iptables雜記（2）

阿新 • • 發佈：2018-03-18

iptables 雜記基礎

iptables擴展

使用擴展參數放通80，和22端口

[root@xx ~]# iptables -I INPUT -s 10.201.106.0/24 -d 10.201.106.130 -p tcp -m multiport --dports 22,80 -j ACCEPT
[root@xx ~]# iptables -I OUTPUT -s 10.201.106.130 -d 10.201.106.0/24 -p tcp -m multiport --sports 22,80 -j ACCEPT
[root@xx ~]# 

[root@xx ~]# iptables -L -n -v
Chain INPUT (policy DROP 1 packets, 229 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  224 15988 ACCEPT     tcp  --  *      *       10.201.106.0/24      10.201.106.130       multiport dports 22,80
 3451  253K ACCEPT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       tcp dpt:22
   27  2268 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 11 packets, 1160 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   27  2304 ACCEPT     tcp  --  *      *       10.201.106.130       10.201.106.0/24      multiport sports 22,80
 2612  309K ACCEPT     tcp  --  *      *       10.201.106.130       0.0.0.0/0            tcp spt:22
   42  3528 ACCEPT     icmp --  *      *       10.201.106.130       0.0.0.0/0            icmptype 8
[root@xx ~]# 

刪除沒用的規則：
[root@xx ~]# iptables -D INPUT 2
[root@xx ~]# iptables -D OUTPUT 2
[root@xx ~]# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  385 27742 ACCEPT     tcp  --  *      *       10.201.106.0/24      10.201.106.130       multiport dports 22,80
   27  2268 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  132 70357 ACCEPT     tcp  --  *      *       10.201.106.130       10.201.106.0/24      multiport sports 22,80
   42  3528 ACCEPT     icmp --  *      *       10.201.106.130       0.0.0.0/0            icmptype 8
[root@xx ~]#

根據IP地址範圍放通端口

[root@xx ~]# iptables -I INPUT -d 10.201.106.130 -p tcp -m multiport --dports 22:23,80 -m iprange --src-range 10.201.106.1-10.201.106.130 -j ACCEPT

[root@xx ~]# iptables -I OUTPUT -s 10.201.106.130 -p tcp -m multiport --sports 22:33,80 -m iprange --dst-range 10.201.106.1-10.201.106.130 -jACCEPT

[root@xx ~]# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  514 38968 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       multiport dports 22:23,80 source IP range 10.201.106.1-10.201.106.130
 1166 86322 ACCEPT     tcp  --  *      *       10.201.106.0/24      10.201.106.130       multiport dports 22,80
   27  2268 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 11 packets, 1160 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   22  3176 ACCEPT     tcp  --  *      *       10.201.106.130       0.0.0.0/0            multiport sports 22:33,80 destination IP range 10.201.106.1-10.201.106.130
 1153  154K ACCEPT     tcp  --  *      *       10.201.106.130       10.201.106.0/24      multiport sports 22,80
   42  3528 ACCEPT     icmp --  *      *       10.201.106.130       0.0.0.0/0            icmptype 8
[root@xx ~]# 

刪除多余規則：
[root@xx ~]# iptables -D INPUT 2
[root@xx ~]# iptables -D OUTPUT 2
[root@xx ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       multiport dports 22:23,80 source IP range 10.201.106.1-10.201.106.130
ACCEPT     icmp --  0.0.0.0/0            10.201.106.130       icmptype 0

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  10.201.106.130       0.0.0.0/0            multiport sports 22:33,80 destination IP range 10.201.106.1-10.201.106.130
ACCEPT     icmp --  10.201.106.130       0.0.0.0/0            icmptype 8
[root@xx ~]#

根據報文中的字符串過濾內容

[root@xx ~]# vim /www/htdocs/bad.html

This is a  movie page.

