iptables 用法及常用模組
iptables傳輸資料包的過程:
1. 當一個數據包進入網絡卡時,它首先進入PREROUTING鏈,核心根據資料包目的IP判斷是否需要轉送出去。
2. 如果資料包就是進入本機的,它就會沿著圖向下移動,到達INPUT鏈。資料包到了INPUT鏈後,任何程序都會收到它。本機上執行的程式可以傳送資料包,這些資料包會經過OUTPUT鏈,然後到達POSTROUTING鏈輸出。
3. 如果資料包是要轉發出去的,且核心允許轉發,資料包就會如圖所示向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出。
第一部分:常用顯示模組介紹
注意:本文所有例項都是在預設規則為DROP下。
# 開放ssh服務埠
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
# 修改預設規則為DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
1. multiport: 多埠匹配
可用於匹配非連續或連續埠;最多指定15個埠;
例項
iptables -A INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sport 22,80 -j ACCEPT
2. iprange: 匹配指定範圍內的地址
匹配一段連續的地址而非整個網路時有用
例項:
iptables -A INPUT -p tcp -m iprange --src-range 192.168.118.0-192.168.118.60 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m iprange --dst-range 192.168.118.0-192.168.118.60 --sport 22 -j ACCEPT
3. string: 字串匹配,能夠檢測報文應用層中的字串
字元匹配檢查高效演算法:kmp, bm
能夠遮蔽非法字元
例項:
# 注意該條規則需要新增到OUTPUT鏈,當服務端返回資料報文檢查到有關鍵字"sex"時,則丟棄該報文,可用於web敏感詞過濾
iptables -A OUTPUT -p tcp --dport 80 -m string --algo kmp --string "sex" -j DROP
4. connlimit: 連線數限制,對每IP所能夠發起併發連線數做限制;
例項:
# 預設INPUT 為 DROP. 每個ip對ssh服務的訪問最大為3個併發連線,超過則丟棄
iptables -A INPUT -p tcp --dport 22 -m connlimit ! --connlimit-above 3 -j ACCEPT
5. limit: 速率限制
limit-burst: 設定預設閥值
# 預設放行10個,當到達limit-burst閥值後,平均6秒放行1個
iptables -A INPUT -p icmp -m limit --limit 10/minute --limit-burst 10 -j ACCEPT
6. state: 狀態檢查
連線追蹤中的狀態:
NEW: 新建立一個會話
ESTABLISHED:已建立的連線
RELATED: 有關聯關係的連線
INVALID: 無法識別的連線
# 放行ssh的首次連線狀態
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
第二部分:編寫常用規則
編寫iptables注意:做預設規則drop的時候一定要先開放ssh埠,否則就杯具了。
# 清空自建規則
iptables -F
iptables -X
# 在INPUT鏈上,tcp為RELATED,ESTABLISHED的資料包為放行
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
# 在INPUT鏈上,tcp為NEW而且埠為22,80的資料包放行
iptables -A INPUT -p tcp -m state --state NEW -m multiport 22,80 -j ACCEPT
# 在OUTPUT鏈上,tcp為ESTABLISHED都放行
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
# INPUT鏈和OUTPUT鏈預設規則都為DROP狀態
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# 開啟本地迴環地址
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# 允許伺服器ping對端主機而不允許對端主機ping伺服器
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
# 開放主機對dns的訪問
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
第三部分:針對特定的服務定製相關規則
1. 對ssh進行管控,1小時內最多發起5個連線,防止黑客暴力破解ssh
# 清空預設規則
iptables -F
iptables -X
# 新增已建立的連線規則
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
# 設定預設規則
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# 設定iptables記錄匹配ssh規則
iptables -I INPUT 2 -p tcp --syn -m state --state NEW -j LOG --log-level 5 --log-prefix "[SSH Login]:"
# 使用recent顯示模組限定每小時最多匹配到5次,超過則丟棄。
iptables -A INPUT -p tcp --syn -m state --state NEW -m recent --name OPENSSH --update --seconds 3600 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --syn -m state --state NEW -m recent --name OPENSSH --set -j ACCEPT
