摘要:iptables非常强大,但是参数选项多,学习成本较高。本文将常用的iptables的命令进行汇总,在关键时刻方便拿来即用。
iptables非常强大,但是参数选项多,学习成本较高。本文将常用的iptables的命令进行汇总,在关键时刻方便拿来即用。
文章目录
iptables的四表五链查看表的详细规则端口转发开启内核转发本地端口转发多主机端口转发单端口转发多端口转发多对一端口转发多对多端口转发MASQUERADE的作用iptables增加、插入、删除规则在第n条规则后插入规则删除指定表中某个链的全部规则iptables 拒绝入方向流量拒绝ip段访问本机端口段的请求拒绝指定ip的所有请求拒绝ip段的ICMP流量限制只有指定IP段能访问REJECT 和 DROP 的区别应用场景iptables 拒绝出方向流量放行某个端口,但拒绝其他全部流量拒绝出方向的域名请求iptables伪造发送源ipiptables限制端口的并发数和请求频率安装压测工具ab限制端口的每分钟请求频率限制端口并发数限制端口总并发数限制单个ip端口并发数iptables规则取反让iptables规则永久生效使用 iptables-persistent使用iptables-save 保存规则iptables的四表五链是指iptables中的四个表和五个链。四个表分别是:
filter表:用于过滤数据包,控制网络流量。NAT表:用于对数据包进行地址转换,实现网络地址转换(NAT)功能。mangle表:用于修改数据包的头部信息,比如TTL、TOS等。raw表:用于处理数据包的连接状态,对于未建立连接的数据包进行处理。五个链分别是:
PREROUTING:数据包进入路由之前进行处理。INPUT:数据包进入本机之前进行处理。FORWARD:数据包转发到其他主机之前进行处理。OUTPUT:数据包从本机发出之前进行处理。POSTROUTING:数据包离开路由之后进行处理。iptables中需要用 -t 来指定查看对应表的规则,不指定默认为filter表的规则。例如查看nat表的规则:
iptables -t nat -L显示编号方便删除指定的规则。
echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.confsysctl -p本地端口转发,只涉及一台机器。比如外部访问本机的2222端口转发到本地的22端口。
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j REDIRECT --to-port 22添加上面的规则后,外部可以访问,但是本地127.0.0.1无法访问。因为本地的请求不经过PREROUTING。
A的ip是192.168.1.2,B的ip是192.168.1.1,A和B是内网互通的,现在有一个外部ip(1.2.3.4)为C,C想通过访问B的2222端口从而访问到A的22端口。
该命令很重要!将所有从A机器返回的TCP流量的源地址改为B机器的IP地址,不管单端口还是多端口转发都需要执行。
单端口转发iptables -t nat -A PREROUTING -s 1.2.3.4 -p TCP --dport 2222 -j DNAT --to-destination 192.168.1.2:22第一条命令将所有目的地为1.2.3.4且端口为2222的TCP流量重定向到A机器的22端口。
注意:这两条都要在B机器上执行,因为它是外部访问的目标机器。
如果不想限制外部访问的来源是C,可以不指定-s选项。
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.2:22这样任意外部ip访问都可以请求转发了。
多端口转发针对上面的命令,如果是多端口转发,可以分为多对一和多对多的情况。
注意:经测试,iptables不支持在一条命令中实现不同主机的多端口的不同映射。比如同时将B的80转发到A的8080,将B的443转发到A的4443。
多对一端口转发例如将B的50000到60000的端口全部转发到A的443端口,命令如下:
iptables -t nat -I PREROUTING -p tcp -m multiport --dport 50000:60000 -j DNAT --to-destination 192.168.1.2:443注意:”–dports” 参数指定端口范围,使用冒号 “:” 表示起始端口和结束端口之间的范围。
多对多端口转发例如将B的50000到60000的端口全部转发到A的50000到60000的端口,命令如下:
iptables -t nat -I PREROUTING -p tcp -m multiport --dport 50000:60000 -j DNAT --to-destination 192.168.1.2:50000-60000当然多个端口也可以是不连续的,比如80、443、8080同端口转发,端口用逗号”,”隔开,–to-destination后面的ip不用再指定端口。
iptables -t nat -I PREROUTING -p tcp -m multiport --dport 80,443,8080 -j DNAT --to-destination 192.168.1.2注意:–to-destination 参数后,使用”-“表示起始端口和结束端口之间的范围。
MASQUERADE作用是,从服务器的网卡上,自动获取当前ip地址来做NAT,就不用手动指定转换的目的IP了,实现了动态的SNAT。
这条命令用MASQUERADE可以换成下面的写法。
iptables -t nat -A POSTROUTING -d 192.168.1.2 -p tcp --dport 22 -j MASQUERADE这样的优点在于机器B的ip如果发生变化,不用重新修改–to-source,iptables会自动替换,实现动态SNAT。
