框架02--Iptables实际应用

目录

• Iptables实际应用
  • 一、安装iptables
    • 1. 安装iptables软件包
    • 2. 命令格式
    • 3. 参数
  • 二、iptables动作
  • 三、Iptables基本的条件匹配(协议)
  • 四、-s 源地址、-d 目标地址
  • 五、--sport源端口、--dport 目标端口
  • 六、描述规则的基本参数（-i、-o、-m、-j 、-m）
  • 七、基础案例
  • 八、模块
  • 九、拓展案例

Iptables实际应用

一、安装iptables

1. 安装iptables软件包

1.1 安装命令
[root@localhost ~]# yum install iptables*

1.2 启动Iptables
[root@localhost ~]# yum install iptables*

1.3 关闭firewalld
iptables与firewalld一起使用，会产生冲突问题，所以关闭firewalld。
[root@localhost ~]# systemctl disable --now firewalld

2. 命令格式

格式：iptables -t [表] [选项][链] [协议] [条件] [动作]

3. 参数

参数：
	-t：			指定操作的表
	-L, --list		列出当前的规则
	-v			显示数据包和数据包大小
	-n			不反解地址
	-A, --append		追加一条规则到链中
	-I, --insert		插入一条规则，插入到顶部
	-F, --flush		清空
	-Z, --zero		清空计数器（  包数量 、包大小）

	-D, --delete		删除链中的规则

	-R, --replace		修改
	-S, --list-rules	列出所有的规则

	-N, --new-chain		创建一个自定义 链
	-X, --delete-chain	删除一个自定义链
	-P, --policy		指定链的默认策略

二、iptables动作

ACCEPT(accept,接受)		将数据包放行，进行完此处理动作后，将不再比对其它规则，直接跳往下一个规则链。
	'''匹配了第一个条件后，下面的条件就不匹配了'''
REJECT(reject，拒绝) 		拦阻该数据包，并传送数据包通知对方。
DROP(drop，中断停止) 	   丢弃包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。
REDIRECT(redirect，重定向)	将包重新导向到另一个端口，进行完此处理动作后，将会继续比对其它规则。

三、Iptables基本的条件匹配(协议)

协议匹配：
	TCP(http)
	UDP
	ICMP(ping)
	ALL

四、-s 源地址、-d 目标地址

-s 源地址（source）
	源地址：发送请求的地址，即指定数据包的源地址。
	1.参数可以使IP地址、网络地址、主机名
		例如：-s 192.168.1.101指定IP地址
		例如：-s 192.168.1.10/24指定网络地址
	2.如果不指定-s参数，就代表所有地址
	3.还可以使用–src或者–source

-d 目的地址（destination）
	目标地址  : 访问的地址
	1.参数和-s相同
	2.还可以使用–dst或者–destination

五、--sport源端口、--dport 目标端口

--sport 源端口（source port）
	源端口：发送请求的端口
	1.在缺少具体端口号情况下，将匹配所有端口
	2.可以指定端口号或者端口名称，例如”–sport 22″与”–sport ssh”。
	3.从性能上讲，使用端口号更好
	4.使用冒号可以匹配端口范围，如”–sport 22:100″
	5.还可以使用”–source-port”

--dport 目标端口（destination port）
	目标端口：访问的端口
	1.参数和–sport类似
	2.还可以使用”–destination-port”

六、描述规则的基本参数（-i、-o、-m、-j 、-m）

-j 执行目标（jump to target）----# 转发动作
	1.-j指定了当与规则(Rule)匹配时如何处理数据包
	2.可能的值是ACCEPT, DROP, QUEUE, RETURN，MASQUERADE

-i 输入接口（input interface）
	1.-i指定了要处理来自哪个接口的数据包
	2.这些数据包即将进入INPUT, FORWARD, PREROUTE链
		例如：-i eth0指定了要处理经由eth0进入的数据包
			如果不指定-i参数，那么将处理进入所有接口的数据包
			如果出现! -i eth0，那么将处理所有经由eth0以外的接口进入的数据包
			如果出现-i eth+，那么将处理所有经由eth开头的接口进入的数据包
	3.还可以使用–in-interface参数

-o 输出（out interface）
	1.-o指定了数据包由哪个接口输出
	2.这些数据包即将进入FORWARD, OUTPUT, POSTROUTING链
		如果不指定-o选项，那么系统上的所有接口都可以作为输出接口
		如果出现! -o eth0，那么将从eth0以外的接口输出
		如果出现-i eth+，那么将仅从eth开头的接口输出
	3.还可以使用–out-interface参数

-m : 指定模块
-p ：指定协议
	例如： -p TCP
	1.指定规则的协议，如tcp, udp, icmp等，可以使用all来指定所有协议。
	2.如果不指定-p参数，则默认是all值。这并不明智，请总是明确指定协议名称。
	3.可以使用协议名(如tcp)，或者是协议值（比如6代表tcp）来指定协议。
	4.还可以使用–protocol参数代替-p参数

