iptables 扩展匹配 第三章
获取帮助:
centos 6 :man iptables
centos 7: man iptables-extensions
扩展匹配:
隐式扩展:当使用-p指定某一协议之后,协议自身所支持的扩展就叫做隐式扩展、使用[tcp|udp|icmp]指定某特定协议后、自动能对协议进行扩展。可省略 -m 选项
-p tcp
--dport PORT [-PORT];目标端口匹配
--sport PORT [-PORT] :源端口
--tcp-flags:
SYN ,ACK ,FIN ,RST ,PSH ,URG
--syn : #简写,新建链接时第一次请求 -p udp
--dport
--sport -p icmp
--icmp-type
: echo-reply
: echo-request
#只允许本机ping ,不响应 ping 包
iptables -I INPUT -d 192.168.100.230 -p icmp --icmp-type -j ACCEPT
[root@nginx etc]# iptables -I INPUT -d 10.2.61.22 -p tcp --dport 22 -j ACCEPT
[root@nginx etc]#
[root@nginx etc]# iptables -I OUTPUT -s 10.2.61.22 -p tcp --sport 22 -j ACCEPT
[root@nginx etc]# iptables -L -n -v
Chain INPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 tcp dpt:
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22
ACCEPT all -- ens192 * 0.0.0.0/ 0.0.0.0/ Chain FORWARD (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ tcp spt:
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/
ACCEPT all -- * ens192 0.0.0.0/ 0.0.0.0/
[root@nginx etc]# iptables -I INPUT -d 10.2.61.22 -p tcp --dport 22:8080 -j ACCEPT #多个端口
[root@nginx etc]# iptables -A INPUT -d 10.2.61.22 -p icmp --icmp-type -j ACCEPT #INPUT 允许应答报文 ,只能自己ping 别人,不响应ping
[root@nginx etc]# iptables -A OUTPUT -s 10.2.61.22 -p icmp --icmp-type -j ACCEPT #OUTPUT 允许请求报文
显示扩展:必须要明确指定的扩展模块
-m
1.multiport 扩展
.multiport 扩展
以离散方式定义多端口匹配,最多15 个端口
[!] --source-ports,--sports port[,port|,port:port]...#指明多个源端口
[!] --destination-ports,--dports port[,port|,port:port]...#指明多个目标端口 [!] --ports port[,port|,port:port]... #同时匹配源和目的端口 列子: 同时限制22, 端口
iptables -I INPUT -s 192.168.0.0/ -d 192.168.100.230 -p tcp -m multiport --dports , -j ACCEPT
[root@nginx /]# iptables -I INPUT -d 10.2.61.22 -p tcp -m multiport --dports 22,80 -j ACCEPT
[root@nginx /]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/ 10.2.61.22 multiport dports ,80
[root@nginx /]# iptables -I OUTPUT -s 10.2.61.22 -p tcp -m multiport --sports 22,80 -j ACCEPT
[root@nginx /]# iptables -L -n -v
Chain INPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports ,
192K ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 tcp dpts::
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 tcp dpt:
ACCEPT icmp -- * * 0.0.0.0/ 10.2.61.22 icmptype Chain FORWARD (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
4 544 ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/0 multiport sports 22,80
463K ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ tcp spt:
ACCEPT icmp -- * * 10.2.61.22 0.0.0.0/ icmptype
[root@nginx /]#
2.iprange 扩展
.iprange 扩展
指明连续的IP 地址范围 ,一般不能扩展为整个网络 [!] --src-range from[-to] #连续的源地址范围
[!] --dst-range from[-to] #连续的目的地址范围
iptables -I INPUT -d 192.168.100.230 -p tcp -m multiport --dports :,, -m iprange --src-range 192.168.100.2-192.168.100.199 -j ACCEPT
iptables -I OUTPUT -s 192.168.100.230 -p tcp -m multiport --sports :,, -m iprange --dst-range 192.168.100.2-192.168.100.199 -j ACCEPT
[root@nginx ~]# iptables -I INPUT -d 10.2.61.22 -p tcp -m multiport --dports 8080,8090 -m iprange --src-range 10.2.61.1-10.2.61.100 -j ACCEPT #地址范文在一个 C 段中
[root@nginx ~]# iptables -I OUTPUT -s 10.2.61.22 -p tcp -m multiport --sports 8080,8090 -m iprange --dst-range 10.2.61.1-10.2.61.100 -j ACCEPT
3.string 扩展
.string 扩展
检查报文中出现的字符串
--algo {bm|kmp}
bm = Boyer-Moore,
kmp = Knuth-Pratt-Morris --from offset #左偏移
--from offset #右偏移
[!] --string pattern iptables -I OUTPUT -m string --algo bm --string 'test' -j LOG
iptables -A INPUT -p tcp --dport -m string --algo bm --string 'GET /index.html' -j LOG
iptables -I OUTPUT -s 192.168.100.150 -m string --algo bm --string 'test' -j REJECT [root@nginx ~]# iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string 'GET /' -j LOG
[root@nginx ~]# tail -f /var/log/messages
Feb :: nginx systemd-logind: New session of user root.
