• iptables参数详解


    一、limit:速率限制
    -m limit 说明:
    --limit 1000/s #设置最大平均匹配速率
    --limit 5/m --limit-burst 15 #表示一开始能匹配的数据包数量为15个,每匹配到一个,limit-burst的值减1,所以匹配到15个时,该值为0,每过12s,limit-burst的值会加1,表示又能匹配1个数据包
    例子:
    iptables -A INPUT -i eth0 -m limit --limit 5/m --limit-burst 15 -j ACCEPT
    iptables -A INPUT -i eth0 -j DROP
    注意要点:
    1、--limit-burst的值要比--limit的大
    2、limit本身没有丢弃数据包的功能,因此,需要第二条规则一起才能实现限速的功能


    二、time :在特定时间内匹配
    -m time 说明:
    --monthdays day1[,day2]
    在每个月的特定天匹配
    --timestart hh:mm:ss
    在每天的指定时间开始匹配
    --timestop hh:mm:ss
    在每天的指定时间停止匹配
    --weekdays day1[,day2]
    在每个星期的指定工作日匹配,值可以是1-7
    例子:
    iptables -A INPUT -i eth0 -m time --weekdays 1,2,3,4 -jACCEPT
    iptables -A INPUT -i eth0 -j DROP


    三、ttl:匹配符合规则的ttl值的数据包
    -m ttl 说明:
    --ttl-eq 100
    匹配TTL值为100的数据包
    --ttl-gt 100
    匹配TTL值大于100的数据包
    --ttl-lt 100
    匹配TTL值小于100的数据包
    例子:
    iptables -A OUTPUT -m ttl --ttl-eq 100 -j ACCEPT


    四、multiport:匹配离散的多个端口
    -m multiport 说明:
    --sports port1[,port2,port3]
    匹配源端口
    --dports port1[,port2,port3]
    匹配目的端口
    --ports port1[,port2,port3]
    匹配源端口或目的端口
    例子:
    iptables -A INPUT -m multiport --sports 22,80,8080 -j DROP


    五、state:匹配指定的状态数据包
    -m state 说明:
    --state value
    value可以为NEW、RELATED(有关联的)、ESTABLISHED、INVALID(未知连接)
    例子:
    iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT


    六、mark:匹配带有指定mark值的数据包
    -m mac 说明:
    --mark value
    匹配mark标记为value的数据包
    例子:
    iptables -t mangle -A INPUT -m mark --mark 1 -j DROP
    拒绝特定的mac地址访问
    例子:
    iptables -A FORWARD -m mac --mac-source 00:0C:24:FA:19:80 -j DROP

    其它参数详解
    参数 --tcp-flags
    只过滤TCP中的一些包,比如SYN包,ACK包,FIN包,RST包等等
    例如: iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
    说明 比对 TCP 封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号,第二部分则列举前述旗号中哪些有被设,未被列举的旗号必须是空的。TCP 状态旗号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和
    NONE 进行比对。比对旗号时,可以使用 ! 运算子行反向比对。
    参数 --syn
    例如: iptables -p tcp --syn
    说明 用来比对是否为要求联机之 TCP 封包,与 iptables -p tcp --tcp-flags SYN,FIN,ACK的作用完全相同,如果使用 !,可用来比对非要求联机封包。
    参数 -m multiport --source-port
    例如: iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
    说明 用来匹配不连续的多个来源端口,一次最多可以匹配 15 个端口,可以使用 ! 进行反向比对。
    参数 -m multiport --destination-port
    例如: iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
    说明 用来匹配不连续的多个目的地端口,设定方式同上。
    参数 -m multiport --port
    例如: iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
    说明 这个参数比较特殊,用来匹配来源端口号和目的端口号相同的封包,设定方式同上。
    注意:在本范例中,如果来源端口号为 80目的端口号为 110,这种封包并不算符合条件。
    参数 --icmp-type
    例如: iptables -A INPUT -p icmp --icmp-type 8(icmp-request=8;icmp-reply=0)
    说明 用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。用 iptables -p icmp --help 来查看有哪些代码可用。
    参数 -m limit --limit
    例如: iptables -A INPUT -m limit --limit 3/hour
    说明 用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次 3 个封包。 除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如: /second、 /minute、/day。 除了进行封数量的比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,以避免因骇客使用洪水攻击法,导致服务被阻断。
    参数 --limit-burst
    例如: iptables -A INPUT -m limit --limit-burst 5
    说明 用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。
    参数 -m mac --mac-source
    例如: iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
    说明 用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting规则炼上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到哪个网络接口去。
    参数 --mark
    例如: iptables -t mangle -A INPUT -m mark --mark 1
    说明 用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最不可以超过 4294967296。
    参数 -m owner --uid-owner
    例如: iptables -A OUTPUT -m owner --uid-owner 500
    说明 用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。
    参数 -m owner --gid-owner
    例如: iptables -A OUTPUT -m owner --gid-owner 0
    说明 用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上。
    参数 -m owner --pid-owner
    例如: iptables -A OUTPUT -m owner --pid-owner 78
    说明 用来比对来自本机的封包,是否为某特定行程所产生的,使用时机同上。
    参数 -m owner --sid-owner
    例如: iptables -A OUTPUT -m owner --sid-owner 100
    说明 用来比对来自本机的封包,是否为某特定联机(Session ID)的响应封包,使用时机同上。
    参数 -m state --state
    例如: iptables -A INPUT -m state --state RELATED,ESTABLISHED
    说明 用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。
    INVALID 表示该封包的联机编号(Session ID)无法辨识或编号不正确。ESTABLISHED 表示该封包属于某个已经建立的联机。NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。RELATED 表示该封包是属于某个已经建立的联机,所建立的新联机。例如:FTP-DATA 联机必定是源自某个 FTP 联机
    参数 -m comment --comment "descripton"
    例如: iptables -A INPUT -p icmp --icmp-type 8 -j DROP -m comment --comment "拒绝ping防火墙"
    说明 给防火墙策略添加注释,拒绝任何到达防火墙的icmp请求

    TCP连接状态
    [root@web01 scripts]# netstat -tun
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 96 10.10.10.52:22 10.10.10.254:52032 ESTABLISHED
    LISTEN 侦听来自远方的TCP端口的连接请求
    SYN-SENT 再发送连接请求后等待匹配的连接请求
    SYN-RECEIVED 再收到和发送一个连接请求后等待对方对连接请求的确认
    ESTABLISHED 代表一个打开的连接
    FIN-WAIT-1 等待远程TCP连接中断请求,或先前的连接中断请求的确认
    FIN-WAIT-2 从远程TCP等待连接中断请求
    CLOSE-WAIT 等待从本地用户发来的连接中断请求
    CLOSING 等待远程TCP对连接中断的确认
    LAST-ACK 等待原来的发向远程TCP的连接中断请求的确认
    TIME-WAIT 等待足够的时间以确保远程TCP接收到连接中断请求的确认
    CLOSED 没有任何连接状态

  • 相关阅读:
    jvm的代码缓存耗尽导致性能下降
    几次印象深刻的网上事故
    是时候对十二年的工作回顾了!
    基于GitLab的前端Assets发布体系
    元数据简介
    JSON和JSONP
    Javascript模块规范
    Javascript编程风格
    Require JS
    JavaScript的AMD规范
  • 原文地址:https://www.cnblogs.com/xwupiaomiao/p/8004059.html
Copyright © 2020-2023  润新知