使用iptables进行流量控制

最新推荐文章于 2024-04-16 09:41:20 发布
最新推荐文章于 2024-04-16 09:41:20 发布
阅读量3.9k 收藏 15
点赞数
分类专栏: 运维 文章标签: iptables ddos linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29113041/article/details/83625275
版权

前言:19年搞的一个小玩意,懒得整理了,有时间的可以快速看看,赶时间的直接跳到第二部分

0X00 乱七八糟的资料收集

systemctl管理iptables服务,yum remove iptables    yum install iptables-services   

保存规则的两种方式:

service iptables save 
/usr/libexec/iptables/iptables.init save

iptables -A INPUT -m limit -s 192.168.3.106 --limit 5/sec -j ACCEPT  如果不加-s,限定是总速率

iptables -A INPUT -s 192.168.3.106 -j DROP

 

对于每个Client进行限速:

hashlimit的匹配是基于令牌桶 (Token bucket)模型的。令牌桶是一种网络通讯中常见的缓冲区工作原理,它有两个重要的参数,令牌桶容量n和令牌产生速率s。我们可以把令牌当成是门票,而令牌桶则是负责制作和发放门票的管理员,它手里最多有n张令牌。一开始,管理员开始手里有n张令牌。每当一个数据包到达后,管理员就看看手里是否还有可用的令牌。如果有,就把令牌发给这个数据包,hashlimit就告诉iptables,这个数据包被匹配了。而当管理员把手上所有的令牌都发完了,再来的数据包就拿不到令牌了。这时,hashlimit模块就告诉iptables,这个数据包不能被匹配。除了发放令牌之外,只要令牌桶中的令牌数量少于n,它就会以速率s来产生新的令牌,直到令牌数量到达n为止。通过令牌桶机制,即可以有效的控制单位时间内通过(匹配)的数据包数量,又可以容许短时间内突发的大量数据包的通过(只要数据包数量不超过令牌桶n)。

  hashlimit模块提供了两个参数--hashlimit和--hashlimit-burst,分别对应于令牌产生速率和令牌桶容量。除了令牌桶模型外,hashlimit匹配的另外一个重要概念是匹配项。在hashlimit中,每个匹配项拥有一个单独的令牌桶,执行独立的匹配计算。通过hashlimit的--hashlimit-mode参数,你可以指定四种匹配项及其组合,即:srcip(每个源地址IP为一个匹配项),dstip(每个目的地址IP为一个匹配项),srcport(每个源端口为一个匹配项),dstport(每个目的端口为一个匹配项)

  除了前面介绍的三个参数外,hashlimit还有一个必须要用的参数,即--hashlimit-name。 hashlimit会在/proc/net/ipt_hashlimit目录中,为每个调用了hashlimit模块的iptables 命令建立一个文件,其中保存着各匹配项的信息。--hashlimit-name参数即用来指定该文件的文件名。

iptables -A INPUT -p tcp --dport 22 -m hashlimit --hashlimit-name ssh --hashlimit 5/sec --hashlimit-burst 10 --hashlimit-mode srcip -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

 

2.扩展匹配
2.1隐含扩展:对协议的扩展
-p tcp :TCP协议的扩展。一般有三种扩展
--dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如
--dport 21  或者 --dport 21-23 (此时表示21,22,23)
--sport:指定源端口
--tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)
    对于它,一般要跟两个参数:
    1.检查的标志位
    2.必须为1的标志位
    --tcpflags syn,ack,fin,rst syn   =    --syn
    表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做--syn
-p udp:UDP协议的扩展
    --dport
    --sport
-p icmp:icmp数据报文的扩展
    --icmp-type:
    echo-request(请求回显),一般用8 来表示
    所以 --icmp-type 8 匹配请求回显数据包
    echo-reply (响应的数据包)一般用0来表示

RETURN的用法,在子链中使用RETURN 会返回到上一层链,直到target为ACCPT或DEROP或REJECT,不然一直返回到父链中,匹配下一条规则。

匹配tcp第一次握手的报文

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

[root@localhost ~]# iptables -t filter -nvxL INPUT
Chain INPUT (policy ACCEPT 10 packets, 712 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 flags:0x3F/0x02 reject-with icmp-port-unreachable
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 10/min burst 5

–tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN 这个的意思是要匹配SYN,ACK,FIN,RST,URG,PSH这五个标志为,且SYN为1的报文

匹配tcp第二次握手的报文

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

上述可以简写成 
ALL来表示SYN,ACK,FIN,RST,URG,PSH

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN-j REJECT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN,ACK -j REJECT

修改某条规则:

iptables -R INPUT 1 -s 192.168.0.1 -j DROP

清空所有规则:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t raw -F
iptables -t raw -X

0X01 实现对总流量限制、TCP流量限制、SYN包限制、ACK包限制:

****本机程序访问本机程序的数据包同样会经过INPUT链****

#!/bin/bash
iptables -N all-chain  # 用来限制总流量/IP
iptables -N tcp-chain  # 限制tcp流量/IP
iptables -N SYN-chain  # 限制SYN包流量/IP
iptables -N ACK-chain  # 限制ACK包流量/IP
 
iptables -N all-limit  # 限制总触发阀值
iptables -N tcp-limit  # 限制tcp总触发阀值
iptables -N SYN-limit  # 限制SYN总触发阀值
iptables -N ACK-limit  # 限制ACK总触发阀值

#  INPUT-chain
iptables -A INPUT -s 127.0.0.1 -j ACCEPT  # 本机访问本机的所有数据包放行
 
iptables -A INPUT -j all-chain  # 所有流量转到all-chain处理
 
iptables -A INPUT -j tcp-chain  # tcp流量转到tcp-chain
 
iptables -A INPUT -p tcp --syn -j SYN-chain  # 第一次发送的SYN包转到SYN-chain
 
iptables -A INPUT -p tcp --tcp-flags ALL ACK -j ACK-chain  # 所有ACK包转到ACK-chain

#  FORWARD-chain
iptables -A FORWARD -s 127.0.0.1 -j ACCEPT  # 本机访问本机的所有数据包放行
 
iptables -A FORWARD -j all-chain  # 所有流量转到all-chain处理
 
iptables -A FORWARD -j tcp-chain  # tcp流量转到tcp-chain
 
iptables -A FORWARD -p tcp --syn -j SYN-chain  # 第一次发送的SYN包转到SYN-chain
 
iptables -A FORWARD -p tcp --tcp-flags ALL ACK -j ACK-chain  # 所有ACK包转到ACK-chain

#  all-chain总流量限制
iptables -A all-chain -j all-limit
iptables -A all-chain -m hashlimit --hashlimit-name all-chain --hashlimit 300/sec --hashlimit-burst 300 --hashlimit-mode srcip -j RETURN
# 日志记录,限制每分钟最多记录三次,防止日志爆炸
iptables -A all-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:all-chain"
iptables -A all-chain -j DROP
 
#  all-limit
iptables -A all-limit -m limit --limit 10000/sec --limit-burst 5000 -j RETURN
iptables -A all-limit -j DROP
 
#  tcp-chain总流量限制
iptables -A tcp-chain -j tcp-limit
iptables -A tcp-chain -m hashlimit --hashlimit-name tcp-chain --hashlimit 80/sec --hashlimit-burst 80 --hashlimit-mode srcip -j RETURN
iptables -A tcp-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:tcp-chain"
iptables -A tcp-chain -j DROP
 
#  tcp-limit
iptables -A tcp-limit -m limit --limit 100/sec --limit-burst 100 -j RETURN
iptables -A tcp-limit -j DROP
 
#  SYN-chain总流量限制
iptables -A SYN-chain -j SYN-limit
iptables -A SYN-chain -m hashlimit --hashlimit-name SYN-chain --hashlimit 30/sec --hashlimit-burst 30 --hashlimit-mode srcip -j ACCEPT
iptables -A SYN-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:SYN-chain"
iptables -A SYN-chain -j DROP
 
