iptables系列三

iptables -N clean_in 
iptables -L -n 
iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP 
iptables -L -n --line-number 
iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP 
iptables -A clean_in -p tcp !--syn -m state --state NEW -j DROP 
iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP 
iptables -A clean_in -p tcp tcp-flags ALL NONE -j DROP 
iptables -A clean_in -d 172.16.1.3 -j RETURN 
iptables -I INPUT -j claen_in 
iptables -L -n --line-numbers

iptables -X clean_in 
定义自定义链，以及链的引用于返回等。

 ssh: 远程连接,
 iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP 
 iptables -I -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH 
 iptables -IINPUT -p tcp --dport 22 -m state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP 
 
 -m recent :将最近向本机发起连接请求的ip地址记录下来。允许您动态创建一个地址列表，然后用几种不同的方式对该列表的匹配。
       --name 
           为模板命名。一个内存空间。


 1.利用connlimit模块将单IP的并发设置为3；会误杀使用NAT上网的用户，可以根据实际情况增大该值；

2.利用recent和state模块限制单IP在300s内只能与本机建立3个新连接。被限制五分钟后即可恢复访问。

1.第二句是记录访问tcp 22端口的新连接，记录名称为SSH
--set 记录数据包的来源IP，如果IP已经存在将更新已经存在的条目

2.第三句是指SSH记录中的IP，300s内发起超过3次连接则拒绝此IP的连接。
--update 是指每次建立连接都更新列表；
--seconds必须与--rcheck或者--update同时使用
--hitcount必须与--rcheck或者--update同时使用

3.iptables的记录：/proc/net/ipt_recent/SSH
/proc/net/xt_recent/


也可以使用下面的这句记录日志：
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --name SSH --second 300 --hitcount 3 -j LOG --log-prefix "SSH Attack"

SNAT：源地址转换  POSTROUTING,OUTPUT 
DNAT：目标地址转换 PREROUTING 

-j SNAT 
   --to-source ipaddr[-ipaddr][:port[-port]]
  
 可以做静态NAT，动态NAT，端口NAT
  
MASQUERADE 
这个目标只适用于nat表，在POSTROUTING连锁。它只能用于动态分配的IP（拨号）连接.自动查找一个可以上网的IP地址进行源地址转换。

-j  MASQUERADE 
     --to-ports port[-port]
     --radom 
 
ip_forward 
/proc/sys/net/ipv4/ip_forward:1 

route -n 
iptables -P INPUT ACCEPT 
iptables -P OUTPUT ACCEPT 
iptables -P FPRWARD ACCEPT 
注意：对于linux，地址是属于主机的，不属于网卡的，所以一台主机上，ip都是可以通信的。

echo "1" > /proc/sys/net/ipv4/ip_forward 

vim /etc/sysctl.conf 
net.ipv4.ip_forward=1 
sysctl -p 

route del -net 0.0.0.0 
route add default gw 172.16.100.7 


地址池表

TCP报文的序列号 
nat基于地址表+nf_conntrack...


iptables -t nat 
     -j SNAT 
         --to-source 
         
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to-source 172.16.100.7  

tcpdump -i  eth0 -nn -X -p icmp 
tcpdump -i eth0 -nn  |grep 192

iptables -t nat -A PREROUTING -d 192.168.1.10 -j DNAT --to-destination 172.16.10.6 
 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o pppoe -j SNAT--to-source 123.2.3.2 

iptables -A FORWARD -s 192.168.0.0/24 -p icmp -j DROP 

iptables -P FORWARD DROP 
iptables -A FROWARD -m state ESTABLISHED -j ACCEPT 

iptables　-A FORWARD -s 192.168.10.0/24 -p tcp --dport 80 -m state NEW -j ACCEPT 
iptables -A FORWARD 192.168.10.0/24 -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT 
 
lsmod |grep ftp 
注意：网络防火墙，建立在FORWARD上的链。


 -j DNAT 
   --to-destination [ipaddr][-ipaddr][:port[-port]]
  --random
   --persistent
   

iptables -t nat -A PREROUTING -d 192.168.1.10  -p tcp --dport 21 

iptables -t nat -A PREROUTING -d 172.16.100.7 -p tcp --dport 80 -j DNAT  

请求内容过滤：
iptables -t filter -A FORWARD -m string --algo kmp --string "hello" -j DROP