iptables的扩展匹配

iptables的匹配条件

一、通用匹配：-s、-d、-p、-i、-o

二、扩展匹配

1、隐含扩展：使用-p{tcp|udp|icmp}指定某特定协议后，自动能够对协议进行扩展

-p tcp

--dport m[-n]:匹配的目标端口，可以是连续的多个端口

--sport m[-n]:匹配的源端口，可以是连续的多个端口

--tcp-flags

URG,PSH,RST,SYN,ACK,FIN也可以使用ALL和NONE

--tcp-flags rst,syn,ack,fin syn 四个标志位中只有syn为1其他都为0的意思

放行来自于192.168.1.0/24网络的主机对本机ssh服务的请求

iptables -t filter -A INPUT -s 192.168.1.0/24 -d 192.168.1.202 -p tcp --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -s 192.168.1.202 -d 192.168.1.0/24 -p tcp -sport 22 -j ACCEPT

-p udp

放行本机tftp服务

iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.202 -p udp --dport 69 -j ACCEPT

iptables -A OUTPUT -s 192.168.1.202 -d 192.168.1.0/24 -p udp --sport 69 -j ACCEPT

-p icmp

--icmp-type

8：ping请求

0：ping响应

允许本机ping其他主机：

iptables -A INPUT -s 192.168.1.202 -p icmp --icmp-type 8 -j ACCEPT

iptables -A OUTPUT -d 192.168.1.202 -p icmp --icmp-type 0 -j ACCEPT

允许其他主机ping本机：

iptables -A INPUT -d 192.168.1.202 -p icmp --icmp-type 8 -j ACCEPT

iptables -A OUTPUT -s 192.168.1.202 -p icmp -icmp-type 0 -j ACCEPT

2、显式扩展：必须要明确指定得扩展模块

-m 扩展模块名称 --专用选项1 --专用选项2

multiport：多端口匹配，一次指定多个(15个以内)离散端口

--source-ports，--sports port [,port|,port:port]

--destination-ports, --dports

--ports

例子：

# iptables -I INPUT -d 192.168.1.202 -p tcp -m multiport --dports 22,80 -j ACCEPT

# iptables -I OUTPUT -s 192.168.1.202 -p tcp -m multiport --sports 22:80 -j ACCEPT

iprange：ip地址范围

[!] --src-range from[-to]

[!] --dst-range from[-to]

例子：

# iptables -A INPUT -d 192.168.1.202 -p tcp --dport 23 -m iprange --src-range 192.168.1.1-192.168.1.200 -j ACCEPT

# iptables -A OUTPUT -s 192.168.1.202 -p tcp --sport 23 -m iprange --dst-range 192.168.1.1-192.168.1.200 -j ACCEPT

time：指定时间范围

--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

--timestart hh:mm[:ss]

--timestop hh:mm[:ss]

[!] --weekdays day[,day...]

例子：指定8081端口的访问时间位周一至周五的八点到十八点

# iptables -A INPUT -d 192.168.1.202 -p tcp --dport 8081 -m time --weekdays Mon,Tus,Wed,Thu,Fri --timestart 08:00:00 --timestop 18:00:00 -j ACCEPT

# iptables -A OUTPUT -s 192.168.1.202 -p tcp --sport 8081 -j ACCEPT

string：字符串匹配

--algo {bm|kmp}：字符匹配查找时使用的算法

--string "STRING"：要查找的字符串

--hex-string "HEXSTRING"：要查找的字符，先编码成16进制格式

例子：拒绝页面中含有hello的页面

# iptables -I OUTPUT -s 192.168.1.202 -p tcp --sport 80 -m string --algo kmp --string "hello" -j DROP

connlimit：每IP对指定服务的最大并发连接数

[!] --connlimit-above n

例如：每个IP超过5个连接即拒绝掉

# iptables -I INPUT -d 192.168.1.202 -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP

limit：报文速率控制

--limit #[/second|/minute|/hour|/day]

