Linux系统iptables

命令	说明
-P --policy <链名>	定义默认策略
-L --list <链名>	查看iptables规则列表
-A --append <链名>	在规则列表的最后增加1条规则
-I --insert <链名>	在指定的位置插入1条规则
-D --delete <链名>	从规则列表中删除1条规则
-R --replace <链名>	替换规则列表中的某条规则
-F --flush <链名>	删除表中所有规则
-Z --zero <链名>	将表中数据包计数器和流量计数器归零
-X --delete-chain <链名>	删除自定义链
-v --verbose <链名>	与-L他命令一起使用显示更多更详细的信息

②. 匹配条件

命令	说明
-i --in-interface 网络接口名>	指定数据包从哪个网络接口进入
-o --out-interface 网络接口名>	指定数据包从哪个网络接口输出
-p --proto 协议类型	指定数据包匹配的协议，如TCP、UDP和ICMP等
-s --source 源地址或子网>	指定数据包匹配的源地址
--sport 源端口号>	指定数据包匹配的源端口号
--dport 目的端口号>	指定数据包匹配的目的端口号
-m --match 匹配的模块	指定数据包规则所使用的过滤模块

③. 控制类型

类型	说明
ACCEPT	运行通过
DROP	拒绝通过（收到不回复）
REJECT	拒绝通过（收到回复）

四. 案例说明

1. 查看规则表

2. 增加新规则

3. 替换原有规则

4. 删除原有规则

注意：
①. 若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
②. 按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
③. 按内容匹配删数时，确保规则存在，否则报错

5. 设置默认策略

注意：

默认规则为允许所有，是黑名单，加入其中的规则才被拒绝。

将ACCEPT改为DROP后，规则为拒绝所有，是白名单，加入其中的规则才被允许。

6. 通用匹配规则

直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

①. 协议匹配

格式：-p协议名

②. 地址匹配

格式：-s 源地址、-d目的地址

③. 接口匹配

格式：-i入站网卡、-o出站网卡

五. 扩展模块

1. 隐含扩展

iptables 在使用-p选项指明了特定的协议时，无需再用 -m 选项指明扩展模块的扩展机制，不需要手动加载扩展模块

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

端口匹配: --sport 源端口、--dport 目的端口

这里的端口可以是个别端口或者范围端口

--tcp-flags ALL ALL  
--tcp_flags ALL NONE
--sport 1000          匹配源端口是1000的数据包
--sport 1000:3000     匹配源端口是1000-3000的数据包
--sport :3000         匹配源端口是3000及以下的数据包
--sport 1000:         匹配源端口是1000及以上的数据包
注意: --sport和--dport 必须配合-p <协议类型>使用
端口可以使用的范围 0-65535

[root@localhost ~]#iptables -A INPUT -p tcp  --sport 10000:30000 -j REJECT 
#10000到30000 全部被拒

TCP标记匹配: --tcp-flags 
TCP标记：SYN,RST,ACK,SYN

[root@localhost ~]#iptables -I INPUT -i ens33 -p tcp --tcp-flags FIN,RST,ACK SYN -j ACCEPT
#丢弃SYN请求包，放行其他包

2. 显示扩展

显示扩展即必须使用-m选项指明要调用的扩展模块名称，需要手动加载扩展模块

①. multiport扩展

以离散方式定义多端口匹配,最多指定15个端口

②. iprange扩展

指明连续的ip地址范围（但一般不是整个网络）

--src-range from[-to] 源IP地址范围
--dst-range from[-to] 目标IP地址范围

③. mac地址模块

mac 模块可以指明源MAC地址,，适用于：PREROUTING, FORWARD，INPUT chains

[root@zabbix-server ~]#ip a
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether ###  00:0c:29:2a:d6:05    ####             
    inet 192.168.91.101/24 brd 192.168.91.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::ce63:27de:ef4d:4f66/64 scope link 
       valid_lft forever preferred_lft forever


[root@localhost ~]#iptables -A INPUT -m mac --mac-source 00:0c:29:2a:d6:05 -j REJECT

④. string 字符串模块

对报文中的应用层数据做字符串模式匹配检测

--algo {bm|kmp} 字符串匹配检测算法
 bm：Boyer-Moore           算法
 kmp：Knuth-Pratt-Morris   算法

--from offset 开始查询的地方
--to offset   结束查询的地方

注意：请求的包不带字符，回复的包带字符，所以要用output

⑤. time模块

根据将报文到达的时间与指定的时间范围进行匹配

⑥. connlimit扩展

根据每客户端IP做并发连接数数量匹配

可防止Dos(Denial of Service，拒绝服务)攻击

--connlimit-upto N #连接的数量小于等于N时匹配
--connlimit-above N #连接的数量大于N时匹配


#模拟攻击
[root@localhost3 ~]# gcc flood_connect.c -o flood
#编译安装 黑客文件
[root@localhost3 ~]# ./flood 192.168.91.100    
#运行黑客脚本

[root@localhost 7-1]#ss 

[root@localhost1 ~]#iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 2 -j REJECT

⑦. state扩展

NEW：新发出请求；连接追踪信息库中不存在此连接的相关信息条目，因此，将其识别为第一次发出的请求
ESTABLISHED：NEW状态之后，连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态
RELATED：新发起的但与已有连接相关联的连接，如：ftp协议中的数据连接与命令连接之间的关系
INVALID：无效的连接，如flag标记不正确
UNTRACKED：未进行追踪的连接，如：raw表中关闭追踪

 --state state
 
ipatables  -A INPUT -m state --state   NEW            -j  REJECT
ipatables  -A INPUT  -m state --state  ESTABLISHED    -j   ACCEPT
                  
新用户不可以访问  就用胡可以访问