#  SYN-limit
iptables -A SYN-limit -m limit --limit 25/sec --limit-burst 25 -j RETURN
iptables -A SYN-limit -j DROP
 
#  ACK-chain总流量限制
iptables -A ACK-chain -j ACK-limit
iptables -A ACK-chain -m hashlimit --hashlimit-name ACK-chain --hashlimit 30/sec --hashlimit-burst 30 --hashlimit-mode srcip -j ACCEPT
iptables -A ACK-chain -m limit --limit 3/min -j LOG --log-prefix="Probable ddos:ACK-chain"
iptables -A ACK-chain -j DROP
 
#  ACK-limit
iptables -A ACK-limit -m limit --limit 25/sec --limit-burst 25 -j RETURN
iptables -A ACK-limit -j DROP

设计思路:

 

****如何永久保存iptables规则****

1.
systemctl stop firewalld

systemctl disable firewalld

2.
yum install iptables-services

3.
systemctl enable iptables

4.
systemctl restart iptables

5.
service iptables save

默认保存路径为 /etc/sysconfig/iptables
iptables实现目的IP转发,利用nat表output链修改数据包目的ip地址

iptables -t nat -A OUTPUT -d 192.168.2.9 -j DNAT --to-destination 192.168.2.10

 

ButFlyzzZ
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
iptables限流
逐月
11-02 266
iptables限流
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2130
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
如何用iptables限速?
weixin_34126557的博客
09-12 486
公司使用linux服务器来当网关,配置iptables NAT上网,虽然公司光纤带宽30MB,但只要有一个人使用迅雷等P2P软件下载资料时,会把带宽跑满,如何使用iptables来对每个用户进行带宽限速呢,参见如下脚本即可:cat limit.sh#!/bin/shfor ((i=2; i<254; i++))doiptables -I FORWARD -d ...
使用`tcpcopy`打造你的网络流量复制神器
最新发布
gitblog_00019的博客
04-16 504
使用tcpcopy打造你的网络流量复制神器 项目地址:https://gitcode.com/wangbin579/tcpcopy 项目简介 tcpcopy是一个开源项目,链接可直接访问其源代码仓库。它主要用于在网络环境中实时复制和重放TCP流量,对于开发者、测试人员和运维人员来说,这是一个非常实用的工具。借助tcpcopy,你可以轻松地在不同的服务器之间或者在同一台机器上的不同端口间复制网络通信...
iptables 限制流量
enchen的专栏
02-26 848
首先我們先新增兩條rule iptables -A FORWARD -s 192.168.0.1 -j ACCEPT iptables -A FORWARD -d 192.168.0.1 -j ACCEPT 我們內部有一個Nat的環境使用的IP範圍是192.168.0.0/24 要監控192.168.0.1這個ip的流量 首先我們先新增兩條rule iptables -A FORWARD -s
防火墙管理之iptables
T3212379478的博客
06-02 1127
iptables是配置netfilter过滤功能的用户空间工具。netfilter才是防火墙真正的安全框架,netfilter位于内核空间。我们可以理解iptables为一种命令行工具。iptables处理数据包的定义方法有,放行(accept)、拒绝(reject)、丢弃(drop)等。netfilter才是真正的防火墙,它是内核的一部分,那它要起作用,就需要在内核中设置关卡,所有进出报文都要通过这些关卡,经过检查,符合放行条件的才能放行,反之阻止。
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5045
本文介绍Linuxiptables命令的用法。
iptables+tc流量控制完整脚本
05-27
Linux Advanced Routing & Traffic Control HOWTO 中提到的Qos完整示例中的脚本。在书中提到的那个网站已经挂了,所以重新上传一个。把里面的内容稍微改改就能拿来用了。。挺方便的
