udp --dport 53 –j ACCEPT

-A FORWARD –p udp --dport 53 –j ACCEPT

-A FORWARD –p udp --sport 53 –j ACCEPT

3）再次，由于局域网的地址在公网上是不被允许的，所以在出公网前应该把其地址转为服务器地址进行伪装。

-A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111

2、允许局域网和公网可以访问服务器的SSH

假设SSH采用默认端口TCP 22 。此要求相当于要进我的家的TCP 22号门，为此我们首先要进我家院子，然后再进我家门，最后走出我家门这样的过程。此操作是征对服务器本身的操作。

-A PREROUTING –p tcp --dport 22 –j ACCEPT

-A INPUT –p tcp --dport 22 –j ACCEPT

-A OUTPUT –p tcp --sport 22 –j ACCEPT

3、允许内网机器可以登录MSN和QQ。

（MSN 和QQ默认是不允许登录的）QQ一般来说可以从TCP 80、8000、443及UDP 8000、4000登录，而MSN可以从TCP 1863、443登录。我们登录MSN和QQ的过程就象上网一样，

也是去访问远程服务器的指定端口，故而我们只用数据转发即可。

-A PREROUTING –p tcp --dport 1863 –j ACCEPT

-A PREROUTING –p tcp --dport 443 –j ACCEPT

-A PREROUTING –p tcp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 4000 –j ACCEPT

-A FORWARD –p tcp --dport 1863 –j ACCEPT

-A FORWARD –p tcp --sport 1863 –j ACCEPT

-A FORWARD –p tcp --dport 443 –j ACCEPT

-A FORWARD –p tcp --sport 443 –j ACCEPT

-A FORWARD –p tcp --dport 8000 –j ACCEPT

-A FORWARD –p tcp --sport 8000 –j ACCEPT

-A FORWARD –p udp --dport 8000 –j ACCEPT

-A FORWARD –p udp --sport 8000 –j ACCEPT

-A FORWARD –p udp --dport 4000 –j ACCEPT

-A FORWARD –p udp --sport 4000 –j ACCEPT

4、让内网机器可以收发邮件。

接收邮件是访问远程服务器的TCP 110端口，发送邮件是访问TCP25端口。用数据转发即可。

-A PREROUTING –p tcp --dport 110 –j ACCEPT

-A PREROUTING –p tcp --dport 25 –j ACCEPT

-A FORWARD –p tcp --dport 110 –j ACCEPT

-A FORWARD –p tcp --sport 110 –j ACCEPT

-A FORWARD –p tcp --dport 25 –j ACCEPT

-A FORWARD –p tcp --sport 25 –j ACCEPT

5、内部机器对外发布WEB。

要把内网机器192.168.5.179的WEB对外发布的话，相当于是从外网访问内网。与第1步操作的局域网共享上网相同，只是访问的方向改变了。不是从内网访问外网，

而是从外网访问内网。

当公网访问服务器218.100.100.111时，防火墙把它映射到内网的192.168.5.179的TCP80上。当内网机器访问服务器218.100.100.111时，防火墙把它映射到内网的

192.168.5.179的TCP80上。

-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 –dport 80 –j DNAT –to-destination 192.168.5.179:80

以上两句必须写在 –A PREROUTING –p tcp --dport 80 –j ACCEPT 前面。）

TCP 80端口的转发在第1步就已做过，此处就不用重复制作了。另外在

-A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111 之后加上一句:

-A POSTROUTING –p tcp --dport 80 –j ACCEPT

为什么要加这句话呢，我的理解是这样的，

公网访问 http://218.100.100.111时：（假设公网上用户的IP为199.199.199.199,端口12345为随机的产生的。）

数据源： ip:199.199.199.199 sport:12345

数据目标： ip:218.100.100.111 dport 80

此时，通过-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80 告诉199.199.199.199,您要访问的真正

地址应该是192.168.5.179:80,

然后我们通过-A POSTROUTING –p tcp --dport 80 –j ACCEPT 目标地址218.100.100.111:80伪装成 192.168.5.179:80 。

数据源： ip:199.199.199.199 sport:12345

数据目标： ip:192.168.5.179 dport 80

当192.168.5.179返回数据时：

数据源： ip:192.168.5.179 sport:80

数据目标： ip:199.199.199.199 dport 12345

数据经过 -A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111 后，

数据源： ip:218.100.100.111 sport:80

数据目标： ip:199.199.199.199 dport 12345

6、完整的iptables配置

*nat

:PREROUTING DROP [0:0]

