忧郁_小刚 / LINUX / iptables应用汇总

0 0

   

iptables应用汇总

2012-03-02  忧郁_小刚

iptables应用汇总

分类: <网络安全> 563人阅读 评论(0) 收藏 举报

本文仅对iptables的使用做一些总结,如果您对原理感兴趣,请参阅其它文档,谢谢!

1. 匹配方式

   内建匹配方式:

   1.1 匹配网络接口 -i/-o,如 -i eth0 -o eth1
   1.2 匹配协议 -p,如 -p tcp、-p udp、-p icmp、-p all
   1.3 匹配地址 -s/-d,如 -s 192.168.1.188 -d 202.96.134.133、-s 192.168.1.0/24、-d www.google.cn (名称实际上会域名解析出地址)
   1.4 匹配端口 --sport/--dport,如 --sport 1024、--dport 21:25(最多匹配两个)

   内建匹配方式的高级应用:

   -p tcp --dport 21 --syn --m state --state NEW -j ACCEPT
   -p tcp --dport 21 --tcp-flags ALL SYN,FIN -j DROP
   -p tcp --dport 21 --tcp-flags SYN,FIN SYN,FIN -j DROP
   -p imcp --icmp-type 8 -j ACCEPT

   模块匹配方式:

   1.5 匹配MAC地址 -m mac --mac-source/--mac-dest,如 -m mac --mac-source 00-21-5D-A5-87-8C
   1.6 匹配IP地址范围 -m iprange --src-range/--dst-range,如 -m iprange --src-range 192.168.1.1-192.168.1.254
   1.7 匹配多个端口 -m multiport --sports/--dports/--ports,如 -m multiport --sports 21,25,80,110(最多匹配15个)
   1.8 匹配会话状态 -m state --state,如 -m state --state NEW/ESTABLISHED/RELATED/INVALID
   1.9 匹配TTL -m ttl --ttl-eq/--ttl-lt/--ttl-gt, 如 -m ttl --ttl-eq 64 (WINDOWS)
   1.10 匹配包类型 -m pkttype --pkt-type,如 -m pkttype --pkt-type unicast/multicast/boradcast
   1.11 匹配包长度 -m length --length,如 -m length --length 60[:80] -p imcp --icmp-type 8
   1.12 匹配字符串 -m string --algo bm --string "system32"
   1.13 匹配发包速率 -m limit --limit 6/m --limit-burst 10
   1.14 匹配最近记录 -m recent 参数比较多,举例中说明
        recent模块默认只能记录100个IP来源,且为每个来源记录20笔记录,可以使用下面的语句修改
        modprobe ipt_recent ip_list_tot=16384
        modprobe ipt_recent ip_pkt_list_tot=50
        或 modprobe ipt_recent ip_list_tot=16384 ip_pkt_list_tot=50

   综合应用举例:

   打开本机的SSH和WEB服务
   IPT="/sbin/iptables -t filter"
   $IPT -F
   $IPT -X (只有先清除所有规则,才能清用户链)
   $IPT -Z (重置计数器)
   $IPT -P OUTPUT ACCEPT
   $IPT -P INPUT DROP
   $IPT -A INPUT -p all -m state --state INVALID DROP
   $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
   $IPT -A INPUT -p tcp -m multiport --dports 22,80 [-m state --state NEW --syn] -j ACCEPT

   仅允许长度为168的imcp ping包进来
   $IPT -A INPUT -p icmp --icmp-type 8 -m length --length 140 -j ACCEPT (168-28=140)
   $IPT -A INPUT -p icmp -j DROP

   控制本机接收imcp ping包的频率,如果超过每分钟10个,则以后每分钟仅允许6个,
   如果发送端停止发包,则在10*6=60s后会完全解除这个限制
   $IPT -A INPUT -p icmp --icmp-type 8 -m limit --limit 6/m --limit-burst 10 -j ACCEPT
   $IPT -A INPUT -p icmp -j DROP

   接下来,使用recent模块完成上面的功能
   $IPT -A INPUT -p icmp --icmp-type 8 -m recent --name icmp_db --rcheck --second 60 --hitcount 6 -j DROP
   $IPT -A INPUT -p icmp --icmp-type 8 -m recent --name icmp_db --set
   $IPT -A INPUT -p icmp --icmp-type 8 -j ACCEPT
   这样将在 /proc/net/xt_recent/目录下建立 icmp_db数据库,可以使用cat icmp_db查看内容
   如果只要来源不停止发包,就让他永远无法通法,可以使用--update

   锁定PortScan攻击者IP,使其在10分钟之内不得再访问本机任何服务;
   modprobe ipt_recent ip_list_tot=1024 ip_pkt_list_tot=50
   $IPT -A INPUT -p tcp --syn -m recent --name PortScan --update --second 600 --hitcount 10 -j DROP
   $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
   $IPT -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 22,25,110 -j ACCEPT
   $IPT -A INPUT -p tcp --syn -m recent --name PortScan --set
   也要以考虑改变规则的位置来影响防御效果;

   注意:规则的排列顺序也是很重要的,请将匹配频率最高的移动前面,可以iptables -L -n -v查看;


