iptables策略

input output forward prerouting postrouting

五链相当于在五个位置设置安全策略做检查

流量进入网卡（路由表）后查看是否是发给自己的，

1 总的检查口   prerouting

2 是发给自己的就转发给自己进程的端口，input

不是就转发走,只是穿过      output

4 自己访问外部网络时，流量往外出的时候也要经过自己的路由表  forward

穿过我的做设置，例如教室内访问视频网站 

5   最外面的出口做检查   postouting

    1 隐式扩展

不用写调用哪个模块，当指定协议的时候系统会自动调用协议所需要的模块，协议名就是模块名，系统自己去找,tcp,udp协议

指定端口号

只让tcp的22端口通过

iptables -I INPUT 3 -s 192.168.1.11 -p tcp --dport22 -j ACCEPT

                                              dport目标端口

                                              sport源端口

                  指定端口范围,必须是连续的   m:n 例如1:10  1到10    

自定义链

除了系统自带的五个链，自己可以自定义链

1先自定义一个链

Iptables –N invalid_packets

重命名

Iptables –E invalid_packets INVALID_PACKETS

为自定义的链添加规则

Iptables –A invalid_packets –p tcp –tcp-flags ALL ALL –j REJECT

定义完不和原有规则关联就没意义，就像函数，只定义没调用就无意义

Iptables –A OUTPUT –j INVALID_PACKAGES 

从我这里出的，只要是不符合规则的统统拒绝

删除时，先删除关联的链，再清空自定义链添加的内容，最后删除自定义链

Iptables –D OUTPUT 1

Iptables –F invalid_packets

Iptables –X invalid_packets

显示扩展

 

1 multiport   可以指定不连续端口

iptables -I INPUT -p tcp -m multiport --dports 139,445 -j ACCEPT

2 iprange

iptables -I INPUT -m iprange --src-range 192.168.1.11-192.168.1.12 -j ACCEPT

3 mac --mac-source 

Ip 限制了可以从mac突破限制

Iptables -I INPUT 3 -m mac --mac-source 00:0C:29:D9:83:55 -j ACCEPT

加两个

Iptables -I INPUT 3 -m mac --mac-source 00:0C:29:D9:83:55 -s 192.168.1.11 -j ACCEPT

4  string

对应用层数据的字符串进行限制

例如用户访问百度搜索google等字符串，可以屏蔽掉

Iptables -I OUTPUT -m string --algo bm --string”google” -f REJECT

Tcpdump -I etho port 80

5   time

iptables -I INPUT 3 -m time --timestart 01:00:00 --timestop 02:00:00 --weekdays 1,2,3,4,5 -j ACCEPT

周一到周五的上班时间才能访问

6 connlimit   限制单个机器的连接数

限制客户端的IP连接数,并发连接数

--connlimit-upto  n   小于某个值，在某个范围内时是匹配的

--connlimit-above n     连接数大于n的时候匹配

超过两个就拒绝

iptables -A INPUT -m connlimit --connlimit-above 2 -j REJECT

添加策略是防止和iptables -vnL 里面其他策略冲突

7 limit 扩展   限制总的连接数，多个机器加起来

先放行5个，以后每一分钟放行一个

iptables -A INPUT -m limit --limit 1/minute --limit-burst 5 -j ACCEPT

8 state

 New:第一次访问就叫做new

ESTABLISHED:第二次访问的叫做established

RELATED:新发起的与已有连接相关联的连接，例如ftp协议中数据连接与命令连接的关系

防火墙策略中，established放在最前面，之前检查过了，再次见面直接放在最前面直接通过

例如 旧的已经连接过的用户accept，新的用户只有httpd80端口可以连，其他的都不让连

Iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Iptables -I INPUT 4 tcp --dport 80 -m state --state NEW -j ACCEPT

针对ftp的端口容易变化的特性，加载专门模块

modprobe nf_conntrack_ftp

可以加入开机启动 /etc/rc.d/rc.local

Lsmod |grep ftp  查看是否加载成功

加载后, 新添加的21端口和相关联的内容都放行

新发起的请求连接的21端口是允许的

iptables -I INPUT 3 -p tcp --dport 21 -m state --state NEW -j ACCEPT

相关的已经建立连接的直接放行

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT