相关文件

  • iptables服务配置文件
-rw-------. 1 root root 2374 9月   4 2017 /etc/sysconfig/iptables-config
  • iptables规则文件
-rw------- 1 root root 191 10月  1 2018 /etc/sysconfig/iptables

防火墙结构

  • 四表五链
 <th colspan="2">四张功能表</th>

</tr>

<tr>

  <td width="150px">raw</td>

  <td width="600px">快速通道功能。标记、追踪</td>

</tr>

<tr>

  <td>mangle</td>

  <td>数据包修改功能,修改报文元数据,做防火墙标记等</td>

</tr>

<tr>

  <td>nat</td>

  <td>路由转换功能</td>

</tr>

<tr>

  <td>filter</td>

  <td>报文过滤</td>

</tr>


 <th colspan="2">五个规则链</th>

</tr>

<tr>

  <td width="150px">PREROUTING</td>

  <td width="600px">路由前,数据包刚进入网络接口之后</td>

</tr>


  <td>INPUT</td>

  <td>数据包从内核流入用户空间。</td>

</tr>

<tr>

  <td>FORWARD</td>

  <td>在内核空间中,从一个网络接口进入,到另一个网络接口去。转发过滤。</td>

</tr>

<tr>

  <td>OUTPUT</td>

  <td>数据包从用户空间流出到内核空间。</td>

</tr>

<tr>

  <td>POSTROUTING</td>

  <td>路由后,数据包离开网络接口前。</td>

</tr>

### 规则链内的匹配顺序,按顺序依次检查,匹配即停止(LOG 策略例外),若找不到相匹配规则,则按该链的默认策略处理

<tr>

  <td width="150px" style="text-align:center ">raw</td>

  <td width="150px" style="text-align:center ">mangle</td>

  <td width="150px" style="text-align:center ">nat</td>

  <td width="150px" style="text-align:center ">filter</td>

</tr>

<tr style="text-align:center ">

  <td >PREROUTING</td>

  <td >PREROUTING</td>

  <td >PREROUTING</td>

  <td >INPUT</td>

</tr>

<tr style="text-align:center ">

  <td >OUTPUT</td>

  <td >POSTROUTING</td>

  <td >POSTROUTING</td>

  <td >FORWARD</td>

</tr>

<tr style="text-align:center ">

  <td ></td>

  <td >INPUT</td>

  <td >OUTPUT</td>

  <td >OUTPUT</td>

</tr>

<tr style="text-align:center ">

  <td ></td>

  <td >OUTPUT</td>

  <td ></td>

  <td ></td>

</tr>

<tr style="text-align:center ">

  <td ></td>

  <td >FORWARD</td>

  <td ></td>

  <td ></td>

</tr>
规则链内的匹配顺序

COMMAND 命令选项



-A|--append  CHAIN                                 //链尾添加新规则

-D|--delete  CHAIN [RULENUM]                       //删除链中规则,按需序号或内容确定要删除的规则

-I|--insert  CHAIN [RULENUM]                       //在链中插入一条新的规则,默认插在开头

-R|--replace CHAIN  RULENUM                        //替换、修改一条规则,按序号或内容确定

-L|--list   [CHAIN [RULENUM]]                      //列出指定链或所有链中指定规则或所有规则

-S|--list-urles [CHAIN [RULENUM]]                  //显示链中规则

-F|--flush [CHAIN]                                 //清空指定链或所有链中规则

-Z|--zero [CHAIN [RULENUM]]                        //重置指定链或所有链的计数器(匹配的数据包数和流量字节数)

-N|--new-chain CHAIN                               //新建自定义规则链

-X|--delete-cahin [CHAIN]                          //删除指定表中用户自定义的规则链

-E|--rename-chain OLDCHAIN NEWCHAIN                //重命名链,移动任何引用

-P|-policy CHAIN TARGET                            //设置链的默认策略,数据包未匹配任意一条规则就按此策略处理

辅助选项

-t|--table TABLE     //指定操作的表,默认的表为filter

-n|--numeric         //用数字形式显示地址和端口,显示主机IP地址而不是主机名

-x|--exact           //计数器显示精确值,不做单位换算

-v|--verbose  (x3)   //查看规则列表时,显示更详细的信息

--line-numbers        //查看规则表时,显示在链中的序号

-V|--version

-h|--help

[option]  --help     //查看特定选项的帮助,如iptables -p icmp --help

--fragment -f               //match second or further fragments only

--modprobe=<command>        //try to insert modules using this command

--set-counters PKTS BYTES   //set the counter during insert/append

CRETIRIA 条件匹配

基本匹配

扩展匹配->   |隐式匹配

            |显示匹配
  • 基本匹配
-p|--proto  PROTO                      //按协议匹配,如tcp、udp、icmp,all表示所有协议。 (/etc/protocols中的协议名)

