相关文件

  • iptables服务配置文件
-rw-------. 1 root root 2374 9月   4 2017 /etc/sysconfig/iptables-config
  • iptables规则文件
-rw------- 1 root root 191 10月  1 2018 /etc/sysconfig/iptables

防火墙结构

  • 四表五链
 <th colspan="2">四张功能表</th>

</tr>

<tr>

  <td width="150px">raw</td>

  <td width="600px">快速通道功能。标记、追踪</td>

</tr>

<tr>

  <td>mangle</td>

  <td>数据包修改功能,修改报文元数据,做防火墙标记等</td>

</tr>

<tr>

  <td>nat</td>

  <td>路由转换功能</td>

</tr>

<tr>

  <td>filter</td>

  <td>报文过滤</td>

</tr>


 <th colspan="2">五个规则链</th>

</tr>

<tr>

  <td width="150px">PREROUTING</td>

  <td width="600px">路由前,数据包刚进入网络接口之后</td>

</tr>


  <td>INPUT</td>

  <td>数据包从内核流入用户空间。</td>

</tr>

<tr>

  <td>FORWARD</td>

  <td>在内核空间中,从一个网络接口进入,到另一个网络接口去。转发过滤。</td>

</tr>

<tr>

  <td>OUTPUT</td>

  <td>数据包从用户空间流出到内核空间。</td>

</tr>

<tr>

  <td>POSTROUTING</td>

  <td>路由后,数据包离开网络接口前。</td>

</tr>

### 规则链内的匹配顺序,按顺序依次检查,匹配即停止(LOG 策略例外),若找不到相匹配规则,则按该链的默认策略处理

<tr>

  <td width="150px" style="text-align:center ">raw</td>

  <td width="150px" style="text-align:center ">mangle</td>

  <td width="150px" style="text-align:center ">nat</td>

  <td width="150px" style="text-align:center ">filter</td>

</tr>

<tr style="text-align:center ">

  <td >PREROUTING</td>

  <td >PREROUTING</td>

  <td >PREROUTING</td>

  <td >INPUT</td>

</tr>

<tr style="text-align:center ">

  <td >OUTPUT</td>

  <td >POSTROUTING</td>

  <td >POSTROUTING</td>

  <td >FORWARD</td>

</tr>

<tr style="text-align:center ">

  <td ></td>

  <td >INPUT</td>

  <td >OUTPUT</td>

  <td >OUTPUT</td>

</tr>

<tr style="text-align:center ">

  <td ></td>

  <td >OUTPUT</td>

  <td ></td>

  <td ></td>

</tr>

<tr style="text-align:center ">

  <td ></td>

  <td >FORWARD</td>

  <td ></td>

  <td ></td>

</tr>
规则链内的匹配顺序

COMMAND 命令选项



-A|--append  CHAIN                                 //链尾添加新规则

-D|--delete  CHAIN [RULENUM]                       //删除链中规则,按需序号或内容确定要删除的规则

-I|--insert  CHAIN [RULENUM]                       //在链中插入一条新的规则,默认插在开头

-R|--replace CHAIN  RULENUM                        //替换、修改一条规则,按序号或内容确定

-L|--list   [CHAIN [RULENUM]]                      //列出指定链或所有链中指定规则或所有规则

-S|--list-urles [CHAIN [RULENUM]]                  //显示链中规则

-F|--flush [CHAIN]                                 //清空指定链或所有链中规则

-Z|--zero [CHAIN [RULENUM]]                        //重置指定链或所有链的计数器(匹配的数据包数和流量字节数)

-N|--new-chain CHAIN                               //新建自定义规则链

-X|--delete-cahin [CHAIN]                          //删除指定表中用户自定义的规则链

-E|--rename-chain OLDCHAIN NEWCHAIN                //重命名链,移动任何引用

-P|-policy CHAIN TARGET                            //设置链的默认策略,数据包未匹配任意一条规则就按此策略处理

辅助选项

-t|--table TABLE     //指定操作的表,默认的表为filter

-n|--numeric         //用数字形式显示地址和端口,显示主机IP地址而不是主机名

-x|--exact           //计数器显示精确值,不做单位换算

-v|--verbose  (x3)   //查看规则列表时,显示更详细的信息

--line-numbers        //查看规则表时,显示在链中的序号

-V|--version

-h|--help

[option]  --help     //查看特定选项的帮助,如iptables -p icmp --help

--fragment -f               //match second or further fragments only

--modprobe=<command>        //try to insert modules using this command

--set-counters PKTS BYTES   //set the counter during insert/append

CRETIRIA 条件匹配

基本匹配

扩展匹配->   |隐式匹配

            |显示匹配
  • 基本匹配
-p|--proto  PROTO                      //按协议匹配,如tcp、udp、icmp,all表示所有协议。 (/etc/protocols中的协议名)