過濾前
技術分享圖片

過濾後：

[root@xx ~]# iptables -I OUTPUT -m string --algo bm --string "movie" -j REJECT

[root@xx ~]# iptables -L -n -v --line-number
Chain INPUT (policy DROP 345 packets, 37324 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1742  132K ACCEPT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       multiport dports 22:23,80 source IP range 10.201.106.1-10.201.106.130
2       27  2268 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 53 packets, 5010 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        6  2310 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            STRING match  "movie" ALGO name bm TO 65535 reject-with icmp-port-unreachable
2      982  265K ACCEPT     tcp  --  *      *       10.201.106.130       0.0.0.0/0            multiport sports 22:33,80 destination IP range 10.201.106.1-10.201.106.130
3       42  3528 ACCEPT     icmp --  *      *       10.201.106.130       0.0.0.0/0            icmptype 8

技術分享圖片

iptables時間段內過濾

1、刪除掉之前的string過濾條目
[root@xx ~]# iptables -D OUTPUT 1

2、本來是設置14-18點無法訪問WEB服務，需要策略的時間和系統時間時區一模一樣，所以改成了0:00-23:59，為了讓策略匹配
[root@xx ~]# iptables -I INPUT -d 10.201.106.130 -p tcp --dport 80 -m time --timestart 00:00 --timestop 23:59 -j REJECT
[root@xx ~]# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   304 REJECT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       tcp dpt:80 TIME from 00:00:00 to 23:59:00 UTC reject-with icmp-port-unreachable
 2584  203K ACCEPT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       multiport dports 22:23,80 source IP range 10.201.106.1-10.201.106.130
   27  2268 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 6 packets, 472 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1595  511K ACCEPT     tcp  --  *      *       10.201.106.130       0.0.0.0/0            multiport sports 22:33,80 destination IP range 10.201.106.1-10.201.106.130
   42  3528 ACCEPT     icmp --  *      *       10.201.106.130       0.0.0.0/0            icmptype 8
[root@xx ~]# 

3、登錄測試

技術分享圖片

指明某個協議端口的並發連接數限制數量

[root@xx ~]# iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT

[root@xx ~]# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
   41  5548 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 #conn src/32 > 3 reject-with icmp-port-unreachable
   33  1672 REJECT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       tcp dpt:80 TIME from 00:00:00 to 23:59:00 UTC reject-with icmp-port-unreachable
 3309  267K ACCEPT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       multiport dports 22:23,80 source IP range 10.201.106.1-10.201.106.130
   27  2268 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 0

ping速率限制

[root@xx ~]# iptables -A INPUT -d 10.201.106.130 -p icmp --icmp-type 8 -m limit --limit-burst 5 --limit 30/minute -j ACCEPT

[root@xx ~]# iptables -A OUTPUT -s 10.201.106.130 -p icmp --icmp-type 0 -j ACCEPT

[root@xx ~]# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   41  5548 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 #conn src/32 > 3 reject-with icmp-port-unreachable
   33  1672 REJECT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       tcp dpt:80 TIME from 00:00:00 to 23:59:00 UTC reject-with icmp-port-unreachable
 4108  325K ACCEPT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       multiport dports 22:23,80 source IP range 10.201.106.1-10.201.106.130
   27  2268 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 8 limit: avg 30/min burst 5

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2856  676K ACCEPT     tcp  --  *      *       10.201.106.130       0.0.0.0/0            multiport sports 22:33,80 destination IP range 10.201.106.1-10.201.106.130
   42  3528 ACCEPT     icmp --  *      *       10.201.106.130       0.0.0.0/0            icmptype 8
    0     0 ACCEPT     icmp --  *      *       10.201.106.130       0.0.0.0/0            icmptype 0
[root@xx ~]#

查看最大並發連接數

[root@xx ~]# cat /proc/sys/net/nf_conntrack_max 
15628

查看已經追蹤到的所有連接

[root@xx ~]# cat /proc/net/nf_conntrack
ipv4     2 tcp      6 299 ESTABLISHED src=10.201.106.1 dst=10.201.106.130 sport=49630 dport=22 src=10.201.106.130 dst=10.201.106.1 sport=22 dport=49630 [ASSURED] mark=0 zone=0 use=2
[root@xx ~]#

設置SSH進入只允許新連接和已建立連接，出去只允許已建立連接

[root@xx ~]# iptables -I INPUT -d 10.201.106.130 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
[root@xx ~]# 

[root@xx ~]# iptables -I OUTPUT -s 10.201.106.130 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

[root@xx ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       tcp dpt:22 state NEW,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  10.201.106.130       0.0.0.0/0            tcp spt:22 state ESTABLISHED
[root@xx ~]#