:OUTPUT DROP [0:0]

:POSTROUTING DROP [0:0]

-F

-Z

-X

-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 --dport 80 –j DNAT –to-destination 192.168.5.179:80

-A PREROUTING –p tcp --dport 80 –j ACCEPT

-A PREROUTING –p udp --dport 53 –j ACCEPT

-A PREROUTING –p tcp --dport 22 –j ACCEPT

-A PREROUTING –p tcp --dport 1863 –j ACCEPT

-A PREROUTING –p tcp --dport 443 –j ACCEPT

-A PREROUTING –p tcp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 4000 –j ACCEPT

-A PREROUTING –p tcp --dport 110 –j ACCEPT

-A PREROUTING –p tcp --dport 25 –j ACCEPT

-A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111

-A POSTROUTING –p tcp --dport 80 –j ACCEPT

-L –v

COMMIT

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-F

-Z

-X

-A INPUT –p tcp --dport 22 –j ACCEPT

-A OUTPUT –p tcp --sport 22 –j ACCEPT

-A FORWARD –p tcp --dport 80 –j ACCEPT

-A FORWARD –p tcp --sport 80 –j ACCEPT

-A FORWARD –p udp --dport 53 –j

描述：M为mangle表 N为nat表 F为filter表－－dport 基本上访问的是自己的端口

PREPOUTING：位于 nat 表，用于修改目的地址（DNAT） ROUTING TABLE：路由表 FORWARD：filter表中的转发链 POSTROUTING：位于 nat 表，

用于修改源地址（SNAT）

INPUT：filter表中的输入链 OUTOUT：filter表中的输出链 Local process：本地进程

Mangle表中包含其他两个表的链，有5个

1.进入的访问先检查M里的PREPOUTING再检查N里的，没有匹配的规则就进入routing table，若没有匹配的IP就转发个M里的POSTROUTING再检查N里的，

直接转发出去

2.进入的访问先检查M里的PREPOUTING再检查N里的,没有匹配的规则就进入routing table,有匹配的IP，检查M里的INPUT链再检查F里的，查看规则

3.OUT从M－>N－>F那里出发

练习题：

保护自己个人－－－－filter表中配置－－－INPUT，OUTPUT

1.不允许其他主机主动访问本机

2.ping不允许

3.本机访问其他主机是可行的

yum install iptraf 网络流量的查看工具

ping -i 0.000001 192.168.0.253 icmp洪水攻击

防止icmp洪水攻击

iptables -A INPUT -p icmp -m --icmp-type echo-requset -m limit --limit 1/second -j ACCEPT

iptables -A INPUT -p icmp -m icmp --icmp-type echo-requset -j ACCEPT

半连接池占满

解决系统资源

1.连接池放大

2.缩小超时时间

3.限制SYN标记的包

iptables -A INPUT -p tcp --syn --dport 80 -m limit --limit 20/sec -j ACCEPT

iptables -A INPUT -p tcp --syn --dport 80 -j DROP

由于系统软件漏洞导致的攻击

由于站点源代码漏洞导致的攻击－－－SQL注入攻击

3次握手完成时间一般为1妙主要看宽带大小1秒＝1000毫秒

配置一个网关防火墙

1.内网用户通过透明代理上网

2.内网用户可以问内网的FTP（通过IP访问），WEB（通过域名访问

3.外网可以访问内网的WEB

设置缺省策略为INPUT 拒绝全部,但:

允许你对你自己的ip地址(192和127)进行任何访问.

只允许某1 人telnet 你，即某台主机

允许某人每分钟ping你10次.

允许您主动访问任何人.

test1 用户可以使用的自己的ip地址作测试用途,但不能访问其他的任何ip

其它用户可以访问任意地址

对于我的电脑,不论怎样改变ip地址,都不能使用你的pop3服务器.但可以使用其他服务.