-s|--source ADDRESS[/mask]...          //按数据包的源地址匹配,可使用IP地址、网络地址、主机名、域名

-d|--destination ADDRESS[/mask]...     //按目标地址匹配,可使用IP地址、网络地址、主机名、域名

-i|--in-interface INPUTNAME[ +]        //按入站接口(网卡)名匹配,+用于通配。如 eth0, eth+ 。一般用在INPUT和PREROUTING链

-o|--out-interface OUTPUTNAME[+]       //按出站接口(网卡)名匹配,+用于通配。如 eth0, eth+ 。一般用在OUTPUT和POSTROUTING链
  • 隐式匹配

    -m PROTO 可以省略,所以叫隐式匹配


-m tcp   //-p tcp的扩展

    --sport  [!]N[:M]                      //源端口, 服务名、端口、端口范围。

    --dport  [!]N[:M]                      //目标端口,服务名、端口、端口范围

    --tcp-flags CHECKFLAGS FLAGSOFTRUE  //TCP标志位:SYN(同步),ACK(应答),RST(重置),FIN(结束),URG(紧急),PSH(强迫推送)。多个标志位逗号分隔。

                         //CHECKFLAGS为要检查的标志位,FLAGSOFTRUE为必须为1的标志位(其余的应该为0)

    --syn                               //第一次握手。 等效于 --tcpflags syn,ack,fin,rst syn   四个标志中只有syn为1

-m udp   //-p udp的扩展

    --sport N[-M]

    --dport N[-M]

-m icmp  //隐含条件为-p icmp

    --icmp-type  N             //8:echo-request  0:echo-reply
  • 显示匹配


-m state

    --state    //连接状态检测,NEW,ESTABLISHED,RELATED,INVALID

-m multiport

    --source-ports   PORT[,PORT]...|N:M            //多个源端口,多个端口用逗号分隔,

    --destination-ports PORT[,PORT]...|N:M         //多个目的端口

    --ports                          //多个端口,每个包的源端口和目的端口相同才会匹配

-m limit

    --limit   N/UNIT    //速率,如3/minute, 1/s, n/second , n/day

    --limit-burst N     //峰值速率,如100,表示最大不能超过100个数据包

-m connlimit

    --connlimit-above N  //多于n个,前面加!取反

-m iprange

    --src-range IP-IP

    --dst-range IP-IP

-m mac

    --mac-source         //mac地址限制,不能用在OUTPUT和POSTROUTING规则链上,因为封包要送到网卡后,才能由网卡驱动程序透过ARP 通讯协议查出目的地的MAC 地址

-m string

    --algo [bm|kmp]      //匹配算法

    --string "PATTERN"   //匹配字符模式

-m recent

    --name               //设定列表名称,默认为DEFAULT

    --rsource            //源地址

    --rdest              //目的地址

    --set                //添加源地址的包到列表中

    --update             //每次建立连接都更新列表

    --rcheck             //检查地址是否在列表

    --seconds            //指定时间。必须与--rcheck或--update配合使用

    --hitcount           //命中次数。必须和--rcheck或--update配合使用

    --remove             //在列表中删除地址

-m time

    --timestart h:mm

    --timestop  hh:mm

    --days DAYS          //Mon,Tue,Wed,Thu,Fri,Sat,Sun; 逗号分隔

-m mark

    --mark N            //是否包含标记号N

-m owner

    --uid-owner 500   //用来匹配来自本机的封包,是否为某特定使用者所产生的,可以避免服务器使用root或其它身分将敏感数据传送出

    --gid-owner O     //用来匹配来自本机的封包,是否为某特定使用者群组所产生的

    --pid-owner 78    //用来匹配来自本机的封包,是否为某特定进程所产生的

    --sid-owner 100   //用来匹配来自本机的封包,是否为某特定连接(Session ID)的响应封包

ACTION 目标策略(TARGET)

-j|--jump TARGET     # 跳转到目标规则,可能加载target extension

-g|--goto  CHAIN     # 跳转到指定链,不再返回

ACCEPT               # 规则验证通过,不再检查当前链的后续规则,直接跳到下一个规则链。

DROP                 # 直接丢弃数据包,不给任何回应。中断过滤。

REJECT               # 拒绝数据包通过,会返回响应信息。中断过滤。

--reject-with  tcp-reset|port-unreachable|echo-reply

LOG                  # 在/var/log/messages文件中记录日志,然后将数据包传递给下一条规则。详细位置可查看/etc/syslog.conf配置文件