2. 处理方法

   2.1 RETURN 
   只能用于用户链中,用于返回父链,如:

   $IPT -N ICMP
   $IPT -A ICMP -p icmp -j DROP
   $IPT -A ICMP -p all -j RETURN

   $IPT -A INPUT -p icmp -j ICMP
   $IPT -A INPUT -p all -j ACCEPT

   2.2 REJECT 
   -j REJECT --reject-with icmp-net-unreachable/icmp-host-unreachable/icmp-port-unreachable

   2.3 LOG

   -j LOG 默认会保存到 /var/log/message

   在/etc/syslog.conf后加入一行
   kern.=alert /var/log/netfilter
   然后这样使用
   -j LOG --log-level alert [--log-prefix "ICMP-PREFIX"]

   2.4 REDIRECT
   可以将包转给自己的特定端口,下面的例子用于代理服务器

   iptables -t nat -A PREROUTING -d 10.1.1.201 -p tcp --dport 80 -j REDIREDT --to-port 3124


3. 路由功能
   系统默认是不打开路由功能的,下面提供两种方法:
  
   方法一:编辑/etc/sysctl.conf,修改 net.ipv4.ip_forward=1(默认是0)
   方法二:echo "1" > /proc/sys/net/ipv4/ip_forward

   $IPT -P FORWARD DROP
   $IPT -A FORWARD -s 192.168.1.0/24 -j ACCEPT
   $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

4. NAT功能

   IPT="iptables -t nat"
   $IPT -F
   
   4.1 一对多NAT(IP共享)
   $IPT -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 10.0.0.201

   4.2 多对多NAT
   $IPT -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 10.0.0.201-10.0.0.205

   4.3 一对一NAT
   $IPT -A POSTROUTING -o eth1 -s 192.168.1.201 -j SNAT --to 10.0.0.201
   $IPT -A PREROUTING -i eth1 -d 10.0.0.201 -j DNAT --to 192.168.1.201

   4.4 NAPT
   $IPT -A PREROUTING -i eth1 -d 10.0.0.201 -p tcp --dport 80 -j DNAT --to 192.168.1.201:80
   $IPT -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 10.0.0.201

   4.5 负载均衡
   $IPT -A PREROUTING -i eth1 -d 10.0.0.201 -j DNAT --to 192.168.1.201-192.168.1.205
   
   
5. “连接追踪”

   当我们使用-m state模块功能的时候,iptables除了装载xt_state.ko模块外,还装载ip_conntrack.ko,接着它会建立
   /proc/net/ip_conntrack数据库
   保存各种超时的文件在 /proc/sys/net/ipv4/netfilter/*
   如 ip_conntrack_tcp_timeout_syn_sent 120s
      ip_conntrack_tcp_timeout_syn_recv 60s
      ip_conntrack_tcp_timeout_syn_established 432000s
      ip_conntrack_udp_timeout 30s
      ip_conntrack_udp_timeout_stream 180s
      ip_conntrack_ICMP_timeout 30s

   追踪的最大连接数 /proc/sys/net/ipv4/ip_conntrack_max
   系统默认为 最大内存(K)/16K/(系统位数/32),若 512M内存,则默认的最大连接数为 32768
   要修改这个限制,必须以手动方式加载 ip_contrack模块,命令为:
   modprobe ip_conntrack hashsize=16384
   每个hashsize可容纳8条连接,那么修改后连接数为16384*8=131072

   每条连接消耗内存为228B,可以查看/var/log/message ip_conntrack加载日志
   131072*228/(1024*1024)=28.5M

   可以使用raw table功能来取消某些连接的追踪功能,如下
   iptables -t raw -A PREROUTING -i eth0 -o eth1 -p tcp --dport 25 -j NOTRACK
   iptables -t raw -A PREROUTING -i eth1 -o eth0 -p tcp --sport 25 -j NOTRACK
   这样将使包跳过NAT和ip_contrack模块,造成不能NAT功能;

   对于复杂的通讯协议,必须加载扩展模块,如ftp,必须加载
   modprobe ip_conntrack_ftp
   modprobe ip_nat_ftp


6. DDOS攻击防御

   调整系统核心参数 /etc/sysctl.conf

   6.1 net.ipv4.tcp_synack_retries=3(默认为5)
       echo "3" > /proc/sys/net/ipv4/tcp_retries

   6.2 net.ipv4.tcp_max_syn_backlog=2046(默认为1024)
       echo "2048" > /proc/sys/net/ipv4/tcp_max_tcp_backlog

   6.3 net.ipv4.tcp_syncookies=1(默认为0)
       echo "1" > /proc/sys/net/ipv4/tcp_syncookies

   一个有效的防御脚本:

   #!/bin/bash

   IPT="/sbin/iptables -t filter"
   
   modprobe ipt_recent ip_list_tot=16384

   $IPT -F
   $IPT -X
   $IPT -Z

   $IPT -N SYN_FLOOD
   $IPT -A SYN_FLOOD -p tcp --syn --dport 80 -m recent --name synflood_db --update --second 120 --hitcount 1 -j ACCEPT
   $IPT -A SYN_FLOOD -p tcp --syn --dport 80 -m recent --name synflood_db --set
   $IPT -A SYN_FLOOD -p tcp --syn --dport 80 -j DROP

   $IPT -A INPUT -p tcp --syn --dport 80 -m limit --limit 1/m --limit-burst 300 -j ACCEPT
   $IPT -A INPUT -p tcp --syn --dport 80 -j SYN_FLOOD

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    猜你喜欢

    0条评论

    发表

    请遵守用户 评论公约

    类似文章
    喜欢该文的人也喜欢 更多