2. 對web服務進行併發管控,防止Ddos
# 清空預設規則
iptables -F
iptables -X
# 新增已建立的連線規則
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
# 設定預設規則
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# 每個ip的併發連線請求最大50,超過則丟棄,建議調大值,容易誤傷nat上網使用者
iptables -A INPUT -p tcp --syn --dport 80 -m state --state NEW -m connlimit ! --connlimit-above 50 -j DROP
3. 對icmp進行流控,防止icmp攻擊
# 清空預設規則
iptables -F
iptables -X
# 新增已建立的連線規則
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
# 設定預設規則
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# 利用limit模組限制icmp速率,閥值為10個,當到達10個後,限速每秒鐘1個
iptables -A INPUT -p icmp --icmp-type 0 -m limit --limit 1/s --limit-burst 10 -j ACCEPT
第四部分:NAT 常用規則
站在伺服器的角度:
當內網伺服器要訪問外網時,需要做源地址轉換;
# 開啟轉發功能
sysctl -w net.ipv4.ip_forward=1
# 把 192.168.1.0 網段流出的資料的 source ip address 修改成為 10.0.0.11:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.0.0.11
當外網主機要訪問內網伺服器服務時,需要做目標地址轉換;
# 開啟轉發功能
sysctl -w net.ipv4.ip_forward=1
# 把訪問 10.0.0.11:2222 的訪問轉發到 192.168.1.11:22 上::
iptables -t nat -A PREROUTING -d 10.0.0.11 -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.11:22
單純的將訪問本機80埠的請求轉發到8080上
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
補充:
iptables 獨立日誌配置:
當在iptables中啟用日誌記錄時,會被當做系統日誌記錄到/var/log/message裡面,如果想要獨立日誌配置如下:
grep -r 'iptables' /etc/rsyslog.conf
kern.* /var/log/iptables.log
systemctl restart rsyslog
在 /etc/rsyslog.conf 中新增一條規則,並重啟服務。
詳細配置資訊:
直接改iptables配置就可以了:vim /etc/sysconfig/iptables。
1、關閉所有的 INPUT FORWARD OUTPUT 只對某些埠開放。
下面是命令實現:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
再用命令 iptables -L -n 檢視 是否設定好, 好看到全部 DROP 了
這樣的設定好了,我們只是臨時的, 重啟伺服器還是會恢復原來沒有設定的狀態
還要使用 service iptables save 進行儲存
看到資訊 firewall rules 防火牆的規則 其實就是儲存在 /etc/sysconfig/iptables
可以開啟檔案檢視 vi /etc/sysconfig/iptables
2、
下面我只開啟22埠,看我是如何操作的,就是下面2個語句(一下為命令列模式)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
再檢視下 iptables -L -n 是否新增上去, 看到添加了
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
現在Linux伺服器只打開了22埠,用putty.exe測試一下是否可以連結上去。
可以連結上去了,說明沒有問題。
最後別忘記了儲存 對防火牆的設定
通過命令:service iptables save 進行儲存
重啟iptables
service iptables save && service iptables restart
關閉防火牆
chkconfig iptables off && service iptables stop
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
針對這2條命令進行一些講解吧
-A 引數就看成是新增一條 INPUT 的規則
-p 指定是什麼協議 我們常用的tcp 協議,當然也有udp 例如53埠的DNS
到時我們要配置DNS用到53埠 大家就會發現使用udp協議的
而 --dport 就是目標埠 當資料從外部進入伺服器為目標埠
反之 資料從伺服器出去 則為資料來源埠 使用 --sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收
3、禁止某個IP訪問
1臺Linux伺服器,2臺windows xp 作業系統進行訪問
Linux伺服器ip 192.168.1.99
xp1 ip: 192.168.1.2
xp2 ip: 192.168.1.8
下面看看我2臺xp 都可以訪問的
192.168.1.2 這是 xp1 可以訪問的,
192.168.1.8 xp2 也是可以正常訪問的。
那麼現在我要禁止 192.168.1.2 xp1 訪問, xp2 正常訪問,
下面看看演示
通過命令 iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP
這裡意思就是 -A 就是新增新的規則, 怎樣的規則呢? 由於我們訪問網站使用tcp的,
我們就用 -p tcp , 如果是 udp 就寫udp,這裡就用tcp了, -s就是 來源的意思,
ip來源於 192.168.1.2 ,-j 怎麼做 我們拒絕它 這裡應該是 DROP
好,看看效果。好新增成功。下面進行驗證 一下是否生效
一直出現等待狀態 最後 該頁無法顯示 ,這是 192.168.1.2 xp1 的訪問被拒絕了。
再看看另外一臺 xp 是否可以訪問, 是可以正常訪問的 192.168.1.8 是可以正常訪問的
4、如何刪除規則
首先我們要知道 這條規則的編號,每條規則都有一個編號
通過 iptables -L -n --line-number 可以顯示規則和相對應的編號
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
多了 num 這一列, 這樣我們就可以 看到剛才的規則對應的是 編號2
那麼我們就可以進行刪除了
iptables -D INPUT 2
刪除INPUT鏈編號為2的規則。
再 iptables -L -n 檢視一下 已經被清除了。
5、過濾無效的資料包
假設有人進入了伺服器,或者有病毒木馬程式,它可以通過22,80埠像伺服器外傳送資料。
它的這種方式就和我們正常訪問22,80埠區別。它發向外發的資料不是我們通過訪問網頁請求
而回應的資料包。
下面我們要禁止這些沒有通過請求迴應的資料包,統統把它們堵住掉。
iptables 提供了一個引數 是檢查狀態的,下面我們來配置下 22 和 80 埠,防止無效的資料包。
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
可以看到和我們以前使用的:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
多了一個狀態判斷。
同樣80埠也一樣, 現在刪掉原來的2條規則,
iptables -L -n --line-number 這個是檢視規則而且帶上編號。我們看到編號就可以
刪除對應的規則了。
iptables -D OUTPUT 1 這裡的1表示第一條規則。
當你刪除了前面的規則, 編號也會隨之改變。看到了吧。
好,我們刪除了前面2個規則,22埠還可以正常使用,說明沒問題了
下面進行儲存,別忘記了,不然的話重啟就會還原到原來的樣子。
service iptables save 進行儲存。
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
其實就是把剛才設定的規則寫入到 /etc/sysconfig/iptables 檔案中。
6、DNS埠53設定
下面我們來看看如何設定iptables來開啟DNS埠,DNS埠對應的是53
大家看到我現在的情況了吧,只開放22和80埠, 我現在看看能不能解析域名。
host www.google.com 輸入這個命令後,一直等待,說明DNS不通
出現下面提示 :
;; connection timed out; no servers could be reached
ping 一下域名也是不通
[[email protected] ~ping www.google.com
ping: unknown host www.google.com
我這裡的原因就是 iptables 限制了53埠。
有些伺服器,特別是Web伺服器減慢,DNS其實也有關係的,無法傳送包到DNS伺服器導致的。
下面演示下如何使用 iptables 來設定DNS 53這個埠,如果你不知道 域名服務埠號,你
可以用命令 : grep domain /etc/services
[[email protected] ~grep domain /etc/services
domain 53/tcp # name-domain server
domain 53/udp
domaintime 9909/tcp # domaintime
domaintime 9909/udp # domaintime
看到了吧, 我們一般使用 udp 協議。
好了, 開始設定。。。
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
這是我們 ping 一個域名,資料就是從本機出去,所以我們先設定 OUTPUT,
我們按照ping這個流程來設定。
然後 DNS 伺服器收到我們發出去的包,就回應一個回來
iptables -A INPUT -p udp --sport 53 -j ACCEPT
同時還要設定
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
好了, 下面開始測試下, 可以用 iptables -L -n 檢視設定情況,確定沒有問題就可以測試了
[[email protected] ~iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
可以測試一下 是否 DNS 可以通過iptables 了。
[[email protected] ~host www.google.com
www.google.com is an alias for www.l.google.com.
www.l.google.com is an alias for www-china.l.google.com.
www-china.l.google.com has address 64.233.189.104
www-china.l.google.com has address 64.233.189.147
www-china.l.google.com has address 64.233.189.99
正常可以解析 google 域名。
ping 方面可能還要設定些東西。
用 nslookup 看看吧
[[email protected] ~nslookup
> www.google.com
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
www.google.com canonical name = www.l.google.com.
www.l.google.com canonical name = www-china.l.google.com.