Feb :: nginx systemd: Starting Session of user root.
Feb :: nginx systemd: Started Session of user root.
Feb :: nginx systemd: Starting Session of user root.
Feb :: nginx systemd-logind: Removed session .
Feb :: nginx systemd: Started Session of user root.
Feb :: nginx systemd-logind: New session of user root.
Feb :: nginx systemd: Starting Session of user root.
Feb 19 03:53:52 nginx kernel: IN=ens192 OUT= MAC=00:0c:29:a9:72:71:00:0c:29:73:98:2f:08:00 SRC=10.2.61.21 DST=10.2.61.22 LEN=114 TOS=0x00 PREC=0x00 TTL=64 ID=59396 DF PROTO=TCP SPT=36804 DPT=80 WINDOW=229 RES=0x00 ACK PSH URGP=0
Feb 19 03:56:36 nginx kernel: IN=ens192 OUT= MAC=00:0c:29:a9:72:71:00:0c:29:73:98:2f:08:00 SRC=10.2.61.21 DST=10.2.61.22 LEN=114 TOS=0x00 PREC=0x00 TTL=64 ID=7382 DF PROTO=TCP SPT=36806 DPT=80 WINDOW=229 RES=0x00 ACK PSH URGP=0
4.time 扩展 :定时执行策略
.time 扩展 :定时执行策略
-m time --weekdays Sa,Su -m time --datestart -- --datestop -- -m time --datestart --01T17: --datestop --01T23:: -m time --timestart : --timestop : -m time --weekdays Fr --monthdays ,,,,,, -m time --weekdays Mo --timestart : --timestop :
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] #起始日期 --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]] #结束日期 #限制在某个时间段内拒绝某些请求
iptables -IINPUT -d 192.168.100.230 -p tcp --dport -m time --timestart : --timestop : -j REJECT
#一周内固定时间限制
iptables -I FORWARD -s 172.17.1.132 -d 192.168.1.119 -m time --timestart : --timestop : --weekdays Wed,Thu -j DROP [root@nginx ~]# iptables -I INPUT -p tcp -d 10.2.61.22 --dport 80 -m time --timestart 20:00 --timestop 06:00 -j REJECT #晚上八点早上6点禁止访问
5.connlimit #并发连接限制 ,单个地址或者地址块
[!] --connlimit-above n #链接上限
--connlimit-upto n #链接数量小于 n
iptables -A INPUT -p tcp --syn --dport -m connlimit --connlimit-above -j REJECT
iptables -I INPUT -d 192.168.100.230 -p tcp --syn --dport -m connlimit --connlimit-above -j REJECT
[root@nginx ~]# iptables -L -n -v
Chain INPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
3 152 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 #conn src/32 > 3 reject-with icmp-port-unreachable
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp dpt:
REJECT tcp -- * * 0.0.0.0/ 10.2.61.22 tcp dpt: TIME from :: to :: UTC reject-with icmp-port-unreachable
REJECT tcp -- * * 0.0.0.0/ 10.2.61.22 tcp dpt: TIME from :: to :: UTC reject-with icmp-port-unreachable
LOG tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp dpt: STRING match "GET /" ALGO name bm TO LOG flags level
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports , source IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports , source IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports , source IP range 10.0.0.1-10.0.0.255
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports : source IP range 10.0.0.1-10.0.0.255
tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports
ACCEPT icmp -- * * 0.0.0.0/ 10.2.61.22 icmptype Chain FORWARD (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports , destination IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports , destination IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports , destination IP range 10.0.0.1-10.0.0.255
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports : destination IP range 10.0.0.1-10.0.0.255
586K ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports ,
463K ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ tcp spt:
ACCEPT icmp -- * * 10.2.61.22 0.0.0.0/ icmptype
[root@nginx ~]# iptables -I INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT #限制ssh 新建链接数量为3 ,首先需要有放行的策略 ,否则拒绝了 -.-
[root@nginx ~]# iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT #插入序号为1 的规则
6.limit 扩展
基于收发报文的速率做检查
令牌桶过滤器:
--limit rate[/second|/minute|/hour|/day]
--limit-burst number #限制超过这个值 策略开始进行匹配计数 iptables -A INPUT -d 192.168.100.230 -p icmp --icmp-type -m limit --limit-burst --limit /minute -j ACCEPT
#限制 icmp ping 包峰值 5 个 ,每分钟30 个。
7.state 扩展
根据链接追踪机制检查链接的状态
调整链接追踪功能所能容纳的最大链接数量
/proc/sys/net/nf_conntrack_max #追踪链接的最大限制
cat /proc/net/nf_conntrack #追踪信息
#不同协议或链接的追踪时长
/proc/sys/net/netfilter/
[root@nginx ~]# cat /proc/sys/net/netfilter/nf_conntrack_max #centos7 查看链接追中最大限制
65536
可追踪的链接状态:
NEW :新发出的请求,链接追踪模板中不存在此链接的相关信息,因此识别为第一次发起的请求
ESTABLISHED :NEW 状态后,链接追踪模板中为其建立的条目失效前期间所进行的通信状态
RELATED :相关的链接,如ftp 协议的命令链接和数据链接的关系叫做相关链接
INVALIDE :无法识别的链接 --state state
--state STATE1,STATE2
iptables -I INPUT -p tcp -d 192.168.100.230 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#对于访问本机的80 端口 ,只允许NEW 和ESTABLISHED 状态链接,访问 对于 80 端口的回应只允许回应ESTABLISHED
[root@nginx ~]# iptables -I INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
[root@nginx ~]# iptables -I OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
[root@nginx ~]# iptables -L -n -v
Chain INPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,ESTABLISHED
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp dpt: state NEW,ESTABLISHED
129K ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp dpt:
REJECT tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp dpt: flags:0x17/0x02 #conn src/ > reject-with icmp-port-unreachable
REJECT tcp -- * * 0.0.0.0/ 10.2.61.22 tcp dpt: TIME from :: to :: UTC reject-with icmp-port-unreachable
REJECT tcp -- * * 0.0.0.0/ 10.2.61.22 tcp dpt: TIME from :: to :: UTC reject-with icmp-port-unreachable
LOG tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp dpt: STRING match "GET /" ALGO name bm TO LOG flags level
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports , source IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports , source IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports , source IP range 10.0.0.1-10.0.0.255
ACCEPT tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports : source IP range 10.0.0.1-10.0.0.255
tcp -- * * 0.0.0.0/ 10.2.61.22 multiport dports
ACCEPT icmp -- * * 0.0.0.0/ 10.2.61.22 icmptype
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp dpt:
ACCEPT icmp -- * * 0.0.0.0/ 192.168.100.230 icmptype limit: avg /min burst
ACCEPT icmp -- * * 0.0.0.0/ 10.2.61.22 icmptype limit: avg /min burst Chain FORWARD (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP packets, bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state ESTABLISHED
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ tcp spt: state ESTABLISHED
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports , destination IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports , destination IP range 10.2.61.1-10.2.61.100
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports , destination IP range 10.0.0.1-10.0.0.255
ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports : destination IP range 10.0.0.1-10.0.0.255
899K ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ multiport sports ,
463K ACCEPT tcp -- * * 10.2.61.22 0.0.0.0/ tcp spt:
ACCEPT icmp -- * * 10.2.61.22 0.0.0.0/ icmptype
ACCEPT icmp -- * * 0.0.0.0/ 0.0.0.0/
[root@nginx ~]# iptables -L -n --line-number
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED #iptables 规则匹配从上往下,NEW 状态第一次,把 ESTABLISHED 放在第一位增加后续访问的命中率,提升速度
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ tcp dpt: state NEW
ACCEPT tcp -- 0.0.0.0/ 0.0.0.0/ multiport dports ,,, state NEW
ACCEPT icmp -- 0.0.0.0/ 0.0.0.0/ icmptype
ACCEPT icmp -- 0.0.0.0/ 0.0.0.0/ icmptype Chain FORWARD (policy ACCEPT)
num target prot opt source destination Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED #OUTPUT 规则中允许进入的数据就允许出去,
ACCEPT icmp -- 0.0.0.0/ 0.0.0.0/ icmptype
[root@nginx ~]#
iptables 扩展匹配 第三章的更多相关文章
- iptables详解(6):iptables扩展匹配条件之’–tcp-flags’
如果你看过前文,那么你一定知道,前文已经对"tcp扩展模块"做过总结,但是只总结了tcp扩展模块中的"--sport"与"--dport"选 ...
