Linux安全之iptables高级特性

已于 2022-08-17 14:35:02 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: LINUX 文章标签: linux 安全 服务器
于 2022-08-17 14:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengmeng_921/article/details/126385424
版权

iptables 是运行在用户空间的应用软件,通过控制 Linux 内核 netfilter 模块,来管理网络数据包的处理和转发。在大部分 Linux 发行版中,可以通过手册页 或 man iptables 获取用户手册。通常 iptables 需要内核模块支持才能运行,此处相应的内核模块通常是 Xtables。

Linux安全之iptables高级特性

Linux安全之iptables高级特性

1. recent 模块

利用iptables的recent模块来抵御DOS攻击(CC 攻击)

建立一个列表,保存有所有访问过指定的服务的客户端 IP 地址

#1
利用connlimit模块将单IP地址ssh远程连接的并发设置为3
会误杀使用NAT上网的用户,可以根据实际情况增大该值
$ sudo iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
bash
2
利用recent和state模块限制单IP在300s内只能与本机建立2个新连接,被限制五分钟后即可恢复访问
$ sudo iptables -I INPUT -p tcp --dport 22 -m state
–state NEW -m recent --set --name SSH

$ sudo iptables -I INPUT -p tcp --dport 22 -m state
–state NEW -m recent --update --seconds 300 --hitcount 3
–name SSH -j LOG --log-prefix "SSH Attach: "

$ sudo iptables -I INPUT -p tcp --dport 22 -m state
–state NEW -m recent --update --seconds 300 --hitcount 3
–name SSH -j DROP
下面对最后两句做一个说明

1.第二句是记录访问tcp 22端口的新连接,记录名称为SSH
–set 记录数据包的来源IP,如果IP已经存在将更新已经存在的条目

#2.第三句是指SSH记录中的IP,300s内发起超过3次连接则拒绝此IP的连接。
–update 是指每次建立连接都更新列表;
–seconds必须与–rcheck或者–update同时使用
–hitcount必须与–rcheck或者–update同时使用

3.iptables的记录:/proc/net/xt_recent/SSH,也可以使用下面的这句记录日志
$ sudo iptables -A INPUT -p tcp --dport 22 -m state
–state NEW -m recent --update --name SSH --second 300
–hitcount 3 -j LOG --log-prefix “SSH Attack”

2. layer7 模块

利用iptables的layer7模块能够识别应用层协议,实现七层访问过滤:对应用层协议进行限制,如微信等。

使用需求

对内核中的netfilter,打补丁layer7,重新编译内核
iptables打补丁,补上layer7模块,重新iptables
编译内核方法

$ sudo make menuconfig
$ sudo make -j xxx
$ sudo make modules_install
$ sudo make install
总结操作步骤

1、获取并编译内核
$ sudo useradd mockbuild
$ sudo rpm -ivh kernel-2.6.32-431.5.1.x86_64.el6.src.rpm
$ sudo cd rpmbuild/SOURCES
$ sudo tar linux-2.6.32-*.tar.gz -C /usr/src
$ sudo cd /usr/src
$ sudo ln -sv

2、给内核打补丁
$ sudo tar xf netfilter-layer7-v2.23.tar.bz2
$ sudo cd /usr/src/linux
$ sudo patch -p1 < /root/netfilter-layer7-v2.23/kernel-2.6.32-layer7-2.23.patch
$ sudo cp /boot/config-* .config
$ sudo make menuconfig

3、按如下步骤启用layer7模块
Networking support → Networking Options →Network packet filtering framework → Core Netfilter Configuration
“layer7” match support

4、编译并安装内核
$ sudo make
$ sudo make modules_install
$ sudo make install

5、重启系统,启用新内核
$ sudo reboot

6、编译iptables
$ sudo tar xf iptables-1.4.20.tar.gz
$ sudo cp /root/netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/* /root/iptables-1.4.20/extensions/
$ sudo cp /etc/rc.d/init.d/iptales /root
$ sudo cp /etc/sysconfig/iptables-config /root
$ sudo rpm -e iptables iptables-ipv6 --nodeps
$ sudo ./configure --prefix=/usr --with-ksource=/usr/src/linux
$ sudo make && make install
$ sudo cp /root/iptables /etc/rc.d/init.d
$ sudo cp /root/iptables-config /etc/sysconfig

7、为layer7模块提供其所识别的协议的特征码
$ sudo tar zxvf l7-protocols-2009-05-28.tar.gz
$ sudo cd l7-protocols-2009-05-28
$ sudo make install

8、如何使用layer7模块
ACCT的功能已经可以在内核参数中按需启用或禁用。此参数需要装载nf_conntrack模块后方能生效。
net.netfilter.nf_conntrack_acct = 1
l7-filter uses the standard iptables extension syntax

$ sudo iptables [specify table & chain] -m layer7 --l7proto [protocol name] -j [action]
$ sudo iptables -A FORWARD -m layer7 --l7proto qq -j REJECT
提示:xt_layer7.ko 依赖于 nf_conntrack.ko 模块

文章作者: Escape

文章链接:
https://www.escapelife.site/posts/ff46f9a5.html

转载来源 Escape !