設置http進入只允許新連接和已建立連接，出去只允許已建立連接

[root@xx ~]# iptables -I INPUT -d 10.201.106.130 -p tcp -dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables v1.4.21: multiple -d flags not allowed
Try `iptables -h‘ or ‘iptables --help‘ for more information.
[root@xx ~]# 
[root@xx ~]# 
[root@xx ~]# 
[root@xx ~]# iptables -I INPUT -d 10.201.106.130 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
[root@xx ~]# 
[root@xx ~]# iptables -I OUTPUT -s 10.201.106.130 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
[root@xx ~]# 
[root@xx ~]# 
[root@xx ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       tcp dpt:22 state NEW,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  10.201.106.130       0.0.0.0/0            tcp spt:80 state ESTABLISHED
ACCEPT     tcp  --  10.201.106.130       0.0.0.0/0            tcp spt:22 state ESTABLISHED
[root@xx ~]#

測試：
技術分享圖片

放通ping

[root@xx ~]# iptables -A INPUT -d 10.201.106.130 -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j ACCEPT
[root@xx ~]# 
[root@xx ~]# iptables -A OUTPUT -s 10.201.106.130 -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT
[root@xx ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       tcp dpt:22 state NEW,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            10.201.106.130       icmptype 8 state NEW,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  10.201.106.130       0.0.0.0/0            tcp spt:80 state ESTABLISHED
ACCEPT     tcp  --  10.201.106.130       0.0.0.0/0            tcp spt:22 state ESTABLISHED
ACCEPT     icmp --  10.201.106.130       0.0.0.0/0            icmptype 0 state ESTABLISHED
[root@xx ~]#

技術分享圖片

對所有已建立的進程出站放通

[root@xx ~]# iptables -I OUTPUT -m state --state ESTABLISHED -j ACCEPT

[root@xx ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            10.201.106.130       tcp dpt:22 state NEW,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            10.201.106.130       icmptype 8 state NEW,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state ESTABLISHED
[root@xx ~]#

放通進站

[root@xx ~]# iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT

再合並80和22端口的策略

[root@xx ~]# iptables -I INPUT 2 -d 10.201.106.130 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT

[root@xx ~]# iptables -D INPUT 3
[root@xx ~]# iptables -D INPUT 3
[root@xx ~]# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  465 35120 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.201.106.130       multiport dports 22,80 state NEW
   18  1080 ACCEPT     icmp --  *      *       0.0.0.0/0            10.201.106.130       icmptype 8 state NEW,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  575  116K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state ESTABLISHED
[root@xx ~]#

iptables雜記（2）

iptables 雜記基礎iptables擴展使用擴展參數放通80，和22端口 [root@xx ~]# iptables -I INPUT -s 10.201.106.0/24 -d 10.201.106.130 -p tcp -m multiport --dports 22,80 -j ACCEPT

mogilefs雜記（2）

mogilefs 集群基礎雜記mogilefs集群 Nginx反代mogilefs 1、編譯安裝Nginx 1.1 安裝編譯環境安裝編譯環境： yum install gcc gcc-c++ automake pcre pcre-devel zlip zlib-devel openssl openssl

HAProxy雜記（2）

HAProxy 基礎haproxy高級配置 haproxy cookie 1、配置插入cookie #--------------------------------------------------------------------- # static backend for serving up im

MariaDB恢復備份雜記（2）

MariaDB 備份恢復基礎雜記Mariadb備份恢復雜項 1、mariadb默認引擎其實xtradb MariaDB [(none)]> SHOW ENGINES; +--------------------+---------+---------------------------------

MySQL主從復制雜記（2）

MySQL 主從復制基礎雜記MySQL主從復制架構及實現雜項 1、設置從節點為只讀模式 MariaDB [(none)]> SHOW GLOBAL VARIABLES LIKE ‘read_only‘; +---------------+-------+ | Variable_name | Val

linux進程管理雜記（2）

linux 進程管理基礎雜記命令 vmstat vmstat [root@zz Packages]# vmstat procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu----- r b swpd

KVM虛擬化-libvirt雜記（2）

kvm libvirt virsh 雜記一、virt-install 1、創建虛擬機 1.1 基於PXE環境創建一個虛擬機 1.1.1 創建存放磁盤映像的文件夾 [root@master1 ~]# mkdir /images/centos/ 1.1.2 創建虛擬機 virth-install會自動創建磁盤映像

KVM虛擬機&openVSwitch雜記（2）

kvm 外部通信 openvswitch一、兩個計算機節點（宿主機）的虛擬機通信【GRE&oepnVSwitch】 1、移除之前的配置 1.1 關閉之前master1上的三臺虛擬機 [root@master1 ~]# for i in `ps aux | grep qemu-kvm | grep -

