使用iptables进行流量控制

最新推荐文章于 2024-07-26 00:13:17 发布
最新推荐文章于 2024-07-26 00:13:17 发布
阅读量4k 收藏 15
点赞数
分类专栏: 运维 文章标签: iptables ddos linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29113041/article/details/83625275
版权

前言:19年搞的一个小玩意,懒得整理了,有时间的可以快速看看,赶时间的直接跳到第二部分

0X00 乱七八糟的资料收集

systemctl管理iptables服务,yum remove iptables    yum install iptables-services   

保存规则的两种方式:

service iptables save 
/usr/libexec/iptables/iptables.init save

iptables -A INPUT -m limit -s 192.168.3.106 --limit 5/sec -j ACCEPT  如果不加-s,限定是总速率

iptables -A INPUT -s 192.168.3.106 -j DROP

 

对于每个Client进行限速:

hashlimit的匹配是基于令牌桶 (Token bucket)模型的。令牌桶是一种网络通讯中常见的缓冲区工作原理,它有两个重要的参数,令牌桶容量n和令牌产生速率s。我们可以把令牌当成是门票,而令牌桶则是负责制作和发放门票的管理员,它手里最多有n张令牌。一开始,管理员开始手里有n张令牌。每当一个数据包到达后,管理员就看看手里是否还有可用的令牌。如果有,就把令牌发给这个数据包,hashlimit就告诉iptables,这个数据包被匹配了。而当管理员把手上所有的令牌都发完了,再来的数据包就拿不到令牌了。这时,hashlimit模块就告诉iptables,这个数据包不能被匹配。除了发放令牌之外,只要令牌桶中的令牌数量少于n,它就会以速率s来产生新的令牌,直到令牌数量到达n为止。通过令牌桶机制,即可以有效的控制单位时间内通过(匹配)的数据包数量,又可以容许短时间内突发的大量数据包的通过(只要数据包数量不超过令牌桶n)。

  hashlimit模块提供了两个参数--hashlimit和--hashlimit-burst,分别对应于令牌产生速率和令牌桶容量。除了令牌桶模型外,hashlimit匹配的另外一个重要概念是匹配项。在hashlimit中,每个匹配项拥有一个单独的令牌桶,执行独立的匹配计算。通过hashlimit的--hashlimit-mode参数,你可以指定四种匹配项及其组合,即:srcip(每个源地址IP为一个匹配项),dstip(每个目的地址IP为一个匹配项),srcport(每个源端口为一个匹配项),dstport(每个目的端口为一个匹配项)

  除了前面介绍的三个参数外,hashlimit还有一个必须要用的参数,即--hashlimit-name。 hashlimit会在/proc/net/ipt_hashlimit目录中,为每个调用了hashlimit模块的iptables 命令建立一个文件,其中保存着各匹配项的信息。--hashlimit-name参数即用来指定该文件的文件名。

iptables -A INPUT -p tcp --dport 22 -m hashlimit --hashlimit-name ssh --hashlimit 5/sec --hashlimit-burst 10 --hashlimit-mode srcip -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

 

2.扩展匹配
2.1隐含扩展:对协议的扩展
-p tcp :TCP协议的扩展。一般有三种扩展
--dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如
--dport 21  或者 --dport 21-23 (此时表示21,22,23)
--sport:指定源端口
--tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)
    对于它,一般要跟两个参数:
    1.检查的标志位
    2.必须为1的标志位
    --tcpflags syn,ack,fin,rst syn   =    --syn
    表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做--syn
-p udp:UDP协议的扩展
    --dport
    --sport
-p icmp:icmp数据报文的扩展
    --icmp-type:
    echo-request(请求回显),一般用8 来表示
    所以 --icmp-type 8 匹配请求回显数据包
    echo-reply (响应的数据包)一般用0来表示

