9個實驗帶你瞭解iptables的顯示擴充套件規則設定
本小結重點講解一下iptables的顯示擴充套件規則設定
顯示擴充套件:必須顯式地指明使用的擴充套件模組進行擴充套件;
使用幫助:
Centos 6:man Iptables
Centos 7:man iptables-extensions
實驗1:
multiport擴充套件
以離散的方式定義多埠匹配;最多指定15個埠;
[!]--source-ports,--sports port,port,....:指定多個源埠;
[!]--destination-ports,--dports port,port....:指定多個目標埠
[!]--ports port ,port...:指明多個埠,不管是源埠還是目標埠都匹配
允許192.168.32.163這臺主機訪問本機的22,80埠
iptables -A INPUT -s 192.168.32.163 -d 192.168.32.144 -p tcp -m multiport --dports 22,80 -j ACCEPT
實驗2:
iprange擴充套件
指明連續的(但一般不能是整個網路)ip地址範圍;
[!]--src-rang from[-to]:源IP地址;
[!]--dst-rang from[-to]:目標IP地址;
172.16.100.5主機到172.16.100.10主機不能訪問本機的web服務
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 80 -m iprange --src-range 172.16.100.5-172.16.100.10 -j DROP
實驗3:
string擴充套件
對報文中的應用層資料做字串模式匹配檢測;
--algo{bm|kmp}:字串匹配檢測演算法;
bm:Boyer-Moore
kmp:Knuth-Pratt_Morrls
[!]--string patter:要檢測的字串模式;
[!]--hex-string patter:要檢測的字元創模式,16進位制格式;
限制192.168.32.163訪問本機web網頁中含有have內容的網頁。
必須定義到OUTPUT中因為請求的報文中是不帶需要限制的字串的,只有響應的報文中才帶有需要限制的字串
iptables -A OUTPUT -s 192.168.32.144 -d 192.168.32.163 -p tcp --sport 80 -m string --algo bm --string "have" -j REJECT
在本機安裝web服務,並建立兩個頁面,其中一個含有have字串,
初始狀態防火牆未做任何規則
此時客戶端可以正常訪問web伺服器
新增防火牆規則
iptables -A OUTPUT -s 192.168.32.144 -d 192.168.32.163 -p tcp --sport 80 -m string --algo bm --string "have" -j REJECT
含有have欄位的網頁不能夠訪問
實驗4:
time擴充套件
根據將報文到達時間與指定的時間範圍進行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestart 1970-01-01T00:00:00
--datestop 2030-01-19T04:17:07
--timestart hh:mm[:ss]
--timestop hh:mm[:ss]
[!]--monthdays day[,day]
Possible values are 1 to 31.
[!]--weekdays day[,day]
Possible values are Mon,Tue,Wed,Thu,Fri,Sat,Sun
--kerneltz:使用核心上的時區,而非預設的UTC;
定義本機的web服務在每週末下午的14:30到18:30不允許192.168.32.145主機訪問
iptables -A INPUT -s 192.168.32.163 -d 192.168.32.144 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP
未使用time擴充套件設定防火牆規則時客戶端可以正常網站
客戶端可以正常訪問web服務
新增time擴充套件訪問規則
實驗5:
connlimit擴充套件
根據每客戶端IP做併發連線數量匹配;
--connlimit-upto n:連線的數量小於等於n時匹配;
--connlimit-above n:連線的數量大於n時匹配;
我們要求每個客戶端IP最多能夠連線兩個
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 21 -m connlimit --connlimit-above 2 -j REJECT
實驗6:
limit擴充套件
基於收發報文的速率做匹配;
令牌桶過濾器:
--limit rate[/second | /minute| /hour| /day]
--limit-burst number
每分鐘只允許其它主機對本主機進行ping操作三次,峰值最大為5
iptables -I INPUT -d 192.168.32.144 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT 滿足條件執行放行策略
iptables -I INPUT 2 -p icmp -j REJECT 加一條拒絕規則
設定規則之前:
新增規則:
實驗7:
state擴充套件
根據“連線追蹤機制”去檢查連線的狀態;跟TCP協議沒有關係
如何判斷從本機發出的一個連線是對別人請求的響應還是自己發起的請求?