对所有访问您23端口的动作进行日志

习题答案：

＃！/bin/bash

for i in filter nat mangle

iptables -t $i -F

iptables -t $i -X

iptables -t $i -Z for循环清除所有表的规则

done

＃iptables -F 清除所有规则这三个这对filter表进行操作

＃iptables -X 清除自定义链

＃iptables -Z 清零

iptables -P INPUT DROP 缺省的都是最后执行的

iptables -A INPUT -s 192.168.0.28 -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

iptables -A INPUT -s 192.168.0.128 -p tcp --dport 23 -j ACCEPT

iptables -A INPUT -s 192.168.0.128 -p icmp -m limit --limit 10/m -j ACCEPT

iptables -A INPUT -m state --state ESTBALISHED，RELATED -j ACCEPT 我发出的包是NEW包，回应后要给的是建立包状态所以只要写这条即可。

iptables -A OUTPUT -m owner --uid-owner`id -u test1` -j DROP

iptables -A INPUT -p tcp --dport ! 110 -m mac --mac-source 12:34:56:78:90:AF -j ACCEPT

iptables -A INPUT -p tcp --dport 23 -j LOG

写完后用service iptables save 保存

把iptables服务在第五级别开启，系统启动后就会开启/etc/sysconfig/iptables文件里的规则

一些列子：

iptables -t fiter -A INPUT -s 192.168.1.3 -p icmp --imcp-type echo-reply -j ACCEPT

iptables -t fiter -A INPUT -s 192.168.1.3 -p icmp --icmp-type echo-reply -j ACCEPT

iptables -t filter -A INPUT -s 192.168.1.3 -p icmp --icmp-type echo-reply -j ACCEPT

iptables -t filter -A INPUT -s 192.168.1.19 -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT

tcp_wrapper:简单的安全

配置文件：

/etc/hosts.allow

/etc/hosts.deny

支持tcpwrapper的服务：vsftp sendmail portmap ssh xinetd

查看命令是否支持tcpwrapper:

ldd /usr/sbin/vsftpd |grep libwrap <-----含有libwrap.so.o库则表示支持tcpwrapper

配置文件的格式：

服务名称：IP或主机名或域名［EXCEPT］ <------多个服务用逗号分隔

vsftpd:10.1.1.0/255.255.255.0 <----10.1.1.0/24网段

vsftpd:10.1.1 <----10.1.1.0/24网段

vsftpd:station160.cluster.com <-----主机名

vsftpd:.cluster.com <-----该域下的所有主机

vsftpd:ALL <-----全部

telnetd:10.1.1.:spawn echo `date %c %d >> /var/log/telnetd.log <-----只要10网段的访问我，则该记录日志。

服务名称可以在服务的配置文件中获取，如telnet可查看/etc/xinet.d/krb5-telnet (%c:显示IP地址。%d:显示服务的名字。spawn后跟要执行的命令）

系统判断的优先级：

-->hosts.allow -->hosts.deny--->

先判断hosts.allow,如果有匹配则可以通过访问，如果没有匹配则检查hosts.deny,有匹配则拒绝,如果还是没有匹配，则通过访问。这两个文件要同时使用。

sync ??

RELATED关联状态

FTPDATA 传输

icmp的不可达消息

PING不给回应网络不可达 iptanles

没有开启的UDP端口

NEW状态新的包第一次发的包

ESTABLISHED 连接态回应的包

RELATED （FTP）衍生态关联状态

INVALID 无效

iptables -A INPUT －p-m state --state RELATED,ESTABLISHED -j ACCEPT //PING不给回应网络不可达

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

iptables -A FORWARD -d 192.168.0.254 -m limit --limit 10/s -j ACCEPT 设置每秒最多转发10个包

iptables -A FORWARD -d 192.168.0.254 -j DROP 上边命令后一定要跟这一句，也就是说，上边超过10个包以后抛弃由这个命令来执行

iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT

／／--syn 第一次建立连接

iptables -A INPUT -p tcp -m multiport --dports 22,25,80,110,143 -j ACCEPT

服务端：

iptables -A INPUT -p tcp -m string --algo kmp --string "test" -j REJECT--reject-with tcp-reset

nc -l 9999

客户端

telnet serverIP 9999

test 《－－－手工输入

FIN 4次挥手完成的包

[]#nmap -s(扫描)P（ping）

[]# nmap -sF(FTP) 192.168.0.253扫描打开的端口

iptables -t filter -A INPUT -m state --state INVALID - j DROP

nopub 不依靠控制台

nopub ./var/ftp/iptables.sh &

inmod 加载模块

dmeg

转载于:https://www.cnblogs.com/centos-python/articles/8523729.html

你可能感兴趣的文章

@bzoj - 3750@ [POI2015] Pieczęć

CDH版本大数据集群下搭建的Hue详细启动步骤（图文详解）

浅析原生js模仿addclass和removeclass

查看>>

Python中的greenlet包实现并发编程的入门教程

查看>>

tweenlite使用说明

查看>>

ContentProvider数据访问详解

在AD的环境下，更改计算机名导致TFS，无法连接解决办法