-s|--source ADDRESS[/mask]...          //按数据包的源地址匹配,可使用IP地址、网络地址、主机名、域名

-d|--destination ADDRESS[/mask]...     //按目标地址匹配,可使用IP地址、网络地址、主机名、域名

-i|--in-interface INPUTNAME[ +]        //按入站接口(网卡)名匹配,+用于通配。如 eth0, eth+ 。一般用在INPUT和PREROUTING链

-o|--out-interface OUTPUTNAME[+]       //按出站接口(网卡)名匹配,+用于通配。如 eth0, eth+ 。一般用在OUTPUT和POSTROUTING链
  • 隐式匹配

    -m PROTO 可以省略,所以叫隐式匹配


-m tcp   //-p tcp的扩展

    --sport  [!]N[:M]                      //源端口, 服务名、端口、端口范围。

    --dport  [!]N[:M]                      //目标端口,服务名、端口、端口范围

    --tcp-flags CHECKFLAGS FLAGSOFTRUE  //TCP标志位:SYN(同步),ACK(应答),RST(重置),FIN(结束),URG(紧急),PSH(强迫推送)。多个标志位逗号分隔。

                         //CHECKFLAGS为要检查的标志位,FLAGSOFTRUE为必须为1的标志位(其余的应该为0)

    --syn                               //第一次握手。 等效于 --tcpflags syn,ack,fin,rst syn   四个标志中只有syn为1

-m udp   //-p udp的扩展

    --sport N[-M]

    --dport N[-M]

-m icmp  //隐含条件为-p icmp

    --icmp-type  N             //8:echo-request  0:echo-reply
  • 显示匹配


-m state

    --state    //连接状态检测,NEW,ESTABLISHED,RELATED,INVALID

-m multiport

    --source-ports   PORT[,PORT]...|N:M            //多个源端口,多个端口用逗号分隔,

    --destination-ports PORT[,PORT]...|N:M         //多个目的端口

    --ports                          //多个端口,每个包的源端口和目的端口相同才会匹配

-m limit

    --limit   N/UNIT    //速率,如3/minute, 1/s, n/second , n/day

    --limit-burst N     //峰值速率,如100,表示最大不能超过100个数据包

-m connlimit

    --connlimit-above N  //多于n个,前面加!取反

-m iprange

    --src-range IP-IP

    --dst-range IP-IP

-m mac

    --mac-source         //mac地址限制,不能用在OUTPUT和POSTROUTING规则链上,因为封包要送到网卡后,才能由网卡驱动程序透过ARP 通讯协议查出目的地的MAC 地址

-m string

    --algo [bm|kmp]      //匹配算法

    --string "PATTERN"   //匹配字符模式

-m recent

    --name               //设定列表名称,默认为DEFAULT

    --rsource            //源地址

    --rdest              //目的地址

    --set                //添加源地址的包到列表中

    --update             //每次建立连接都更新列表

    --rcheck             //检查地址是否在列表

    --seconds            //指定时间。必须与--rcheck或--update配合使用

    --hitcount           //命中次数。必须和--rcheck或--update配合使用

    --remove             //在列表中删除地址

-m time

    --timestart h:mm

    --timestop  hh:mm

    --days DAYS          //Mon,Tue,Wed,Thu,Fri,Sat,Sun; 逗号分隔

-m mark

    --mark N            //是否包含标记号N

-m owner

    --uid-owner 500   //用来匹配来自本机的封包,是否为某特定使用者所产生的,可以避免服务器使用root或其它身分将敏感数据传送出

    --gid-owner O     //用来匹配来自本机的封包,是否为某特定使用者群组所产生的

    --pid-owner 78    //用来匹配来自本机的封包,是否为某特定进程所产生的

    --sid-owner 100   //用来匹配来自本机的封包,是否为某特定连接(Session ID)的响应封包

ACTION 目标策略(TARGET)

-j|--jump TARGET     # 跳转到目标规则,可能加载target extension

-g|--goto  CHAIN     # 跳转到指定链,不再返回

ACCEPT               # 规则验证通过,不再检查当前链的后续规则,直接跳到下一个规则链。

DROP                 # 直接丢弃数据包,不给任何回应。中断过滤。

REJECT               # 拒绝数据包通过,会返回响应信息。中断过滤。

--reject-with  tcp-reset|port-unreachable|echo-reply

LOG                  # 在/var/log/messages文件中记录日志,然后将数据包传递给下一条规则。详细位置可查看/etc/syslog.conf配置文件