七、基础案例

案例1：只允许22端口可以访问，其他端口全部无法访问。
iptables -t filter -A INPUT -p TCP --dport 22  -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

案例2：只允许22，80，443端口可以访问，其他端口全部无法访问。
iptables -t filter -A INPUT -p TCP --dport 22  -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 80  -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 443  -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

案例3：只允许22，80，443端口可以访问，其他端口全部无法访问，但是本机可以访问百度。 

案例4：要求使用192.168.15.81能够通过22端口链接，但是其他的不行
iptables -t filter -A INPUT -p TCP -d 192.168.15.81 --dport 22  -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

案例5：只允许192.168.15.71能够通过22端口链接，其他的不行。
iptables -t filter -A INPUT -p  TCP -s 192.168.15.71  -d 192.168.15.81 --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

案例6：要求192.168.15.71对外部不可见
iptables -t filter -A INPUT -p TCP -d 192.168.15.71 -j DROP

案例7：要求使用eth0网卡的所有请求全部拒绝
iptables -t filter -A INPUT -p TCP -i etho -j DROP

使用172.16.1.71登录进来的窗口，不允许访问百度。
iptables -t filter -I OUTPUT -p TCP -o eth1 -j DROP

案例8：要求访问服务器的8080端口转发至80端口
iptables -t nat -A PREROUTING -p TCP --dport 8080 -j REDIRECT --to-port 80

案例9：要求只允许windows通过ssh连接192.168.15.81，其他的拒绝
iptables -t filter -A INPUT -p TCP -s 192.168.15.1 -d 192.168.15.81 --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 22 -j DROP

知识储备：
	查看本机端口占用的命令：
		netstat -nutlp

八、模块

拓展iptables的功能的。

-m : 指定模块

1、连续匹配多个端口（multiport）

	--dports  : 指定多个端口(不同端口之间以逗号分割，连续的端口使用冒号分割)。

2、指定一段连续的ip地址范围(iprange)
    --src-range from[-to]:	源地址范围
    --dst-range from[-to]	目标地址范围

3、匹配指定字符串(string)
    --string pattern	# 指定要匹配的字符串
    --algo {bm|kmp}		# 匹配的查询算法

4、根据时间段匹配报文(time)
    --timestart hh:mm[:ss]		# 开始时间
    --timestop hh:mm[:ss]		# 结束时间
    --monthdays day[,day...]	# 指定一个月的某一天
    --weekdays day[,day...]		# 指定周 还是  周天 

5、禁ping, 默认本机无法ping别人 、别人无法ping自己
	--icmp-type {type[/code]|typename}
		echo-request  (8) 请求
		echo-reply    (0) 回应

6、限制链接数，并发连接数（connlimit）
    --connlimit-upto n		#  如果现有连接数小于或等于  n  则 匹配
    --connlimit-above n		#  如果现有连接数大于n 则匹配

7、针对 报文速率 进行限制。 秒、分钟、小时、天。

	--limit rate[/second|/minute|/hour|/day] # 报文数量
     --limit-burst number  # 报文数量（默认：5）

九、拓展案例

1、要求将22,80,443以及30000-50000之间所有的端口向外暴露，其他端口拒绝

	iptables -t filter -A INPUT -p TCP -m multiport --dports 22,80,443,30000:50000 -j ACCEPT
	iptables -f filter -A INPUT -p TCP -j DROP

2、要求访问数据包中包含HelloWorld的数据不允许通过。
	iptables -t filter -A INPUT -p TCP -m string --string "HelloWorld" --algo kmp -j DROP

3、要求192.168.15.1 - 192.168.15.10之间的所有IP能够连接192.168.15.81，其他拒绝
	iptables -t filter -A INPUT -p TCP -m iprange --src-range 192.168.15.1-192.168.15.10 -j ACCEPT
	iptables -f filter -A INPUT -p TCP -j DROP

4、要求每天的12到13之间，不允许访问
	iptables -t filter -A INPUT -p TCP -m time  --timestart 4:00   --timestop 5:00 -j DROP

	必须使用UTC时间

5、要求别人不能ping本机，但是本机可以ping别人
	iptables -t filter -A INPUT -p ICMP -m icmp --icmp-type "echo-request" -j DROP

6、要求主机连接最多有2个
	iptables -t filter -A INPUT -p TCP --dport 22 -m connlimit --connlimit-above 2 -j DROP

7、要求限制速率在500k/s左右
	iptables -t filter -A INPUT -p TCP -m limit 333/s -j ACCEPT
	iptables -t filter -A INPUT -p TCP -j DROP