2. 程式人生 > >iptables 用法及常用模塊總結

iptables 用法及常用模塊總結

阿新 發佈:2017-06-02
iptables 範圍 著圖 針對 規則 用法 是否 傳輸數據 net

技術分享

iptables傳輸數據包的過程

  1. 當一個數據包進入網卡時,它首先進入PREROUTING鏈,內核根據數據包目的IP判斷是否需要轉送出去。

  2. 如果數據包就是進入本機的,它就會沿著圖向下移動,到達INPUT鏈。數據包到了INPUT鏈後,任何進程都會收到它。本機上運行的程序可以發送數據包,這些數據包會經過OUTPUT鏈,然後到達POSTROUTING鏈輸出。

  3. 如果數據包是要轉發出去的,且內核允許轉發,數據包就會如圖所示向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出。

第一部分:常用顯示模塊介紹

註意:本文所有實例都是在默認規則為DROP下。

# 開放ssh服務端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT

# 修改默認規則為DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

1. multiport: 多端口匹配

可用於匹配非連續或連續端口;最多指定15個端口;
實例

iptables -A INPUT -p tcp -m multiport --dport 22,80
 
 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sport 22,80 -j ACCEPT

2. iprange: 匹配指定範圍內的地址

匹配一段連續的地址而非整個網絡時有用
實例:

iptables -A INPUT -p tcp -m iprange --src-range 192.168.118.0-192.168.118.60 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m iprange --dst-range 192.168.118.0-192.168.118.60
 
 --sport 22 -j ACCEPT

3. string: 字符串匹配,能夠檢測報文應用層中的字符串

字符匹配檢查高效算法:kmp, bm
能夠屏蔽非法字符
實例:

# 註意該條規則需要添加到OUTPUT鏈,當服務端返回數據報文檢查到有關鍵字"sex"時,則丟棄該報文,可用於web敏感詞過濾
iptables -A OUTPUT -p tcp --dport 80 -m string --algo kmp --string "sex" -j DROP

4. connlimit: 連接數限制,對每IP所能夠發起並發連接數做限制;

實例:

# 默認INPUT 為 DROP. 每個ip對ssh服務的訪問最大為3個並發連接,超過則丟棄
iptables -A INPUT -p tcp  --dport 22 -m connlimit ! --connlimit-above 3 -j ACCEPT

5. limit: 速率限制
limit-burst: 設置默認閥值

# 默認放行10個,當到達limit-burst閥值後,平均6秒放行1個
iptables -A INPUT -p icmp -m limit --limit 10/minute --limit-burst 10 -j ACCEPT

6. state: 狀態檢查

連接追蹤中的狀態:
NEW: 新建立一個會話
ESTABLISHED:已建立的連接
RELATED: 有關聯關系的連接
INVALID: 無法識別的連接

# 放行ssh的首次連接狀態
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

第二部分:編寫常用規則

編寫iptables註意:做默認規則drop的時候一定要先開放ssh端口,否則就杯具了。

# 清空自建規則
iptables -F
iptables -X

# 在INPUT鏈上,tcp為RELATED,ESTABLISHED的數據包為放行
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

# 在INPUT鏈上,tcp為NEW而且端口為22,80的數據包放行
iptables -A INPUT -p tcp -m state --state NEW -m multiport 22,80 -j ACCEPT

# 在OUTPUT鏈上,tcp為ESTABLISHED都放行
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

# INPUT鏈和OUTPUT鏈默認規則都為DROP狀態
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# 打開本地回環地址
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允許服務器ping對端主機而不允許對端主機ping服務器
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

# 開放主機對dns的訪問
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

第三部分:針對特定的服務定制相關規則

1. 對ssh進行管控,1小時內最多發起5個連接,防止黑客暴力破解ssh

# 清空默認規則
iptables -F
iptables -X

# 添加已建立的連接規則
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

# 設置默認規則
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# 設置iptables記錄匹配ssh規則
iptables -I INPUT  2 -p tcp --syn -m state --state NEW -j LOG --log-level 5 --log-prefix "[SSH Login]:"