iptables -I比如要在nat表的POSTROUTING链的第三条规则后增加一条规则。
iptables -t nat -I POSTROUTING 3iptables -t 表名 -F 链名
其中,表名可以是filter、nat、mangle、raw等,链名可以是INPUT、OUTPUT、FORWARD等。
例如,要清空filter表中INPUT链的所有规则,可以使用以下命令:
iptables -t filter -F INPUT注意这个操作是不可逆的,清空后所有的规则都将被删除。
例如将源IP为47.100.0.0/16的TCP流量目的端口为40000-60000的数据包丢弃,命令如下:
iptables -A INPUT -s 47.100.0.0/16 -p tcp --dport 40000:60000 -j DROP例如拒绝 47.100.0.1 的所有请求,命令如下:
iptables -A INPUT -s 47.100.0.1 -j DROP例如拒绝10.8.0.0/16 ip段的所有icmp且type为8的流量。
iptables -A INPUT -s 10.8.0.0/16 -p icmp --icmp-type 8 -j DROP同理其他协议的流量,也可以修改iptables 的 -p 参数,支持 TCP,udp,ICMP,ICMPv6,esp,ah,sctp,udplite 和 all 协议。
白名单:先允许,再拒绝。
例如只允许192.168.0.0/16的ip段访问本机,其他ip的请求都拒绝,命令如下:
iptables -I INPUT -s 192.168.0.0/16 -j ACCEPTiptables -I INPUT -s 0.0.0.0/0 -j DROPREJECT和DROP是iptables中的两种不同的动作。
REJECT会向源地址回送一条信息,告诉它被拒绝了,而DROP则是默默地将数据包丢弃。所以使用REJECT可以让源地址知道它的请求被拒绝了,而DROP则会使源地址一直等待直到超时。
以SSH为例,只放通22端口入方向的流量,拒绝所有出流量。
iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A OUTPUT -j DROP先允许,再拒绝。第二条命令允许与已建立的连接相关的出站流量,为了保证进来的SSH连接能够正常通信(即能够通过SSH发送命令和接收回应)。
一般 iptables 自带的都有 string 模块,这个模块的作用就是匹配字符串,匹配到泛域名的 URL,然后就把数据包丢弃,就实现了屏蔽泛域名的功能。
例如要限制访问 youtube.com,命令如下:
iptables -A OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP对命令的参数进行解释。
-m string
# 指定模块;
--string "youtube.com"
# 指定要匹配的字符串(域名、关键词等);
--algo bm
# 指定匹配字符串模式/算法(还有一种更复杂的算法:kmp);
--to 65535
# 指定端口,这里代表所有端口(1-65535);
-j DROP
# 指匹配到数据包后处理方式,这里是丢弃数据包。
使用内网的两台主机进行测试。
iptables -t nat -D POSTROUTING -d -o eth0 -j SNAT --to-source
经测试内网的主机是可以的,需要注意iptables伪造的ip能发送,但是无法收到回包。
图中fake-ip.py和iptables伪造源ip的作用是一样的,但测试公网主机无法收到伪造的报文。
yum install httpd-tools -y
命令如下,注意最后的斜杠 / 一定不能少。
ab -n 1000 -c 10 http://ip:port/
-n 总共请求1000次-c 每次并发10个这个规则将在每个IP地址的每个60秒内限制HTTP连接到80端口的数量为100个。如果超过了这个限制,连接将被拒绝。
使用iptables的connlimit模块来实现限制80端口的并发量不超过10个,超过则拒绝连接。注意这里是对所有ip并发的总数进行限制的,不是对于单个ip的并发限制。
--connlimit-mask 32: 指定掩码为32,表示限制单个IP的并发连接数。上面的规则只能限制单个IP的并发连接数,如果需要限制所有的IP的并发连接数,可以使用--connlimit-mask 0。
iptables 用 !取反的,例如禁止除了tcp协议之外的所有协议。
iptables -A INPUT ! -p tcp -j DROP禁止除了 192.168.0.0/16 之外所有的ip。
iptables -A INPUT ! -s 192.16.0.0/16 -j DROP默认iptables的规则在重启后会失效,所以需要将规则持久化。
iptables-persistent 是一个 Debian/Ubuntu 系统上的工具,可以在重新启动后自动加载 iptables 规则。使用以下命令安装:
apt-get install -y iptables-persistent在安装过程中,会被要求保存当前的 iptables 规则。安装完毕后,可以使用以下命令来保存新的 iptables 规则。
service netfilter-persistent saveiptables-save > /etc/iptables.rules将 iptables 规则保存到 /etc/iptables.rules 文件中,可以使用以下命令来加载。
iptables-restore为了在系统启动时自动加载 iptables 规则,可以将上述命令添加到 /etc/rc.local 文件中。该文件中的命令将在每次系统启动时自动执行。
来源:Web3软件开发