--log-prefix "INPUT packets"

ULOG                 # 更广范围的日志记录信息

QUEUE                # 防火墙将数据包移交到用户空间,通过一个内核模块把包交给本地用户程序。中断过滤。

RETURN               # 防火墙停止执行当前链中的后续规则,并返回到调用链。主要用在自定义链中。

custom_chain         # 转向自定义规则链

DNAT                 # 目标地址转换,改变数据包的目标地址。外网访问内网资源,主要用在PREROUTING。完成后跳到下一个规则链

--to-destination ADDRESS[-ADDRESS][:PORT[-PORT]]

SNAT                 # 源地址转换,改变数据包的源地址。内网访问外网资源。主机的IP地址必须是静态的,主要用在POSTROUTING。完成后跳到下一个规则链。

--to-source ADDRESS[-ADDRESS][:PORT[-PORT]]

MASQUERADE           # 源地址伪装,用于主机IP是ISP动态分配的情况,会从网卡读取主机IP。直接跳到下一个规则链。

--to-ports 1024-31000

REDIRECT             # 数据包重定向,主要是端口重定向,把包分流。能会用这个功能来迫使站点上的所有Web流量都通过一个Web高速缓存,比如Squid。

--to-ports 8080

MARK                 # 打防火墙标记。继续匹配规则。

--set-mark 2

MIRROR               # 发送包之前交换IP源和目的地址,将数据包返回。中断过滤。

state TCP链接状态

NEW           第一次握手,要起始一个连接(重设连接或将连接重导向)

ESTABLISHED   数据包属于某个已经建立的连接。第二次和第三次握手   (ack=1)

INVALID       数据包的连接编号(Session ID)无法辨识或编号不正确。如SYN=1 ACK=1 RST=1

RELATED       表示该封包是属于某个已经建立的连接,所建立的新连接。

如有些服务使用两个相关的端口,如FTP,21和20端口一去一回,FTP数据传输(上传/下载)还会使用特殊的端口,

只允许NEW和ESTABLISHED进,只允许ESTABLISHED出可以阻止反弹式木马。

使用示例

iptables -F           //删除iptables现有规则

iptables -L [-v[vv] -n]   //查看iptables规则

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE	 //在POSTROUTING链尾添加一条规则

iptables -t nat -A POSTROUTING -s 20.20.20.0/24 -o eth1 -j MASQUERADE    //在POSTROUTING链中插入为第2条规则

iptables -t nat -R POSTROUTING 2 -s 40.40.40.40 -o eth1 -j MASQUERAD     //替换修改第二条规则

iptables -t nat -D POSTROUTING 2      //删除POSTROUTING链中第2条规则

iptables -t nat -P POSTROUTING DROP    //设置默认策略为DROP

//限制ping 192.168.146.3主机的数据包数,平均2/s个,最多不能超过3个

iptables -A INPUT -i eth0 -d 192.168.146.3 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 3 -j ACCEPT 

//限制SSH连接速率(默认策略是DROP)

iptables -I INPUT 1 -p tcp --dport 22 -d 192.168.146.3 -m state --state ESTABLISHED -j ACCEPT

iptables -I INPUT 2 -p tcp --dport 22 -d 192.168.146.3 -m limit --limit 2/minute --limit-burst 2 -m state --state NEW -j ACCEPT 

//防止syn攻击(限制syn的请求速度)

iptables -N syn-flood

iptables -A INPUT -p tcp --syn -j syn-flood

iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN

iptables -A syn-flood -j DROP 

//防止syn攻击(限制单个ip的最大syn连接数)

iptables –A INPUT –i eth0 –p tcp --syn -m connlimit --connlimit-above 15 -j DROP 

iptables -I INPUT -p tcp -dport 22 -m connlimit --connlimit-above 3 -j DROP   //利用recent模块抵御DOS攻击

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH   //单个IP最多连接3个会话

Iptables -I INPUT -p tcp --dport 22 -m state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP  //只要是新的连接请求,就把它加入到SSH列表中。5分钟内你的尝试次数达到3次,就拒绝提供SSH列表中的这个IP服务。被限制5分钟后即可恢复访问。

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP    //防止单个IP访问量过大

iptables –A OUTPUT –m state --state NEW –j DROP  //阻止反弹木马

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT   //防止ping攻击

参考原文:https://www.cnblogs.com/hftian/p/8280841.html

iptables简介及常用命令的更多相关文章

  1. centos 7 防火墙firewall 与iptables 的一些常用命令

    CentOS 7的防火墙配置跟以前版本有很大区别,CentOS7这个版本的防火墙默认使用的是firewall,与之前的版本使用iptables不一样. firewall常用命令 service fir ...