# 使用recent顯示模塊限定每小時最多匹配到5次,超過則丟棄。
iptables -A INPUT -p tcp --syn -m state --state NEW -m recent --name OPENSSH --update --seconds 3600 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --syn -m state --state NEW -m recent --name OPENSSH --set -j ACCEPT

2. 對web服務進行並發管控,防止Ddos

# 清空默認規則
iptables -F
iptables -X

# 添加已建立的連接規則
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

# 設置默認規則
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# 每個ip的並發連接請求最大50,超過則丟棄,建議調大值,容易誤傷nat上網用戶
iptables -A INPUT -p tcp --syn --dport 80 -m state --state NEW -m connlimit ! --connlimit-above 50 -j DROP

3. 對icmp進行流控,防止icmp攻擊

# 清空默認規則
iptables -F
iptables -X

# 添加已建立的連接規則
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

# 設置默認規則
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# 利用limit模塊限制icmp速率,閥值為10個,當到達10個後,限速每秒鐘1個
iptables -A INPUT -p icmp --icmp-type 0 -m limit --limit 1/s --limit-burst 10 -j ACCEPT

第四部分:NAT 常用規則

站在服務器的角度:

  當內網服務器要訪問外網時,需要做源地址轉換;

# 打開轉發功能
sysctl -w net.ipv4.ip_forward=1

# 把 192.168.1.0 網段流出的數據的 source ip address 修改成為 10.0.0.11:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.0.0.11

  當外網主機要訪問內網服務器服務時,需要做目標地址轉換;

# 打開轉發功能
sysctl -w net.ipv4.ip_forward=1

# 把訪問 10.0.0.11:2222 的訪問轉發到 192.168.1.11:22 上::
iptables -t nat -A PREROUTING -d 10.0.0.11 -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.11:22

  單純的將訪問本機80端口的請求轉發到8080上

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

iptables 用法及常用模塊總結

相關推薦

iptables 用法常用總結

iptables 範圍 著圖 針對 規則 用法 是否 傳輸數據 net iptables傳輸數據包的過程:   1. 當一個數據包進入網卡時,它首先進入PREROUTING鏈,內核根據數據包目的IP判斷是否需

Ansible安裝部署常用詳解

就會 新用戶 特殊 packages add chdir epel change ima Ansible命令使用 Ansible語法使用ansible <pattern_goes_here> -m <module_name> -a <argum

Ansible安裝常用

用戶密碼 新增 keygen 用法 用戶組 state uid 主機列表 mman 配置文件:/etc/ansible/ansible.cfg 主機列表:/etc/ansible/hosts 安裝anslibe wget -O /etc/yum.repos.d/epe

Ansible的安裝、配置常用介紹

touch cbc tor ext num using remove face 附加 Ansible的安裝、配置及常用模塊介紹 ansible安裝方式 1、 ansible安裝常用兩種方式,yum安裝和pip程序安裝 這裏提供二種安裝方式,任選一種即可: 1、使用yum

編程之路:軟件開發規範常用

文件的 ron 不能 tro 軟件 圖片 路徑 寫代碼 項目 軟件開發規範 我們在開發程序的時候,要讓程序看起來優雅簡潔,讓操作代碼和閱讀代碼的人一目了然,並且便於我們操作管理。 所以我們在編寫代碼的時候就會用到模塊的概念,而我們的開發規範就是把具有不同功能的模塊進行分類,

軟件開發規範常用

兩層 表達式 轉換 tac 報錯 blog lin 傳輸 元素 一、軟件開發規範 ATM #總文件夾 bin:用來放程序執行文件;start.py conf:配置文件

Nginx系列--04HTTP常用指令常用

Nginx 訪問控制 Nginx狀態信息 Nginx HTTP常用指令 前言 本篇總結Nginx中HTTP常用指令與一些常用的模塊 一. HTTP協議常用指令 1. keepalive_timeout 語法 : keepalive_timeout timeout [header_timeou