Name: www-china.l.google.com
Address: 64.233.189.147
Name: www-china.l.google.com
Address: 64.233.189.99
Name: www-china.l.google.com
Address: 64.233.189.104
說明本機DNS正常, iptables 允許53這個埠的訪問。
7、iptables對ftp的設定
現在我開始對ftp埠的設定,按照我們以前的視訊,新增需要開放的埠
ftp連線埠有2個 21 和 20 埠,我現在新增對應的規則。
[[email protected] rootiptables -A INPUT -p tcp --dport 21 -j ACCEPT
[[email protected] rootiptables -A INPUT -p tcp --dport 20 -j ACCEPT
[[email protected] rootiptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[[email protected] rootiptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
好,這樣就新增完了,我們用瀏覽器訪問一下ftp,出現超時。
所以我剛才說 ftp 是比較特殊的埠,它還有一些埠是 資料傳輸埠,
例如目錄列表, 上傳 ,下載 檔案都要用到這些埠。
而這些埠是 任意 埠。。。 這個 任意 真的比較特殊。
如果不指定什麼一個埠範圍, iptables 很難對任意埠開放的,
如果iptables允許任意埠訪問, 那和不設定防火牆沒什麼區別,所以不現實的。
那麼我們的解決辦法就是 指定這個資料傳輸埠的一個範圍。
下面我們修改一下ftp配置檔案。
我這裡使用vsftpd來修改演示,其他ftp我不知道哪裡修改,大家可以找找資料。
[[email protected] rootvi /etc/vsftpd.conf
在配置檔案的最下面 加入
pasv_min_port=30001
pasv_max_port=31000
然後儲存退出。
這兩句話的意思告訴vsftpd, 要傳輸資料的埠範圍就在30001到31000 這個範圍內傳送。
這樣我們使用 iptables 就好辦多了,我們就開啟 30001到31000 這些埠。
[[email protected] rootiptables -A INPUT -p tcp --dport 30001:31000 -j ACCEPT
[[email protected] rootiptables -A OUTPUT -p tcp --sport 30001:31000 -j ACCEPT
[[email protected] rootservice iptables save
最後進行儲存, 然後我們再用瀏覽器範圍下 ftp。可以正常訪問
用個賬號登陸上去,也沒有問題,上傳一些檔案上去看看。
看到了吧,上傳和下載都正常。。 再檢視下 iptables 的設定
[[email protected] rootiptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:30001:31000
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:30001:31000
這是我為了演示ftp特殊埠做的簡單規則,大家可以新增一些對資料包的驗證
例如 -m state --state ESTABLISHED,RELATED 等等要求更加高的驗證
例子1:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#如上例,新增一條入站規則:對進來的包的狀態進行檢測。已經建立tcp連線的包以及該連線相關的包允許通過!
#ESTABLISHED:已建立的連結狀態。RELATED:該資料包與本機發出的資料包有關。
例子2:
iptables -A INPUT -i lo -j ACCEPT
#-i 引數是指定介面,這裡的介面是lo ,lo就是Loopback(本地環回介面),意思就允許本地環回介面在INPUT表的所有資料通訊。
例子3:
-A INPUT -j REJECT --reject-with icmp-host-prohibited搜尋
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 這兩條的意思是在INPUT表和FORWARD表中拒絕所有其他不符合上述任何一條規則的資料包。並且傳送一條host prohibited的訊息給被拒絕的主機。(一般不傳送,就不新增這兩條)
以下是iptables相關命令和引數:
ilter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈,這個規則表顧名思義是用來進行封包過濾的理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。
主要包含:命令表
用來增加(-A、-I)刪除(-D)修改(-R)檢視(-L)規則等;
常用引數 用來指定協議(-p)、源地址(-s)、源埠(--sport)、目的地址(-d)、目的埠(--dport)、
進入網絡卡(-i)、出去網絡卡(-o)等設定包資訊(即什麼樣的包); 用來描述要處理包的資訊。
常用處理動作 用 -j 來指定對包的處理(ACCEPT、DROP、REJECT、REDIRECT等)。
1、常用命令列表: 常用命令(-A追加規則、-D刪除規則、-R修改規則、-I插入規則、-L檢視規則)
命令 -A, --append
範例 iptables -A INPUT ...
