ipsec iptables_iptables -p

iptables

iptables [-t 表名] 命令选项 ［链名］ ［条件匹配］ ［-j 目标动作或跳转］

• -t 表名 可以省略，指定规则存放在哪个表中，默认为filter表 用于存放相同功能的规则
  • filter表: 负责过滤功能能，
  • nat表: 网络地址转换功能
  • mangle表: 拆解报文 做出修改并重新封装的功能
  • raw表: 关闭nat表上启用的连接追踪机制
• 命令选项
  • -A 在指定链的末尾添加（append）一条新的规则
  • -D 删除（delete）指定链中的某一条规则，可以按规则序号和内容删除
  • -I 在指定链中插入（insert）一条新的规则，默认在第一行添加
  • -R 修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换
  • -L 列出（list）指定链中所有的规则进行查看
  • -E 重命名用户定义的链，不改变链本身
  • -F 清空（flush）
  • -N 新建（new-chain）一条用户自己定义的规则链
  • -X 删除指定表中用户自定义的规则链（delete-chain）
  • -P 设置指定链的默认策略（policy）
  • -Z 将所有表的所有链的字节和数据包计数器清零
  • -n 使用数字形式（numeric）显示输出结果
  • -v 查看规则表详细信息（verbose）的信息
  • -V 查看版本(version)
  • -h 获取帮助（help）
• 链名 链是指很多规则串在一起组成一条链条，有先后顺序，总共就几个，根据规则分类的
  • INPUT 针对网络进入的报文规则
  • OUTPUT 针对网络出的报文规则
  • PREROUTING 路由前
  • POSTROUTING 路由后
  • FORWARD 转发
  • 也可以自定义链，但是自建链最终还是要放到上面的链上
• 条件匹配 选择匹配的选项
  • -p TCP/UDP/ICMP/all : 匹配的连接类型
  • -s ip/网段/hostname等 : 匹配source的具体项
  • -d ip/网段/hostname等 : 匹配destination的具体项
  • -i eth0等interface name
  • -m match extended match
  • –sport source port
  • –dport destination port
• -j target 指定匹配上规则后的具体动作
  • ACCEPT 允许数据包通过
  • DROP 直接丢弃数据包，不给任何回应信息
  • REJECT 拒绝数据包通过，必要时会给数据发送端一个响应的信息。
  • LOG在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则
  • 当自定义链时 在挂载自定义链到具体链时在这里指定自定义链

日常使用

• iptables -L -nv 查看规则 iptables -L 链名字 查看某个链的规则 -line-numbers 列数规则的编号，这个编号可用于删除
• iptables -I INPUT -s 11.250.199.16 -j DROP 在INPUT链首上插入一条规则，丢弃 11.250.199.16的访问
• iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT 在INPUT链尾上插入一条规则，允许 192.168 网段的访问 -A换为 -D就是删除
• iptables -A FORWARD -s 192.168.1.11 -j REJECT 拒绝转发来自192.168.1.10主机的数据
• iptables -I INPUT -s 121.14.48.1 -m statistic –mode random –probability 0.5 -j DROP 50%丢包
• iptables -A INPUT -p tcp -s 11.160.13.129 –dport 3306 -j DROP 丢弃通过tcp连接 3306端口的访问
• iptables -D INPUT 1 删除INPUT链的第一条规则
• iptables -F INPUT 清空此链中的规则
• service iptables save 它能把规则自动保存在/etc/sysconfig/iptables中, 当计算机启动时，rc.d下的脚本将用命令iptables-restore调用这个文件，从而就自动恢复了规则 需要yum install iptables-services

创建自定义链

• iptables -N xxx 创建自定义链xxx
• iptables -I xxx -s 11.250.199.16 -j DROP 对自定义链设置规则
• 注意: 到此为止这个自定义链都是无用的，因为没有在任何的默认链中引用
• iptables -I INPUT -ptcp –dport 3306 -j xxx 将自定义链xxx挂到INPUT链上 这时候次链就生效了
• iptables -E xxx new_xxx 修改自定义链名字 修改了名字引用自动生效
• iptables -X new_xxx 删除自定义链，但是要满足两个条件
  • 1.自定义链没有被任何默认链引用 有的话通过 iptables -D INPUT 1 删除
  • 2.自定义链中没有任何规则 有的话 iptables -F new_xxx 清空

ipset

ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找，除了一些常用的情况,比如阻止一些危险主机访问本机，从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网：http://ipset.netfilter.org/