android流量防火墙iptables原理详解
08-27
使用 Iptables 进行防火墙软件设计的解决方案。由于 Iptables 已经有了完善的防火墙规则,我们只需要设计一个基于 Iptables 的 Android 前台即可,通过运行脚本,调用 iptables 设置防火墙规则即可。
基于Linux LQL流量控制系统的研究与实现
06-26
该方法摒弃了传统方法中所运用的TC命令解析,netlink传输,内核空间执行的3层结构,而直接在Linux内核的框架下,采用LQL库直接对内核进行操控,并改进了相关U32过滤器以对IP段的流量控制,从而实现对系统的智能流量控制。...
Linux高级路由和流量控制
08-04
15.8. 终极的流量控制:低延迟,高速上/下载 98 15.8.1. 为什么缺省设置不让人满意 99 15.8.2. 实际的脚本(CBQ) 100 15.8.3. 实际的脚本(HTB) 102 15.9. 为单个主机或子网限速 103 15.10. 一个完全NAT和QOS的范例...
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
02-06
iptablesLinux 内核中的一种用户空间实用程序,用于控制网络包过滤、NAT(网络地址转换)和报文 mangling。它是 Linux 防火墙系统的核心,允许管理员定义规则集来决定哪些数据包可以通过,哪些被拒绝或重定向。...
linux 限制单个ip流量,centos 的單ip流量控制-CentOS下利用iptables限速及限制每IP連接數...
weixin_36453621的博客
05-05 553
第一步:建立adsl連接,在系統設置——網絡設置處有。在圖形界面下很容易搞定。第二步:打開IP轉發和偽裝(也就是路由與NAT)1、作為根用戶打開/etc/sysconfig/network文件,在文件增加以下一行: GATEWAYDEV=PPP0 這句話的作用是設定默認路由,有時沒有也可2、打開IP轉發功能:打開/etc/sysctl.conf文件,修改net.ipv4.ip_forward=0一...
iptables防火墙基本使用
孤独的根号三
11-01 428
iptables iptablesLinux上常用的防火墙软件,Linux CentOS 7默认没有安装iptables,默认的防火墙是firewalld,安装iptables之前先检查下当前CentOS 7系统下的firewalld防火墙状态,如果是开启状态,需要先关闭firewalld防火墙。 安装iptables防火墙 yum install iptables -y #cent...
iptables 限制某ip从某网卡流过
重装2023的博客
03-31 216
【代码】iptables 限制某ip从某网卡流过。
iptables限速 iptables限制流量
热门推荐
rheostat的专栏
08-14 1万+
iptables限速 iptables限制流量 Author:gaojinbo Time:2010-9-12   http://www.gaojinbo.com/iptables%E9%99%90%E9%80%9F-iptables%E9%99%90%E5%88%B6%E6%B5%81%E9%87%8F.html linux下通过iptables限制流量,简单,实用。通过以下脚本即可
iptables
Lockey23的博客
08-20 387
iptables/ip6tables 防火墙 网络端口转发 网关策略 网络地址伪装
TC(HTB) iptables流量控制
weixin_33860528的博客
11-13 248
TC(HTB) iptables流量控制 TC(HTB) iptables流量控制 TC(HTB) iptables流量控制 一、环境和要求: 线路:ADSL:2M/512K eth0:10.0.0.136,外网口 eth1:192.168.1.1,内网口 业务需求:保证正常的网页浏览,FTP,SMTP,POP3,对其它的所有应用加以限制,以免...
iptables基于域名的本机流量控制
Jack_he_li的博客
01-04 1648
iptables+ipset根据域名配置流量控制前言一、iptables配置二、使用步骤1.引入库2.读入数据总结新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 公司内网服务器,上面跑了几个程序(爬虫,每天定时从几个
tc 和 iptables控制流量
03-29
TC(Traffic Control)和iptables都是用于控制网络流量的工具,但它们的作用不同。 TC是一个Linux内核模块,用于控制网络接口的带宽、延迟、丢包率等参数,以实现流量控制和质量保证。TC的主要作用是通过限制带宽和延迟来限制网络流量,从而实现网络流量的优化和控制。 iptablesLinux上一个非常强大的防火墙和网络地址转换(NAT)工具,它可以控制网络数据包的流动,包括过滤、转发和修改。iptables主要用于控制网络流量的方向和允许或拒绝特定的数据包,以实现网络安全和流量控制。 因此,TC和iptables都可以用于控制网络流量,但是它们的作用有所不同,需要根据实际需求选择使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值