- 4、iptables扩展匹配及网络防火墙功能
关于centos7 firewalld http://www.ibm.com/developerworks/cn/linux/1507_caojh/index.html 如何保存及重载规则: ...
- Linux防火墙之iptables基本匹配条件和隐式扩展匹配条件
一.iptables的基本匹配条件 上一篇博文我们说到了iptables的基本工作原理.数据报文在内核的走向和管理链.管理规则.以及查看规则.导入和导出规则:回顾请参考https://www.cnbl ...
- Linux防火墙之iptables常用扩展匹配条件(一)
上一篇博文讲了iptables的基本匹配条件和隐式匹配条件,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/12269717.html:今天在来说说iptabel ...
- iptables的扩展匹配
iptables的匹配条件 一.通用匹配:-s.-d.-p.-i.-o 二.扩展匹配 1.隐含扩展:使用-p{tcp|udp|icmp}指定某特定协议后,自动能够对协议进行扩展 -p tcp --dp ...
- Linux防火墙之iptables常用扩展匹配条件(二)
上一篇博文我们讲到了iptables的一些常用的扩展匹配模块以及扩展模块的一些选项的说明,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/12273755.htm ...
- 《Django By Example》第三章 中文 翻译 (个人学习,渣翻)
书籍出处:https://www.packtpub.com/web-development/django-example 原作者:Antonio Melé (译者注:第三章滚烫出炉,大家请不要吐槽文中 ...
- 《Entity Framework 6 Recipes》中文翻译系列 (11) -----第三章 查询之异步查询
翻译的初衷以及为什么选择<Entity Framework 6 Recipes>来学习,请看本系列开篇 第三章 查询 前一章,我们展示了常见数据库场景的建模方式,本章将向你展示如何查询实体 ...
- 《Linux命令行与shell脚本编程大全》 第三章 学习笔记
第三章:基本的bash shell命令 bash程序使用命令行参数来修改所启动shell的类型 参数 描述 -c string 从string中读取命令并处理他们 -r 启动限制性shell,限制用户 ...
随机推荐
- 数据库更新锁WITH UPDLOCK
今天因为并发的问题,又讨论了一遍.之前以为同时两个线程开启,线程A加了更新锁,线程B没有加,线程A更新后,线程B也会继续下去代码.但是今天测试了一下,原来线程A更新后(解锁),线程B将不会继续,会出现 ...
- Vue学习路线
前言:学习Vue已经两个月了,目前前端的框架用得比较多的就是Bootstrap和Vue,而Bootstrap是开发人员用得较多,因为较为简单,上手也快.Vue是目前很火的数据驱动框,17年的时候就开始 ...
- geopandas overlay 函数报错问题解决方案
前言 这篇文章依旧是基于上一篇文章(使用Python实现子区域数据分类统计)而写,此文章中介绍了使用 geopandas 的 overlay 函数对两个 GeoDataFrame 对象取相交或相异的部 ...
- mac上制作ubuntu引导盘
https://help.ubuntu.com/community/How%20to%20install%20Ubuntu%20on%20MacBook%20using%20USB%20Stick h ...
- cs231n笔记(二) 最优化方法
回顾上一节中,介绍了图像分类任务中的两个要点: 假设函数.该函数将原始图像像素映射为分类评分值. 损失函数.该函数根据分类评分和训练集图像数据实际分类的一致性,衡量某个具体参数集的质量好坏. 现在介绍 ...
- 1.11 flask
2019-1-11 16:14:34 还有一天flask剩下的就是爬虫了! 越努力,越幸运!永远不要高估自己! 别人玩,你在默默努力!上帝不会亏待你的! Flask-SQLAlchemy参考连接 ht ...
- eclipse主题之-------DevStyle
最佳因为经常熬夜 eclipse自带的背景 白色 太伤眼了 换了其他颜色但是 总感觉 差点什么 所以就去eclipse自带的插件下载中心 下载了 DevStyle 其实 有很多的 主题插件的 ...
- react中改变echart图表的形状
首先说明一点constructor中的只会渲染一次. 父组建是两个点击按钮,点击一个传过来bar,和一个line,子组件也就是当前组建通过this.props.type接收. 渲染是通过::::::t ...
- PHP(层叠样式表,写法分类),选择器的种类)
表单元素的取值怎么取 对应的属性值都有哪些? <span> 标签被用来组合文档中的行内元素. 注释:span 没有固定的格式表现.当对它应用样式时,它才会产生视觉上的变化. style ...
- JAVA 第四周学习总结
20175303 2018-2019-2 <Java程序设计>第四周学习总结 教材学习内容总结 •用extends来定义一个类的子类. •Object类是所有类的祖先类. •如果子类和父类 ...