--log-prefix "INPUT packets"

ULOG                 # 更广范围的日志记录信息

QUEUE                # 防火墙将数据包移交到用户空间,通过一个内核模块把包交给本地用户程序。中断过滤。

RETURN               # 防火墙停止执行当前链中的后续规则,并返回到调用链。主要用在自定义链中。

custom_chain         # 转向自定义规则链

DNAT                 # 目标地址转换,改变数据包的目标地址。外网访问内网资源,主要用在PREROUTING。完成后跳到下一个规则链

--to-destination ADDRESS[-ADDRESS][:PORT[-PORT]]

SNAT                 # 源地址转换,改变数据包的源地址。内网访问外网资源。主机的IP地址必须是静态的,主要用在POSTROUTING。完成后跳到下一个规则链。

--to-source ADDRESS[-ADDRESS][:PORT[-PORT]]

MASQUERADE           # 源地址伪装,用于主机IP是ISP动态分配的情况,会从网卡读取主机IP。直接跳到下一个规则链。

--to-ports 1024-31000

REDIRECT             # 数据包重定向,主要是端口重定向,把包分流。能会用这个功能来迫使站点上的所有Web流量都通过一个Web高速缓存,比如Squid。

--to-ports 8080

MARK                 # 打防火墙标记。继续匹配规则。

--set-mark 2

MIRROR               # 发送包之前交换IP源和目的地址,将数据包返回。中断过滤。

state TCP链接状态

NEW           第一次握手,要起始一个连接(重设连接或将连接重导向)

ESTABLISHED   数据包属于某个已经建立的连接。第二次和第三次握手   (ack=1)

INVALID       数据包的连接编号(Session ID)无法辨识或编号不正确。如SYN=1 ACK=1 RST=1

RELATED       表示该封包是属于某个已经建立的连接,所建立的新连接。

如有些服务使用两个相关的端口,如FTP,21和20端口一去一回,FTP数据传输(上传/下载)还会使用特殊的端口,

只允许NEW和ESTABLISHED进,只允许ESTABLISHED出可以阻止反弹式木马。

使用示例

iptables -F           //删除iptables现有规则

iptables -L [-v[vv] -n]   //查看iptables规则

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE	 //在POSTROUTING链尾添加一条规则

iptables -t nat -A POSTROUTING -s 20.20.20.0/24 -o eth1 -j MASQUERADE    //在POSTROUTING链中插入为第2条规则

iptables -t nat -R POSTROUTING 2 -s 40.40.40.40 -o eth1 -j MASQUERAD     //替换修改第二条规则

iptables -t nat -D POSTROUTING 2      //删除POSTROUTING链中第2条规则

iptables -t nat -P POSTROUTING DROP    //设置默认策略为DROP

//限制ping 192.168.146.3主机的数据包数,平均2/s个,最多不能超过3个

iptables -A INPUT -i eth0 -d 192.168.146.3 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 3 -j ACCEPT 

//限制SSH连接速率(默认策略是DROP)

iptables -I INPUT 1 -p tcp --dport 22 -d 192.168.146.3 -m state --state ESTABLISHED -j ACCEPT

iptables -I INPUT 2 -p tcp --dport 22 -d 192.168.146.3 -m limit --limit 2/minute --limit-burst 2 -m state --state NEW -j ACCEPT 

//防止syn攻击(限制syn的请求速度)

iptables -N syn-flood

iptables -A INPUT -p tcp --syn -j syn-flood

iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN

iptables -A syn-flood -j DROP 

//防止syn攻击(限制单个ip的最大syn连接数)

iptables –A INPUT –i eth0 –p tcp --syn -m connlimit --connlimit-above 15 -j DROP 

iptables -I INPUT -p tcp -dport 22 -m connlimit --connlimit-above 3 -j DROP   //利用recent模块抵御DOS攻击

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH   //单个IP最多连接3个会话

Iptables -I INPUT -p tcp --dport 22 -m state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP  //只要是新的连接请求,就把它加入到SSH列表中。5分钟内你的尝试次数达到3次,就拒绝提供SSH列表中的这个IP服务。被限制5分钟后即可恢复访问。

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP    //防止单个IP访问量过大

iptables –A OUTPUT –m state --state NEW –j DROP  //阻止反弹木马

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT   //防止ping攻击

参考原文:https://www.cnblogs.com/hftian/p/8280841.html

iptables简介及常用命令的更多相关文章

  1. centos 7 防火墙firewall 与iptables 的一些常用命令

    CentOS 7的防火墙配置跟以前版本有很大区别,CentOS7这个版本的防火墙默认使用的是firewall,与之前的版本使用iptables不一样. firewall常用命令 service fir ...