說明 新增規則(追加方式)到某個規則鏈(這裡是INPUT規則鏈)中,該規則將會成為規則鏈中的最後一條規則。
命令 -D, --delete
範例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規則鏈中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。
命令 -R, --replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現行規則,規則被取代後並不會改變順序。(1是位置)
命令 -I, --insert
範例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明 插入一條規則,原本該位置(這裡是位置1)上的規則將會往後移動一個順位。
命令 -L, --list
範例 iptables -L INPUT
說明 列出某規則鏈中的所有規則。
命令 -F, --flush
範例 iptables -F INPUT
說明 刪除某規則鏈(這裡是INPUT規則鏈)中的所有規則。
命令 -Z, --zero
範例 iptables -Z INPUT
說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
範例 iptables -N allowed
說明 定義新的規則鏈。
命令 -X, --delete-chain
範例 iptables -X allowed
說明 刪除某個規則鏈。
命令 -P, --policy
範例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
命令 -E, --rename-chain
範例 iptables -E allowed disallowed
說明 修改某自訂規則鏈的名稱。
2、常用封包比對引數:(-p協議、-s源地址、-d目的地址、--sport源埠、--dport目的埠、-i 進入網絡卡、-o 出去網絡卡)
引數 -p, --protocol (指定協議)
範例 iptables -A INPUT -p tcp (指定協議) -p all 所有協議, -p !tcp 去除tcp外的所有協議。
說明 比對通訊協議型別是否相符,可以使用 ! 運運算元進行反向比對,例如:-p ! tcp ,
意思是指除 tcp 以外的其它型別,包含udp、icmp ...等。如果要比對所有型別,則可以使用 all 關鍵詞,例如:-p all。
引數 -s, --src, --source (指定源地址,指定源埠--sport)
例如: iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,可以比對單機或網路,比對網路時請用數字來表示遮蔽,
例如:-s 192.168.0.0/24,比對 IP 時可以使用 ! 運運算元進行反向比對,
例如:-s ! 192.168.0.0/24。
引數 -d, --dst, --destination (指定目的地址,指定目的埠--dport)
例如: iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設定方式同上。
引數 -i, --in-interface (指定入口網絡卡) -i eth+ 所有網絡卡
例如: iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網絡卡進入,可以使用通配字元 + 來做大範圍比對,
例如:-i eth+ 表示所有的 ethernet 網絡卡,也以使用 ! 運運算元進行反向比對,
例如:-i ! eth0。
引數 -o, --out-interface (指定出口網絡卡)
例如: iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網絡卡送出,設定方式同上。
引數 --sport, --source-port (源埠)
例如: iptables -A INPUT -p tcp --sport 22
說明 用來比對封包的來源埠號,可以比對單一埠,或是一個範圍,
例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合件,
如果要比對不連續的多個埠,則必須使用 --multiport 引數,詳見後文。比對埠號時,可以使用 ! 運運算元進行反向比對。
引數 --dport, --destination-port (目的埠)
例如: iptables -A INPUT -p tcp --dport 22
說明 用來比對封包的目的埠號,設定方式同上。
引數 --tcp-flags (只過濾TCP中的一些包,比如SYN包,ACK包,FIN包,RST包等等)
例如: iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP 封包的狀態旗號,引數分為兩個部分,第一個部分列舉出想比對的旗號,
第二部分則列舉前述旗號中哪些有被設,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、
FIN(結束)、RST(重設)、URG(緊急)PSH(強迫推送) 等均可使用於引數中,除此之外還可以使用關鍵詞 ALL 和
NONE 進行比對。比對旗號時,可以使用 ! 運運算元行反向比對。
引數 --syn
例如: iptables -p tcp --syn
說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,
FIN,ACK SYN 的作用完全相同,如果使用 !運運算元,可用來比對非要求聯機封包。
引數 -m multiport --source-port
例如: iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 !