可以通過本機記錄的conntrack追蹤結果,在有效時間內,可以檢視到每個對本機的請求連線跟本機反饋的結果的之間的對應關係
conntrack機制:追蹤本機上的請求和響應之間關係;狀態有如下幾種;
NEW:新發出請求;連線追蹤模板中不存在此連線的資訊條目,因此,將其識別為第一次發出的請求;
ESTABLISHED:NEW狀態之後,連線追蹤模板中為其建立的條目失效之前期間內所進行的通訊狀態;
RELATED:相關聯的連線;如ftp協議中的命令連線與書籍之間的關係;
INVALID:無效的連線;
UNTRACKEN:為進行追蹤的連線;
正常情況下,伺服器是不會通過80埠主動發起連線請求,22號埠正常情況下也是不會主動發起連線請求
允許NEW請求連線進來
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 80 -m state --state NEW -j ACCEPT
INPUT鏈放行NEW,ESTABLISHED
iptables -A INPUT -d 192.168.32.144 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
OUTPUT鏈放行ESTABLISHED
iptables -A OUTPUT -s 192.168.32.144 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT
更改預設策略全部為DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
客戶端可以正常訪問:
調整連線追蹤功能所能容納的最大連線數量:
/proc/sys/net/nf_contrack_max
已經追蹤到的並記錄下來的連線:
/proc/net/nf_conntrack
不同的協議的連續追蹤時長
/proc/sys/net/netfilter/
iptables的連結跟蹤最大容量為/proc/sys/net/ipv4/ip_conntrack_max,連結碰到各種狀態的超時後就會從表中刪除;當模板滿載時,後續的連線可能會超時
解決方法一般有兩個:
(1)加大nf_conntrack_max值
vim /etc/sysctl.conf
net.ipv4.nf_conntrack_max=393216
net.ipv4.netfilter.nf_conntrack_max=393216
(2)降低nf_conntrack timeout時間
vim /etc/sysctl.conf
net.ipv4.netfilter.nf_conntrack_tcp_timeout_established=300
net.ipv4.netfilter.nf_conntrack_tcp_timeout_time_wait=120
net.ipv4.netfilter.nf_conntrack_tcp_timeout_close_wait=60
net.ipv4.netfilter.nf_conntrack_tcp_timeout_fin_wait=120
實驗8:
如何開放被動模式的ftp
ftp主動連結模式。客戶端發起請求連線伺服器21號埠,伺服器端程序會通過本機的20號埠主動去連線客戶端隨機埠+1的埠(新資料請求),客戶端有可能存在防火牆,
ftp被動連線模式。客戶端請伺服器發起資料下載請求,伺服器端隨機使用一個埠響應,
伺服器端判斷資料連線是不是與此前的某個命令連線有關聯關係, 只要資料連與此前的命令連線有關聯關係,防火牆就放行,不從埠放行,以轉態為標準。
先複製一個檔案到/var/ftp/pub
cp /etc/issue /var/ftp/pub/
防火牆初始狀態:
因為要使用遠端連線功能,所以放行了22號埠
客戶端使用lftp連線發現連線失敗
手動記載連線追蹤的模組
modprobe nf_conntrack_ftp
設定防火牆規則放行命令連線:
iptables -A INPUT -d 192.168.32.144 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.32.144 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
放行資料連線:
iptables -A INPUT -d 192.168.32.144 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.32.144 -p tcp -m state --state ESTABLISHED -j ACCEPT
此時繼續訪問可以看到
實驗9:
規則優化:
伺服器規則優化設定:任何不允許的訪問,應該在請求到達時給予拒絕;
(1)可安全放行所有入站的狀態為ESTABLISHED狀態連線;
(2)可安全放行所有出站的狀態為ESTABLISHED狀態連線;
(3)謹慎放行入站的新請求;
(4)有特殊目的的限制訪問功能,要於芳心規則之前加以決絕;
iptables -I INPUT -d 192.168.32.144 -m state --state ESTABLISHED -j ACCEPT
iptables -I INPUT 2 -d 192.168.32.144 -p tcp -m multiport --dport 21,22,80 -m state --state NEW -j ACCEPT
iptables -I INPUT 3 -d 192.168.32.144 -p tcp -m state --state RELATED -j ACCEPT
iptables -D INPUT 4
iptables -D INPUT 4
iptables -D INPUT 4
出站規則設定
iptables -I OUTPUT -s 192.168.32.144 -m state --state ESTABLISHED -j ACCEPT
iptables -D OUTPUT 2
iptables -D OUTPUT 2
iptables -D OUTPUT 2
限制掉web服務反饋的請求中含有have的頁面
iptables -I OUTPUT -m string --algo kmp --string "have" -j REJECT
備註:其實在前端的web服務異常繁忙的伺服器上的使用state連線追蹤功能是不明智的,在講到叢集負載的時候我們將重點討論這個問題