RETURN的用法,在子链中使用RETURN 会返回到上一层链,直到target为ACCPT或DEROP或REJECT,不然一直返回到父链中,匹配下一条规则。

匹配tcp第一次握手的报文

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

[root@localhost ~]# iptables -t filter -nvxL INPUT
Chain INPUT (policy ACCEPT 10 packets, 712 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 flags:0x3F/0x02 reject-with icmp-port-unreachable
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 10/min burst 5

–tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN 这个的意思是要匹配SYN,ACK,FIN,RST,URG,PSH这五个标志为,且SYN为1的报文

匹配tcp第二次握手的报文

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

上述可以简写成 
ALL来表示SYN,ACK,FIN,RST,URG,PSH

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN-j REJECT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN,ACK -j REJECT

修改某条规则:

iptables -R INPUT 1 -s 192.168.0.1 -j DROP

清空所有规则:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t raw -F
iptables -t raw -X

0X01 实现对总流量限制、TCP流量限制、SYN包限制、ACK包限制:

****本机程序访问本机程序的数据包同样会经过INPUT链****

#!/bin/bash
iptables -N all-chain  # 用来限制总流量/IP
iptables -N tcp-chain  # 限制tcp流量/IP
iptables -N SYN-chain  # 限制SYN包流量/IP
iptables -N ACK-chain  # 限制ACK包流量/IP
 
iptables -N all-limit  # 限制总触发阀值
iptables -N tcp-limit  # 限制tcp总触发阀值
iptables -N SYN-limit  # 限制SYN总触发阀值
iptables -N ACK-limit  # 限制ACK总触发阀值

#  INPUT-chain
iptables -A INPUT -s 127.0.0.1 -j ACCEPT  # 本机访问本机的所有数据包放行
 
iptables -A INPUT -j all-chain  # 所有流量转到all-chain处理
 
iptables -A INPUT -j tcp-chain  # tcp流量转到tcp-chain
 
iptables -A INPUT -p tcp --syn -j SYN-chain  # 第一次发送的SYN包转到SYN-chain
 
iptables -A INPUT -p tcp --tcp-flags ALL ACK -j ACK-chain  # 所有ACK包转到ACK-chain

#  FORWARD-chain
iptables -A FORWARD -s 127.0.0.1 -j ACCEPT  # 本机访问本机的所有数据包放行
 
iptables -A FORWARD -j all-chain  # 所有流量转到all-chain处理
 
iptables -A FORWARD -j tcp-chain  # tcp流量转到tcp-chain
 
iptables -A FORWARD -p tcp --syn -j SYN-chain  # 第一次发送的SYN包转到SYN-chain
 
iptables -A FORWARD -p tcp --tcp-flags ALL ACK -j ACK-chain  # 所有ACK包转到ACK-chain

#  all-chain总流量限制
iptables -A all-chain -j all-limit
iptables -A all-chain -m hashlimit --hashlimit-name all-chain --hashlimit 300/sec --hashlimit-burst 300 --hashlimit-mode srcip -j RETURN
# 日志记录,限制每分钟最多记录三次,防止日志爆炸
iptables -A all-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:all-chain"
iptables -A all-chain -j DROP
 
#  all-limit
iptables -A all-limit -m limit --limit 10000/sec --limit-burst 5000 -j RETURN
iptables -A all-limit -j DROP
 
#  tcp-chain总流量限制
iptables -A tcp-chain -j tcp-limit
iptables -A tcp-chain -m hashlimit --hashlimit-name tcp-chain --hashlimit 80/sec --hashlimit-burst 80 --hashlimit-mode srcip -j RETURN
iptables -A tcp-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:tcp-chain"
iptables -A tcp-chain -j DROP
 
#  tcp-limit
iptables -A tcp-limit -m limit --limit 100/sec --limit-burst 100 -j RETURN
iptables -A tcp-limit -j DROP
 
#  SYN-chain总流量限制
iptables -A SYN-chain -j SYN-limit
iptables -A SYN-chain -m hashlimit --hashlimit-name SYN-chain --hashlimit 30/sec --hashlimit-burst 30 --hashlimit-mode srcip -j ACCEPT
iptables -A SYN-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:SYN-chain"
iptables -A SYN-chain -j DROP
 