運運算元進行反向比對。
引數 -m multiport --destination-port
例如: iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明 用來比對不連續的多個目的地埠號,設定方式同上。
引數 -m multiport --port
例如: iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明 這個引數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。
注意:在本範例中,如果來源埠號為 80目的地埠號為 110,這種封包並不算符合條件。
引數 --icmp-type
例如: iptables -A INPUT -p icmp --icmp-type 8
說明 用來比對 ICMP 的型別編號,可以使用程式碼或數字編號來進行比對。
請打 iptables -p icmp --help 來檢視有哪些程式碼可用。
引數 -m limit --limit
例如: iptables -A INPUT -m limit --limit 3/hour
說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是
否超過一次 3 個封包。 除了每小時平均次外,也可以每秒鐘、每分鐘或每天平均一次,
預設值為每小時平均一次,引數如後: /second、 /minute、/day。 除了進行封數量的
比對外,設定這個引數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水
攻擊法,導致服務被阻斷。
引數 --limit-burst
範例 iptables -A INPUT -m limit --limit-burst 5
說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超
過 5 個(這是預設值),超過此上限的封將被直接丟棄。使用效果同上。
引數 -m mac --mac-source
範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明 用來比對封包來源網路介面的硬體地址,這個引數不能用在 OUTPUT 和 Postrouting規則煉上,這是因為封包要送出到網後,才能由網絡卡驅動程式透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,並不知道封包會送到個網路介面去。
引數 --mark
範例 iptables -t mangle -A INPUT -m mark --mark 1
說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最不可以超過 4294967296。
引數 -m owner --uid-owner
範例 iptables -A OUTPUT -m owner --uid-owner 500
說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免伺服器使用
root 或其它身分將敏感資料傳送出,可以降低系統被駭的損失。可惜這個功能無法比對出
來自其它主機的封包。
引數 -m owner --gid-owner
範例 iptables -A OUTPUT -m owner --gid-owner 0
說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。
引數 -m owner --pid-owner
範例 iptables -A OUTPUT -m owner --pid-owner 78
說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。
引數 -m owner --sid-owner
範例 iptables -A OUTPUT -m owner --sid-owner 100
說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時
機同上。
引數 -m state --state
範例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。
ESTABLISHED 表示該封包屬於某個已經建立的聯機。
NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。
RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。
3、常用的處理動作: (-j 指定對滿足條件包的處理,常用動作有ACCEPT接受報、DROP丟棄報、REJECT丟棄報並通知對方、REDIRECT重定向包等)
-j 引數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:
ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則鏈(natostrouting)。
REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接中斷過濾程式。
例如:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程式。
REDIRECT 將封包重新導向到另一個埠(PNAT),進行完此處理動作後,將會繼續比對其它規則。
這個功能可以用來實作通透式porxy 或用來保護 web 伺服器。
例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的範圍,進行完此處理動作後,直接跳往下一個規則(mangleostrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網絡卡直接讀,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 伺服器指派的,這個時候 MASQUERADE 特別有用。
例如:iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其規則。
例如:iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將直接跳往下一個規則(mangleostrouting)。
例如:iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將會直接跳往下一個規煉(filter:input 或 filter:forward)。
例如:iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程式。
QUEUE 中斷過濾程式,將封包放入佇列,交給其它程式處理。透過自行開發的處理程式,可以進行其它應用,
例如:計算聯機費......等。
RETURN 結束在目前規則煉中的過濾程式,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程式,那麼這個動作,就相當提早結束子程式並返回到主程式中。
MARK 將封包標上某個代號,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。
例如:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
四.拓展模組
1.按來源MAC地址匹配
# iptables -t filter -A FORWARD -m --mac-source 00:02:b2:03:a5:f6 -j DROP
拒絕轉發來自該MAC地址的資料包
2.按多埠或連續埠匹配
20: 表示20以後的所有埠
20:100 表示20到100的埠
:20 表示20之前的所有埠
-m multiport [--prots, --sports,--dports]
例子:
# iptables -A INPUT -p tcp -m multiport --dports 21,20,25,53,80 -j ACCEPT 【多埠匹配】
# iptables -A INPUT -p tcp --dport 20: -j ACCEPT
# iptables -A INPUT -p tcp --sport 20:80 -j ACCEPT
# iptables -A INPUT -p tcp --sport :80 -j ACCEPT
3.還可以按資料包速率和狀態匹配
-m limit --limit 匹配速率 如: -m limit --limit 50/s -j ACCEPT
-m state --state 狀態 如: -m state --state INVALID,RELATED -j ACCEPT
4.還可以限制連結數
-m connlimit --connlimit-above n 限制為多少個
例如:
iptables -I FORWARD -p tcp -m connlimit --connlimit-above 9 -j DROP //表示限制連結數最大為9個
5、模擬隨機丟包率
iptables -A FORWARD -p icmp -m statistic --mode random --probability 0.31 -j REJECT //表示31%的丟包率
或者
-m random --average 5 -j DROP 表示模擬丟掉5%比例的包
相關知識:
Linux 中延時模擬
設定延時 3s :
tc qdisc add dev eth0 root netem delay 3000ms
可以在 3000ms 後面在加上一個延時,比如 ’3000ms 200ms‘表示 3000ms ± 200ms ,延時範圍 2800 – 3200 之間.
結果顯示如下
Linux 中丟包模擬
設定丟包 50% ,iptables 也可以模擬這個,但一下不記的命令了,下次放上來:
tc qdisc change dev eth0 root netem loss 50%
上面的設丟包,如果給後面的 50% 的丟包比率修改成 ’50% 80%’ 時,這時和上面的延時不一樣,這是指丟包比率為 50-80% 之間。