  2. Git的原理简介和常用命令

    Git和SVN是我们最常用的版本控制系(Version Control System, VCS),当然,除了这二者之外还有许多其他的VCS,例如早期的CVS等.顾名思义,版本控制系统主要就是控制.协调 ...

  3. Docker-Compose简介及常用命令

    1.Docker-Compose简介 Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排.Docker-Compose将所管理的容器分为三层,分别是 ...

  4. Nginx学习——简介及常用命令

    Nginx简介 Nginx是什么 同Apache一样,都是一种WEB服务器 基于REST架构风格,以统一资源描述符(URI)或者统一资源定位符(URL)作为沟通依据,通过HTTP协议提供各种网络服务 ...

  5. Phoneix(一)简介及常用命令

    一.简介 Apache Phoneix是运行在HBase之上的高性能关系型数据库,通过Phoneix可以像使用jdbc访问关系型数据库一样访问HBase. Phoneix操作的表以及数据存储在HBas ...

  6. adb 简介与常用命令

    1. abd 简介 2. adb 常用命令 1. abd 简介 adb 的全称为 Android Debug Bridge,就是起到调试桥的作用. 借助 adb 工具,我们可以管理设备或手机模拟器的状 ...

  7. Linux文件系统简介及常用命令

    在linux系统中一切皆是文件,下面简要总结了一下linux文件系统中分区类型.文件系统类型以及常用命令. 一.分区类型1.主分区:最多只能有四个2.扩展分区:只能有一个,也可以看做是主分区的一种.即 ...

  8. hadoop(十一)HDFS简介和常用命令介绍

    HDFS背景 随着数据量的增大,在一个操作系统中内存不了了,就需要分配到操作系统的的管理磁盘中,但是不方便管理者维护,迫切需要一种系统来管理多态机器上的文件,这就是分布式文件管理系统. HDFS的概念 ...

  9. Linux简介及常用命令使用4--linux高级命令与技巧

    top 几个磁盘fdisk -l 磁盘空间 df -lhdf -al 查看进程:ps -ef"grep java杀死进程:kill -9 进程号 more中过滤 more xxx |grep ...

随机推荐

  1. 运维 03 Linux之文档与目录结构

    Linux之文档与目录结构   Linux文件系统结构 Linux目录结构的组织形式和Windows有很大的不同.首先Linux没有“盘(C盘.D盘.E盘)”的概念.已经建立文件系统的硬盘分区被挂载到 ...

  2. 力扣算法——139WordBreak【M】

    Given a non-empty string s and a dictionary wordDict containing a list of non-empty words, determine ...

  3. vbox出现Failed to opencreate the internal network错误,无法启动虚拟机

    vbox出现Failed to opencreate the internal network错误,无法启动虚拟机 标签(空格分隔): 未分类 问题 Failed to open/create the ...

  4. 【Linux】- CentOS7安装java运行环境

    centos7中安装java环境,在安装前先查看有无安装过java环境.直接运行java命令,会提示命令未找到,则是没有安装过java环境. 1.检查 也可以通过rpm命令查看: rpm -qa |g ...

  5. emacs-w3m查看html帮助手册

    emacs-w3m查看html帮助手册 */--> code {color: #FF0000} pre.src {background-color: #002b36; color: #83949 ...

  6. 装完某些软件之后IE主页被https://www.hao123.com/?tn=93453552_hao_pg劫持

    今天重装电脑,装完某些软件之后发现IE主页被https://www.hao123.com/?tn=93453552_hao_pg劫持,然后百度各种解决方法都没用,甚至是修改注册表依然没啥用 最后忽然看 ...

  7. CentOS 7 安装详细步骤

    VMware安装centos 7 前期准备: 1. VMware虚拟机软件(使用的是15x) 2. CentOS-7-x86_64-DVD-1810.iso 一.安装VMware虚拟机软件 略 二.新 ...

  8. JS window对象 screen对象 screen对象用于获取用户的屏幕信息。 语法: window.screen.属性

    screen对象 screen对象用于获取用户的屏幕信息. 语法: window.screen.属性 对象属性:

  9. frp使用(windows+aliyun-windows)

    下载frp:https://github.com/fatedier/frp/releases/ 解压,修改服务端配置文件:frps.ini:如下: [common] # 设置连接端口 bind_por ...

  10. PHP-全排列

    给定一个没有重复数字的序列,返回其所有可能的全排列. 示例: 输入: [1,2,3]输出:[ [1,2,3], [1,3,2], [2,1,3], [2,3,1], [3,1,2], [3,2,1]] ...