Hadoop安裝雜記（2）

hadoop 安裝分布式模型基礎一、分布式模型 1、環境準備準備4個節點，master1為主控節點（NameNode、SecondaryNameNode、ResourceManager），master2-4作為數據節點（DataNode、NodeManager）。並做好ntp時間同步 1.1 每個節點配

~雜記（2）：StartUP.s檔案

1. S檔案中的彙編知識彙編程式中以 . 開頭的名稱並不是指令的助記符，不會被翻譯成機器指令。而是給彙編器一些特殊指示，稱為彙編指示（Assembler Directive）或偽操作（Pseudo-operation），由於它不是真正的指令所以加個“偽”字。 .section

YII－－雜記（2）

1、字串的分割和拼接 //分割字串 $string='www.baidu.com'; $aar=explode('.',$string); //$aar是一個數組，值為： $aar['www','baidu','com'] //拼接字串 $a='nihao'; $b='

linux程序管理雜記（2）

vmstat[[email protected] Packages]# vmstat procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu----- r b swpd free buff

iptables詳解（2）：四表五鏈

關於iptables中“四表五鏈”，我們今天來好好嘮嘮： 1、表的概念：　　我們把具有相同功能的規則的集合叫做"表"，所以說，不同功能的規則，我們可以放置在不同的表中進行管理，而iptables已經為我們定義了4種表，每種表對應了不同的功能，而我們定義的規則也都逃脫不了這4種功能的範圍，所以，學習ipt

(六)洞悉linux下的Netfilter&iptables：如何理解連線跟蹤機制？（2）

Netfilter連線跟蹤的詳細流程上一篇我們瞭解了連線跟蹤的基本框架和大概流程，本篇我們著重分析一下，資料包在連線跟蹤系統裡的旅程，以達到對連線跟蹤執行原理深入理解的目的。連線跟蹤機制在Netfilter框架裡所註冊的hook函式一共就五個：ip_c

GOF23—單例模式（2）

應該一個 img bsp 漏洞資源 nbsp 創建就會本文介紹單例模式（不包含枚舉單例模式）漏洞問題以及如何防止漏洞　　1.反射可以破解單例模式，例子如下：　　　　此時，我們運行Client類，發現s1和s2是一個對象，但s3和s4是不同的對象。那麽如何防

Linux的經常使用命令（2） - 關機

計算機 pan spa 技術 eboot 使用 content con .net 關機命令 shutdown?h now 馬上進行關機 shutdown?r now 如今又一次啟動計算機 -t sec : -t後面加秒數,即”過幾秒後關機” -k : 不是要真

樹講解（2）——樹的輸入，重心，直徑

str 樹的直徑 names n) ostream push main define span one.樹的輸入 1.輸入每個節點父親節點的編號 #include<vector> #include<stdio.h> #include<

數據結構-線性表（2）

順序序表表示元素額外 alt 最大 spa 位置線性表定義：線性表是最基本、最簡單、也是最經常使用的一種數據結構。線性表中數據元素之間的關系是一對一的關系，即除了第一個和最後一個數據元素之外，其他數據元素都是首尾相接的。線性表的邏輯結構簡單，便於實現

Windows Phone開發（2）：豎立自信，初試鋒茫

一鍵優秀保持知識 sdn ant emulator 一個動畫上一篇文章中，我們聊了一些“大炮”話題，從這篇文章開始，我們一起來學習WP開發吧。一、我們有哪些裝備。安裝完VS 學習版 for WP後，也連同SDK一並安裝了，不必像安卓那樣，安裝JDK，下載

斷點相關技術與原理（2）

def pan 保存 ollydbg php class 工具 code http 繼續對OD的斷點技術做個筆記。 1、硬件斷點： Intel CPU中有8個調試寄存器（Debug Register）DR0 — DR7，當中DR0 — DR3用於設置硬件斷點地址，D

iptables雜記（2）

使用擴展參數放通80，和22端口

根據IP地址範圍放通端口

根據報文中的字符串過濾內容

iptables時間段內過濾

指明某個協議端口的並發連接數限制數量

ping速率限制

查看最大並發連接數

查看已經追蹤到的所有連接

設置SSH進入只允許新連接和已建立連接，出去只允許已建立連接

設置http進入只允許新連接和已建立連接，出去只允許已建立連接

放通ping

對所有已建立的進程出站放通

放通進站

相關推薦