• ipset create blacklist hash:net maxelem 1000000
  • 创建名为blacklist的ipset
  • hash:net 用什么进行hash ，也可以是hash:ip 就只能ip不能网段 hash:ip,port ip+port进行hash
  • ipset默认可以存储65536个元素，使用maxelem指定数量
  • 也可以有timeout 数字 这种参数，指定这个集合里默认的超时时间单位s，超时后会自动把里面的对象删除
• ipset list 查看已创建的ipset ipset list xxx 也可以带名字
• ipset add blacklist 10.60.10.10 加入一个名单ip 也可以是网段
  • ipset add blacklist 6.6.6.6 timeout 60 指定这个ip的超时时间，超时会自动被删除了 前提是create要有timeout 0 (0表示里面的对象可有超时可没有)
  • ipset -exist add blacklist 6.6.6.6 timeout 100 重新为其指定超时时间
• ipset del blacklist 10.60.10.xx 去除名单ip
• ipset flush 清空所有集合 ipset flush blacklist 清空blacklist集合
• ipset destroy blacklist 删除ipset 不能有任何下游依赖 ipset destroy 销毁所有集合
  • 如果这个集合被链使用着不能删除 需要先去掉 iptables -D INPUT 1
  • 如果这个集合非空不能删除 需要ipset flush blacklist
  • 如果这个集合有被其他链使用着也不能被删除 需要 iptables -F 链名 清空链下的内容
• ipset save blacklist -f blacklist.txt 将ipset规则保存到文件
• ipset save blacklist 输出到标准输出 ipset save 输出所有集合到标准输出
• ipset restore -f blacklist.txt 导入ipset规则 这个规则其实就是一些语句，必须ipsetname不存在才能导入
• ipset restore 根据输入内容导入
• ipset rename old_name new_name 改名
• iptables -I INPUT -m set –match-set blacklist src -p tcp –dport 80 -j DROP 使用ipset集合到INPUT链，相当于就是批量添加
• service ipset save save后重启自动生效 需要yum install ipset-service 会把配置放到/etc/sysconfig/ipset.d/ 下
• ipset 不支持0.0.0.0/0 所有ip，可以替换为 0.0.0.0/1 128.0.0.0/1

ipset+自定义链

• ipset create WhiteList hash:net maxelem 1000000 # 创建白名单集合
• iptables -N xxxx # 创建自定义链xxxx
• iptables -I xxxx -mset –match-set WhiteList src -j ACCEPT # 匹配白名单的包予以通过 -I换为-D就是删除这个规则
• iptables -A xxxx -j REJECT #拦截所有未通过白名单的包 不加任何区域默认为 0.0.0.0/0 all
• iptables -I INPUT -ptcp –dport 3306 -j xxxx #将链挂到input中

总结使用规则

• 规则的顺序
  • 已经被前面规则匹配的，iptables会对报文执行相应的-j动作，后面的规则就不能再匹配了，已经执行动作了。只有没有匹配的才会继续匹配下面的规则
  • 所以针对相同服务的规则，更严格的规则应该放在前面，这样在前面就能挡掉大部分的连接，减少过多的匹配耗时
• 当规则中存在多个匹配条件时，条件之间是与的关系， 比如既有-s 又有 -dport 又有-p 这些是与的关系
• 要将更容易匹配到的规则放在最前面 跟第一条有所矛盾
  • 比如数据库服务的白名单，最多访问数据库的是应用，所以应用白名单规则应该放在最前面避免影响多数连接的匹配耗时
• 当使用iptables做网络防火墙时，要考虑方向性，即进入的和出去的网络
• 在做白名单服务时，应当把链的默认策略设置为ACCEPT，链的最后端设置为REJECT规则实现白名单机制
  • 假如把默认设置为DROP，后端设置为ACCEPT时候，当后端规则被清空了，则管理员请求也会被drop

参考

• http://www.zsythink.net/archives/tag/iptables/ 14节详细讲解
• https://www.cnblogs.com/metoy/p/4320813.html 快速查看指令
• https://www.cnblogs.com/vijayfly/p/7205559.html ipset使用
• https://www.cnblogs.com/CasonChan/p/5319364.html ipset详细使用

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/184907.html原文链接：https://javaforall.cn