#  SYN-limit
iptables -A SYN-limit -m limit --limit 25/sec --limit-burst 25 -j RETURN
iptables -A SYN-limit -j DROP
 
#  ACK-chain总流量限制
iptables -A ACK-chain -j ACK-limit
iptables -A ACK-chain -m hashlimit --hashlimit-name ACK-chain --hashlimit 30/sec --hashlimit-burst 30 --hashlimit-mode srcip -j ACCEPT
iptables -A ACK-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:ACK-chain"
iptables -A ACK-chain -j DROP
 
#  ACK-limit
iptables -A ACK-limit -m limit --limit 25/sec --limit-burst 25 -j RETURN
iptables -A ACK-limit -j DROP

设计思路:

 

****如何永久保存iptables规则****

1.
systemctl stop firewalld

systemctl disable firewalld

2.
yum install iptables-services

3.
systemctl enable iptables

4.
systemctl restart iptables

5.
service iptables save

默认保存路径为 /etc/sysconfig/iptables
iptables实现目的IP转发,利用nat表output链修改数据包目的ip地址

iptables -t nat -A OUTPUT -d 192.168.2.9 -j DNAT --to-destination 192.168.2.10

 

ButFlyzzZ
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Fedora使用tc进行流量控制
雜貨鋪
03-15 8293
如果有报错 RTNETLINK answers: No such file or directory 参考: http://serverfault.com/questions/395450/is-traffic-control-tc-broken-in-fedora-17 http://unix.stackexchange.com/questions/40010/is-traffic-co
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables 流量速率控制
m0_37313888的博客
06-05 1929
在filter表下面一行增加以下两行 iptables -A FORWARD -m limit -d 192.168.10.2 --limit 30/sec -j ACCEPT # 这句意思是限定每秒只转发30个到达192.168.10.2的数据包 iptables -A FORWARD -d 192.168.10.2 -j DROP #这句作用是超过限制的到达192.168....
iptables基于域名的本机流量控制
Jack_he_li的博客
01-04 1681
iptables+ipset根据域名配置流量控制前言一、iptables配置二、使用步骤1.引入库2.读入数据总结新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 公司内网服务器,上面跑了几个程序(爬虫,每天定时从几个
嵌入式 使用iptables限速控制带宽流量
skdkjxy的专栏
09-19 5218
linux下通过iptables限制流量,简单,实用。通过以下脚本即可实现,首先需要将这台机器配置成网关。 1.配置iptables转发(略) 2.限速脚本 vi /root/xiansu.sh  #!/bin/bash  /sbin/iptables -F FORWARD #限制网段  for ((i = 1; i do /sbin/iptables -A FOR
iptables使用教程
private_void_main的博客
05-07 1037
iptables入门介绍,首先将Linux内核如何处理数据流量包流程展示出来,再介绍命令参数,循序渐入
IPTABLES流量控制档 tc
Wait for 的专栏
01-08 2823
IPTABLES流量控制档 tc #!/bin/bash #脚本文件名: tc2 ######################################################################################### #用TC(Traffic Control)解决ADSL宽带速度瓶颈技术 Ver.1.0 powered b