--limit-burst number

例子：限制icmp包峰值为5个每秒只能通过两个

# iptables -A INPUT -d 192.168.1.202 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 5 -j ACCEPT

可以使用hping3做测试，每秒钟发送多个icmp请求

使用watch命令可以看到防火墙的数据包实时变化

# watch -n 1 'iptables -L -nv'

state：状态匹配(只要是四层协议都能够基于state做追踪)

ip_conntract,nf_conntrack

--state

NEW：NEW说明这个包是我们看到的第一个包

ESTABLISHED：ESTABLISHED已经注意到两个方向上的数据传输，而且会继续匹配这个连接的包。

RELATED：一个连接要想是RELATED的，首先要有一个ESTABLISHED的连接。

INVALID：INVALID说明数据包不能被识别属于哪个连接或没有任何状态。

调整连接追踪功能所有能容纳的追踪的追踪最大连接数：

# cat /proc/sys/net/nf_conntrack_max 定义了连接追踪的最大值，按需调整该值

# less /proc/net/nf_conntrack 记录了当前追踪的所有连接

# cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established tcp的established的超时时间

法则：

(1)、对于进入的状态为ESTABLISHED都应该放行

(2)、对于出去的状态为ESTABLISHED都应该放行

(3)、严格检查进入的状态为NEW的连接

(4)、所有状态为INVALIED都应该拒绝

如何放行工作与被动模式下的FTP服务？

确保iptables加载ftp协议支持的模块：ip_nat_ftp,ip_conntrack_ftp

手动装载：

# modprobe ip_nat_ftp

# modprobe ip_conntrack_ftp

添加到配置文件自动装载：

编辑配置文件：

# vim /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"

放行请求报文的RELATED和ESTABLISHED状态，放行响应报文的ESTABLISHED状态

ftp放行20、21端口

# iptables -A INPUT -d 192.168.1.202 -p tcp --dport 22 -j ACCEPT

# iptables -A OUTPUT -s 192.168.1.202 -p tcp --sport 22 -j ACCEPT

# iptables -P OUTPUT DROP

# iptables -P INPUT DROP

# iptables -A INPUT -d 192.168.1.202 -p tcp --dport 21 -j ACCEPT

# iptables -A OUTPUT -s 192.168.1.202 -p tcp --sport 21 -j ACCEPT

# iptables -A INPUT -d 192.168.1.202 -p tcp --dport 20 -j ACCEPT

# iptables -A OUTPUT -s 192.168.1.202 -p tcp --sport 20 -j ACCEPT

# iptables -A INPUT -d 192.168.1.202 -p tcp -m state --state RELAY,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -s 192.168.1.202 -p tcp -m state --state ESTABLISHED -j ACCEPT

# iptables -I INPUT -d 192.168.1.202 -m state --state RELATED,ESTABLISHED -j ACCEPT

# iptables -I INPUT 2 -d 192.168.1.202 -p tcp -m state --state NEW -m multiport --dports 9001,80,21,22 -j ACCEPT

# iptables -I OUTPUT -s 192.168.1.202 -m state --state ESTABLISHED -j ACCEPT

# iptables -D INPUT 3

# iptables -D INPUT 3

# iptables -D INPUT 3

# iptables -D OUTPUT 2

# iptables -D OUTPUT 2

# iptables -D OUTPUT 2

最终的规则就是：

-A INPUT -d 192.168.1.202/32 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -d 192.168.1.202/32 -p tcp -m state --state NEW -m multiport --dports 9001,80,21,22 -j ACCEPT

-A OUTPUT -s 192.168.1.202/32 -m state --state ESTABLISHED -j ACCEPT

-j target

ACCEPT,DROP,REJECT,LOG,REDIRECT,SNAT,DNAT,MASQUERADE,MARK,RTURN,自定义链

例如：

# iptables -A INPUT -d 192.168.1.202 -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT -s 192.168.1.202 -p tcp --sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

添加自定链，过滤恶意数据包(标志位全为0或1):

# iptables -t filter -N clean_in

# iptables -A clean_in -d 192.168.1.202 -p tcp --tcp-flags ALL ALL -j DROP

# iptables -A clean_in -d 192.168.1.202 -p tcp --tcp-flags ALL NONE -j DROP

# iptables -A clean_in -d 192.168.1.255 -p icmp -j DROP

# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP

# iptables -A clean_in -d 192.168.1.202 -j RETURN

# iptables -I INPUT -d 192.168.1.202 -j clean_in

拒绝状态为INVALID

# iptables -I clean_in 5 -d 192.168.1.202 -m state --state INVALID -j DROP