iptables关键点
-
表:filter(过滤,防火墙);nat(网络地址转换);mangle(拆解报文,做出修改,封装报文);raw(关闭nat表启用的链接追踪机制);上述是根据功能来区分的,写规则要明白要实现的功能
-
链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
-
数据流向:流入PREROUTING–>INPUT;转发PREROUTING–>FORWARD–>POSTROUTING;流出OUTPUT–>POSTROUTING
-
表的功能实现:filter(INPUT,FORWARD,OUTPUT);nat(PREROUTING,OUTPUT,POSTROUTING);
mangle(RREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING);raw(PREROUTING,OUTPUT)
-
功能的优先级次序:raw –> mangle –> nat –> filter
-
添加规则考量点:实现哪种功能(表),判断数据流向(链);同类规则小范围放在上面,不同类规则匹配几率大的放在上面,可以合并的尽量合拼为一条,设置默认策略,iptables是添加规则的工具,netfilter是在内核的功能函数
系统的INPUT和OUTPUT默认策略为DROP;
现在为做访问控制功能,因此在filter(默认)上做策略 [root@centos ~]# iptables -F 清除filter表上所有链上的默认规则 [root@centos ~]# iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 开放入站方向的ssh服务,我必须用xshell连接主机 [root@centos ~]# iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 开放出站方向关于tcp协议发起的一系列链接(前提是有相关tcp协议入站new状态) [root@centos ~]# iptables -P INPUT DROP 出站方向默认规则为丢弃 [root@centos ~]# iptables -P OUTPUT DROP 出站方向默认规则为丢弃 [root@centos ~]# iptables -vnL --line-number 查看iptables规则,加--line-number 选项是为了方便删除或修改插入单条规则 Chain INPUT (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 357 29912 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW,ESTABLISHED Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 88 9264 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;
man出iptables的time扩展,limit扩展,string扩展
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
[!] --weekdays day[,day...]
Only match on the given weekdays. Possible values are Mon,Tue, Wed, Thu, Fri, Sat, Sun,
or values from 1 to 7,respectively. You may also use two-character variants (Mo,
Tu, etc.).
--limit rate[/second|/minute|/hour|/day]
Maximum average matching rate: specified as a number, with
an optional‘/second’,‘/minute’,‘/hour’, or‘/day’suf-fix; the default is 3/hour.
...skipping...
[!] --string pattern Matches the given pattern.
--algo {bm|kmp}
Select the pattern matching strategy. (bm = Boyer-Moore,kmp = Knuth-Pratt-Morris)
[root@centos ~]# iptables -I INPUT -p tcp --dport 80 -m time --weekdays 1 -m string
--string "admin" --algo kmp -m limit --limit 100/second -j DROP
2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;
[root@centos ~]# iptables -I INPUT -m time --weekdays 1,2,3,4,5 --timestart 8:30 --timestop 18:00 -m limit --limit-burst 5 -m iprange --src-range 172.16.0.0-172.16.255.255 -p tcp -m multiport --dport 20,21 -m state --state NEW,ESTABLISHED -j ACCEPT 出站规则上题开放
3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;
[root@centos ~]# iptables -I INPUT -m iprange --src-range 172.16.40.0-172.168.40.255 -m limit --limit 2/minute -p tcp --dport 22 -j ACCEPT 出站规则上题已开放
4、拒绝TCP标志位全部为1及全部为0的报文访问本机;
[root@centos ~]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP [root@centos ~]# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
5、允许本机ping别的主机;但不开放别的主机ping本机;
由于上题的INPUT和OUTPUT默认策略为DROP,所以策略如下 [root@centos ~]# iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT 本机接受其他主机回给我们的ping应答 [root@centos ~]# iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT 本机ping请求到其他主机 [root@centos ~]# ping 192.168.40.130 PING 192.168.40.130 (192.168.40.130) 56(84) bytes of data. 64 bytes from 192.168.40.130: icmp_seq=1 ttl=64 time=1.00 ms [root@centos ~]# ping 192.168.40.128 PING 192.168.40.128 (192.168.40.128) 56(84) bytes of data. ^C --- 192.168.40.128 ping statistics --- 14 packets transmitted, 0 received, 100% packet loss, time 13994ms 当主机的INPUT和OUTPUT的策略默认为允许时,自己推断的策略如下 iptables -I INPUT -p icmp --icmp-type 8 -j DROP 拒绝其他主机发来的ping请求,没有请求便没有响应,则只需要这一条规则即可
6、判断下述规则的意义:
# iptables -N clean_in 新建 名为clean_in的自定义链 # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP 在新链上追加禁止本机发icmp广播 # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP 禁止本机到172.16.0.0网段收发icmp广播 # iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP 禁止非syn不正常请求 # iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP 禁止tcp标志位全为1请求 # iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP 禁止tcp标志位全为0请求 # iptables -A clean_in -d 172.16.100.7 -j RETURN 针对172.16.100.7的链,等待被调用 # iptables -A INPUT -d 172.16.100.7 -j clean_in 本机访问172.168.100.7时到新链clean_in去匹配规则,之后在来匹配OUTPUT链上的规则 # iptables -A INPUT -i lo -j ACCEPT 接受从lo来的任何服务请求 # iptables -A OUTPUT -o lo -j ACCEPT 放行从lo出的任何服务 # iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP 禁止从eth0进入访问本机的tcp协议的53,113,137,139,445端口 # iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP 禁止从eth0进入访问本机的udp协议的53,113,137,139,445端口 # iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP 禁止从eth0访问本机的udp协议的1026端口 # iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP 禁止从eth0访问本机的tcp协议的1433,4899端口 # iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT 最大处理ping请求和响应每秒不能超过10个
7、通过tcp_wrapper控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;
[root@centos ~]# ftp 192.168.40.128 Connected to 192.168.40.128 (192.168.40.128). 421 Service not available. ftp> exit [root@centos ~]# cat /var/log/tcpwrap.log Fri Jun 3 20:12:41 CST 2016 login attempt from 192.168.40.128 to vsftpd@192.168.40.128, vsftpd [root@centos ~]# cat /etc/hosts.allow #See 'man 5 hosts_options' and 'man 5 hosts_access' #for information on rule syntax. #See 'man tcpd' for information on tcp_wrappers vsftpd: 192.168.40.0/255.255.255.0 EXCEPT 192.168.40.128 [root@centos ~]# cat /etc/hosts.deny vsftpd: ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcpwrap.log
原创文章,作者:Snoo,如若转载,请注明出处:http://www.178linux.com/39678
评论列表(1条)
博客写得非常的好,32个赞,能进一步的把iptables的原理在细细的阐述一下就更完美了