linux发包流控管理,Linux流量控制命令使用iptables+tc
weixin_42520239的博客
05-13 407
在服务器的eth0 帮定了外部地址 eth0:192.168.1.223eth1 帮定了内部地址 eth1:1 192.168.2.1现在要实现的功能就是整个出口限制在512kbit(上传流量) , 192.168.2网段的下载流量下载到512Kbit 。方法如下:首先帮定相应的地址:(不细述)实现路由设定,使用iptables实现。iptables –A input -Fiptables -A ...
防火墙 iptables使用
X2683933654的博客
11-29 428
防火墙是一种技术,它通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验waf web网页 防火墙。
iptables+tc流量控制完整脚本
05-27
Linux Advanced Routing & Traffic Control HOWTO 中提到的Qos完整示例中的脚本。在书中提到的那个网站已经挂了,所以重新上传一个。把里面的内容稍微改改就能拿来用了。。挺方便的
android流量防火墙iptables原理详解
08-27
使用 Iptables 进行防火墙软件设计的解决方案。由于 Iptables 已经有了完善的防火墙规则,我们只需要设计一个基于 Iptables 的 Android 前台即可,通过运行脚本,调用 iptables 设置防火墙规则即可。
iptables 高级使用研讨 v1.0.0.pdf
11-22
**结论**: 通过专表专用和专链专用的概念,iptables 可以实现更加精确和高效的流量控制。不同的表和链分别负责不同的功能,这有助于确保网络的安全性和性能。例如,使用 `filter` 表来过滤数据包,使用 `nat` 表来...
基于Linux LQL流量控制系统的研究与实现
06-26
该方法摒弃了传统方法中所运用的TC命令解析,netlink传输,内核空间执行的3层结构,而直接在Linux内核的框架下,采用LQL库直接对内核进行操控,并改进了相关U32过滤器以对IP段的流量控制,从而实现对系统的智能流量控制。...
详解Linux iptables 命令
09-15
它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的配置,使得系统能够根据需要构建安全的防火墙策略。 首先,iptables的工作原理是这样的:它与...
速盾:分享一些防御 DDoS 攻击的措施
最新发布
zhuguowang01的博客
07-26 368
通过监测和分析流量,增加网络带宽和资源,加强网络设备的安全设置,使用专用的负载均衡器,采用高可用性架构,使用CDN等措施,可以有效地应对DDoS攻击。DDoS(分布式拒绝服务)攻击是指攻击者通过操纵大量的计算机或网络设备,向特定的目标发起大规模的网络流量,以消耗目标网络资源,造成网络服务不可用的攻击行为。加强防火墙和网络设备的安全设置:通过配置和更新防火墙、路由器和交换机等网络设备的安全设置,可以过滤和阻止源自攻击者的流量。通过了解正常的流量模式,可以更容易地检测到异常流量,并采取相应的措施。
Linux相关指令
m0_46502962的博客
07-25 296
其中的-lpthread不是必须的,只有用到该库才输入加上。//该指令将demo.c生成的a.out文件命名为demo8。//将运行结果放到test.ret.txt文件中,没有就创建。1.查看手册 man 3 free。将该运行程序放到后台运行。③(gbd)r 运行。④(gbd)q 退出。
LinuxLinux发展史
weixin_51142926的博客
07-22 4488
大家好!此篇文章并非技术博文,而是简单了解Linux的时代背景和发展史,只有知其所以然才能让我们更好地让走进Liunx的世界!
Linux Vim教程:多文件编辑与窗口管理
07-25 910
Vim作为一款功能强大的文本编辑器,支持多文件编辑和窗口管理。掌握这些高级技巧可以大大提高工作效率和文件处理能力。本文将详细介绍Vim中多文件编辑与窗口管理的各种方法和技巧,包括缓冲区、标签页、分屏、快速切换等。通过这些实用技巧,您可以更高效地在Vim中进行复杂的文本编辑任务。
tc 和 iptables控制流量
03-29
TC(Traffic Control)和iptables都是用于控制网络流量的工具,但它们的作用不同。 TC是一个Linux内核模块,用于控制网络接口的带宽、延迟、丢包率等参数,以实现流量控制和质量保证。TC的主要作用是通过限制带宽和延迟来限制网络流量,从而实现网络流量的优化和控制。 iptablesLinux上一个非常强大的防火墙和网络地址转换(NAT)工具,它可以控制网络数据包的流动,包括过滤、转发和修改。iptables主要用于控制网络流量的方向和允许或拒绝特定的数据包,以实现网络安全和流量控制。 因此,TC和iptables都可以用于控制网络流量,但是它们的作用有所不同,需要根据实际需求选择使用
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值