GLAB-Mary
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
LINUX系统分析与高级编程技术
09-28
这本书共410页,涵盖了多个重要主题,旨在帮助读者理解和掌握Linux系统的精髓,以及如何利用其高级特性进行软件开发。 首先,书中详细介绍了Linux环境下的编程方法,这是学习Linux技术的基础。这包括对C语言编程的...
Linux高级PPT课件
11-17
对于已经有一定基础的Linux中级用户来说,深入学习Linux高级特性是提升技能的关键。本PPT课件《Linux高级》正为此目的而设计,旨在帮助用户更好地理解和掌握Linux系统的精髓。 课件可能涵盖以下关键知识点: 1. ...
详解 Linux 防火墙配置
PJ码匠人
10-09 344
linux 服务器防火墙(centos7)# linux 服务器防火墙(ubuntu)# linux 服务器新增用户。
iptables 之-m -state
wsclinux的专栏
11-12 2万+
Iptables参数 -m state --state 有数种状态,状态有: ▪ INVALID:无效的封包,例如数据破损的封包状态 ▪ ESTABLISHED:已经联机成功的联机状态; ▪ NEW:想要新建立联机的封包状态; ▪ RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关, 可能是响应封包或者是联机成功之后的传送封包!这个状态很常被设定,因为设
iptables -m state
最新发布
ideal-lingyun
05-05 281
iptables -m state
Linux安装配置Tomcat 8.5.34 快捷启动,关闭(二)
程猿博客
03-08 1347
下载 切换到home目录:cd /home (目录自己定) 打开tomcat官网(https://tomcat.apache.org/download-80.cgi) 下载: wget http://mirrors.hust.edu.cn/apache/tomcat/tomcat-8/v8.5.34/bin/apache-tomcat-8.5.34.tar.gz 解压:tar -zxvf a...
iptablesstate状态
Error_404notFound的博客
05-31 1731
定义包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里, 只有4种状态:NEW,ESTABLISHED,RELATED 和INVALID。它们主要是和状态匹配一起使用。以便匹配数据包。这可以使我们的防火墙非常强壮和有效参数-m state --state <NEW,ESTATBLISHED,INVALID,RELATED> ##指定匹配哪种状态– INVALID: 无效
Linux防火墙查看及白名单添加
m0_46282787的博客
02-22 7933
Linux防火墙查看及白名单添加
再谈iptables防火墙的连接状态
weixin_34310127的博客
03-17 356
前言   在前面的文中讲过了iptables防火墙连接状态中的ESTABLISHED状态(http://waringid.blog.51cto.com/65148/512140)。除了这个状态之外,iptables还有以下状态,且听我慢慢道来。实验的网络结构以下图为准。  NEW   以下图为例为说明什么是NEW的状态,首先需要知道的是NEW与协议无关,其所指的是每一条连接中的第一个数据...
linux资料linux资料linux资料
07-17
Linux安全性也是其一大优势,通过访问控制列表(ACL)、防火墙(iptables或firewalld)、SELinux等机制强化系统安全。同时,由于源代码开放,任何潜在的安全问题可以被及时发现并修复。 总之,Linux是一个强大且...
rinetd端口映射linux
09-12
rinetd,全称“remote internet services daemon”,是一款轻量级的端口转发工具,...然而,由于rinetd不具备高级特性如SSL/TLS支持,对于更复杂的需求,可能需要考虑使用更强大的端口转发工具,如OpenSSH或Proxifier。
iptables 参数详解
大鹏
08-01 3062
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport8080 -j ACCEPT -A 追加,在当前链的最后新增一个规则 -p tcp :TCP协议的扩展。一般有三种扩展     --dportXX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如     --dport21  或者 --d
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables 配置场景3
weixin_30419799的博客
08-22 71
iptables -I INPUT -i lo -j ACCEPT#允许本地回环地址访问; iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -s 192.168.235.0/24 -j ACCEPT iptables -A INPUT -s 192...
iptables之recent
weixin_33862041的博客
02-02 180
现在介绍一个非常实用的iptables模块--recent,它可以防止字典暴力、端口扫描***等 我们来看下,具体关于它的一些实际用法 iptables -A INPUT -d 192.168.1.100 -p icmp -m recent --seconds 1800 --hitcount 20 --update --name ICMP --rsource...
iptables-extensions拓展模块
奔跑的路
06-11 4870
iptables-extensions Section: iptables 1.4.18 (8) Updated: Index   NAME iptables-extensions --- list of extensions in the standard iptables distribution  SYNOPSIS ip6tables [-m name [module-
iptables命令选项以及参数配置
weixin_44866492的博客
03-15 698
添加规则,修改规则,删除规则,保存规则,开机自动读取。
iptables详解(8):iptables扩展模块之state扩展
thlzjfefe的博客
10-29 204
如果有30台主机呢?咱们就来聊聊什么是连接吧,一说到连接,你可能会下意识的想到tcp连接,但是,对于state模块而言的”连接”并不能与tcp的”连接”画等号,在TCP/IP协议簇中,UDP和ICMP是没有所谓的连接的,但是对于state模块来说,tcp报文、udp报文、icmp报文都是有连接状态的,我们可以这样认为,对于state模块而言,只要两台机器在”你来我往”的通信,就算建立起了连接,如下图所示。但是具体传输哪些数据,是由命令去控制的,所以,”数据连接”中的报文与”命令连接”是有”关系”的。
IPtablesLinux内核集成的高级防火墙详解
IPtables防火墙是Linux内核中集成的高级包过滤系统,用于保护计算机网络安全。它是与3.5版本及以上Linux内核紧密关联的,提供了比早期工具如ipfwadm和ipchains更为先进的功能。IPtables的核心特性包括: 1. **规则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GLAB-Mary

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值