iptables练习

一、COMMAND

1、列出所有链的规则：iptables -L ，显示某条链的规则就是iptables -L INPUT

详细信息：iptables -vnL

2、清楚所有链的规则 ：iptables -F

3、设置默认规则策略：iptables -P INPUT DROP，iptables -P OUTPUT DROP , iptables -P FORWARD DROP（拒绝所有数据包）

在虚拟机上改成：iptables -P INPUT ACCEPT ，远程连接才可用。

4、添加规则，在INPUT链上添加规则，协议是tcp，目标端口号是21：iptables -A INPUT -p tcp –dport 21

5、插入规则，在INPUT链上插入规则，协议是tcp，目标端口号是23，规则号是1:iptables -I INPUT 1 -p tcp –dport 23

6、替换规则，在INPUT链上替换规则号1的iptables规则，将目标端口号更改为24：iptables -R INPUT 1 -p tcp –dport 24

7、删除规则，在INPUT 链上删除规则号是1的iptables规则

二、match：基本规则匹配器

1、指定协议：iptables -A INPUT -p tcp -j ACCEPT

2、指定ICMP类型：iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT

3、指定ip地址：iptables -A INPUT -s 192.168.1.109 -j ACCEPT

4、指定接口：iptables -A FORWARD -o eno16777736 -j ACCEPT

5、指定端口号：iptables -A INPUT -p tcp –sport 80 -j ACCEPT

三、match：扩展规则匹配器

1、limit ：限制速率。iptables -I INPUT -d 192.168.1.109 -p icmp –icmp-type 8 -m limit –limit 3/minute –limit-burst 5 -j ACCEPT

2、iprange ：一整段连续的ip都可以：iptables -A INPUT -d 172.16.100.67 -p tcp –dport 80 -m iprange –src-range 172.16.100.5-172.16.100.10 -j DROP

3、time ：指定某个时间范围内可以。

4、multiport ：多个端口

5、string ：对报文中的字符串做匹配检查，一些敏感词汇。

6、state：根据”连接追踪机制“去检查连接的状态。

~]# iptables -A INPUT -d 172.16.100.67 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
~]# iptables -A OUTPUT -s 172.16.100.67 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT

练习：INPUT 和 OUTPUT 默认策略为 DROP；

iptables -P INPUT DROP
iptables -P OUTPUT DROP

1、限制本地主机的 web 服务器在周一不允许访问；新请求的速率不能超过 100 个每秒；web 服务器包含了 admin 字符串的页面不允许访问；web 服务器仅允许响应报文离开本机；

周一不允许访问

#iptables -A INPUT -p tcp --dport 80 -m time ! --weekdays Mon -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT

新请求速率不能超过100个每秒

# iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/s

web包含admin字符串的页面不允许访问，源端口：dport

# iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string 'admin' -j REJECT

web服务器仅允许响应报文离开主机,放行端口（目标端口）：sport

# iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

2、在工作时间，即周一到周五的 8:30-18:00，开放本机的 ftp 服务给 172.16.0.0 网络中的主机访问；数据下载请求的次数每分钟不得超过 5 个；

# iptables -A INPUT -p tcp --dport 21 -s 172.16.0.0 -m time ! --weekdays 6,7  -m time --timestart 8:30 --timestop 18:00  -m connlimit --connlimit-above 5 -j ACCEPT

3、开放本机的 ssh 服务给 172.16.x.1-172.16.x.100 中的主机，x 为你的学号，新请求建立的速率一分钟不得超过 2 个；仅允许响应报文通过其服务端口离开本机；

# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 172.16.0.1-172.16.0.100 -m limit --limit 2/m
# iptables -A OUTPUT -p tcp --sport 22 -m iprange --dst-range 172.16.0.1-172.16.0.100 -m state --state ESTABLISHED -j ACCEPT

4、拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机；

# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

5、允许本机 ping 别的主机；但不开放别的主机 ping 本机；

# iptables -A INPUT  -p icmp --icmp-type 0 -j ACCEPT
# iptables -A OUTPUT  -p icmp --icmp-type 8 -j ACCEPT