  2. Git的原理简介和常用命令

    Git和SVN是我们最常用的版本控制系(Version Control System, VCS),当然,除了这二者之外还有许多其他的VCS,例如早期的CVS等.顾名思义,版本控制系统主要就是控制.协调 ...

  3. Docker-Compose简介及常用命令

    1.Docker-Compose简介 Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排.Docker-Compose将所管理的容器分为三层,分别是 ...

  4. Nginx学习——简介及常用命令

    Nginx简介 Nginx是什么 同Apache一样,都是一种WEB服务器 基于REST架构风格,以统一资源描述符(URI)或者统一资源定位符(URL)作为沟通依据,通过HTTP协议提供各种网络服务 ...

  5. Phoneix(一)简介及常用命令

    一.简介 Apache Phoneix是运行在HBase之上的高性能关系型数据库,通过Phoneix可以像使用jdbc访问关系型数据库一样访问HBase. Phoneix操作的表以及数据存储在HBas ...

  6. adb 简介与常用命令

    1. abd 简介 2. adb 常用命令 1. abd 简介 adb 的全称为 Android Debug Bridge,就是起到调试桥的作用. 借助 adb 工具,我们可以管理设备或手机模拟器的状 ...

  7. Linux文件系统简介及常用命令

    在linux系统中一切皆是文件,下面简要总结了一下linux文件系统中分区类型.文件系统类型以及常用命令. 一.分区类型1.主分区:最多只能有四个2.扩展分区:只能有一个,也可以看做是主分区的一种.即 ...

  8. hadoop(十一)HDFS简介和常用命令介绍

    HDFS背景 随着数据量的增大,在一个操作系统中内存不了了,就需要分配到操作系统的的管理磁盘中,但是不方便管理者维护,迫切需要一种系统来管理多态机器上的文件,这就是分布式文件管理系统. HDFS的概念 ...

  9. Linux简介及常用命令使用4--linux高级命令与技巧

    top 几个磁盘fdisk -l 磁盘空间 df -lhdf -al 查看进程:ps -ef"grep java杀死进程:kill -9 进程号 more中过滤 more xxx |grep ...

随机推荐

  1. PAT_A1089#Insert or Merge

    Source: PAT A1089 Insert or Merge (25 分) Description: According to Wikipedia: Insertion sort iterate ...

  2. 嵌入式C语言4.2 C语言内存空间的使用-指针与修饰符:const,volatile,typedef

    const:变量,只读[不能变] 内存属性: 1. 内存操作的大小 2.内存的变化性,可写可读 char *p; const char *p;     描述字符串,p指向的内容是只读的,不可再次修改 ...

  3. CMDB 调研报告

    基础概念 1.什么是CMDB CMDB——配置管理数据库,通过识别.控制.维护,检查企业的IT资源,从而高效控制与管理不断变化的IT基础架构与IT服务,并为其它流程,例如事故管理.问题管理.变更管理. ...

  4. redis基本介绍搭建篇

    1.redis基本介绍 1.1 redis介绍 Redis属于非关系型数据库和Memcached类似,redis也是一个key-value型存储系统. 但redis支持的存储value类型相对更多,包 ...

  5. 最新版本IntelliJ IDEA 2019.3 (Ultimate Edition) 激活及汉化

    附:官网idea下载地址 以下有两种破解方式,推荐方式二: =============================破解方式1==================================== ...

  6. Eureka 系列(03)Spring Cloud 自动装配原理

    Eureka 系列(03)Spring Cloud 自动装配原理 [TOC] 0. Spring Cloud 系列目录 - Eureka 篇 本文主要是分析 Spring Cloud 是如何整合 Eu ...

  7. 桩服务开发2---与python结合

    from mitmproxy import httpdef request(flow): request_data=flow.request print(request_data) 进入py目录,在终 ...

  8. Stm32 控制1.44寸液晶显示图片 基于stm32f051k8u6

    在线图片转BMP格式:https://app.xunjiepdf.com/img2bmp 一.使用工具对图片生成字符数组 1. 使用1.44寸的液晶其像素是128*128的16位真彩,则需要把图片调整 ...

  9. 前端学习(十七)js数组(笔记)

    数组:        1.    var arr=[1,2,3,4]; 2.    var arr=new Array(1,2,3,4,5); 区别:        1.写法不一样,选择第一种(好写) ...

  10. 前端学习(八)sass和bootstrap(笔记)

    less sass 和less基本上70%差不多(书写方式不一样) sass功能更多一点 1.定义一个变量 $b:blue; div{width:100px;height:100px; backgro ...