Python常用總結

inux read node ooo 名稱 當前 from 結束 終端 sys sys模塊是與Python解釋器交互的一個接口 sys.argv 命令行參數List,第一個元素是程序本身路徑sys.exit(n) 退出程序,正常退出時exit(0),錯誤退出sys.exi

python-常用

安裝 引用 分享圖片 表示 工具 sta 導入模塊 path變量 科學計算 Python模塊的標準文件模板,當然也可以全部刪掉不寫,但是,按標準辦事肯定沒錯。 第1行和第2行是標準註釋,第1行註釋可以讓這個hello.py文件直接在Unix/Linux/Mac上運行,第2行

iptables 用法常用模組

iptables傳輸資料包的過程:   1. 當一個數據包進入網絡卡時,它首先進入PREROUTING鏈,核心根據資料包目的IP判斷是否需要轉送出去。   2. 如果資料包就是進入本機的,它就會沿著圖向下移動,到達INPUT鏈。資料包到了INPUT鏈後,任何程序都會收到它。本機上執行的

Ansible的入門常見總結實戰

mon ansible rec 默認 依次 窗口 方法 所有 href Ansible 幫助獲取: ? ansible-doc -s 模塊名 ##查看指定模塊的幫助信息 ? ansible-doc -l ##查看支持的所有模塊 常

Func常用API

comm 卸載 body free 分號 over process 磁盤信息 div Func常用模塊及API Func提供了非常豐富的功能模塊,包括: CommandModule(執行命令) CopyFileModule(拷貝文件) CpuModule(CPU信息

Python編程總結常用

gpo .get 寫入內容 pre workbook att tin class 使用 1、excel讀寫 利用python進行excel讀寫是經常遇到的事情,最常用的excel讀寫模塊必屬xlrd和xlwt,前者負責讀,後者負責寫,配合起來可實現讀寫。 舉例1):使用xl

saltstack常用組件備忘

1.4 .sh 代碼檢查 ast srv require 判斷 roles .com Saltstack分為主控端和被控端。主控端的salt服務啟動:systemctl start salt-master,被控端的服務啟動:systemctl start salt-mini

Python及其常用庫下載安裝

方式 自定義 ins scripts 文件夾 win nbsp sta nload 一、Python下載:https://www.python.org/downloads/ 二、Python模塊下載:http://www.lfd.uci.edu/~gohlke/python

python 常用練習題&總結

位數 access 封裝 error exit some balance 實現 shell # 1、logging模塊有幾個日誌級別? logging模塊共有5個級別,分別是: DEBUG INFO WARNING ERROR CRITICAL logging的日誌

python常用之os用法

htm logs www. 作文件 系統腳本 圖片 函數 info alt 我們經常會與文件和目錄打交道,對於這些操作python提供了一個os模塊,裏面包含了很多操作文件和目錄的函數。在寫一些系統腳本 或者自動化運維腳本的時候經常會用到這個os庫。 詳解見鏈接:http

FastJson中JSONObject用法常用方法總結

SON協議使用方便,越來越流行,JSON的處理器有很多,這裡我介紹一下FastJson,FastJson是阿里的開源框架,被不少企業使用,是一個極其優秀的Json框架,Github地址: FastJson FastJson對於json格式字串的解析主要用到了下面三個類: 1.JSON:f

ansible常用用法

RoCE sta pts oss chm www null 編輯 新建文件夾 模塊文件ping 模塊 相對簡單,沒有參數ansible 192.168.56.200 -m ping command 模塊ansible websrvs -m command -a ‘chdir

Linux課程筆記 Apache常用的介紹

啟用 data nbsp lai 設置 tom error borde 本地 1. mod_expires模塊介紹 1.1 mod_expires介紹 mod_expires允許通過apache配置文件控制HTTP的”Expires:”和&rdq