基本匹配条件
-s 匹配条件 源地址
① 一次性指定多个ip源地址,用“逗号”隔开,多个特定ip地址
iptables -t filter -I INPUT -s 192.168.23.242,192.168.23.47 -j DROP
② 指定特定网段
iptables -I INPUT -s 192.168.23.0/24 -J DROP
③ 匹配取反条件
iptables -t filter -A INPUT ! -s 192.168.23.246 -j ACCEPT
意思为不是23.246的包就可以接受 但是没有指明23.246的包如何处理
所以23.246的包应该是没有匹配规则之后就会执行默认的规则也就是accpet规则所以取反规则相当于无效。
-d 匹配条件目标地址
我们可以用如下规则去查看我们当前机器的地址总共有多少
ifconfig | awk '/inet addr/{print $1,$2}'
比如当前机器有多个网络出口,当前我只对某个接口进行接口的生效作用,当我个更换机器的的网络出口的时
该网络协议包还是可以正常运作,以路由器为例
当前路由器有蜂窝LTE出口ip、wlan出口ip、wan口出口ip、lan口出口ip等等
①指定不接收某个指定 ip 地址,指定不接收wan口请求相关的ping包等
iptables -I INPUT -s 192.168.23.46 -d 192.168.23.44 -j DROP
则当前规则生效
②一次性指定多个ip地址和-s一样
-p 协议类型
①只想拒绝 tcp请求
iptables -t filter -I INPUT -s 192.168.23.246 -d 192.168.23.44 -p tcp -j DROP
当前ping还是可以ping通 但是ssh失败了失去响应 说明当前的防火墙规则生效
在centos6中,-p支持的协议类型有
tcp、udp、udplite、icmp、esp、ah、sctp
centos7中除了上面的协议外 还支持 icmpv6、mh
当不适用-p则默表示所有类型的协议都会被匹配到,与使用-p all的效果相同
-i 网卡接口
-i 用于匹配报文流入的网卡, 从网卡出去的报文是不会用到-i选项的
-i 一般用于PREROUTING、INPUT链、FORWARD链
当主机有多块网卡时,可以使用-o选项,匹配报文将由哪块网卡流出,-o和-i是相对的,-i用于匹配报文从哪个网卡流入。-o 匹配从哪个网卡流出
-o 一般只能是POSTROUTING链、OUTPUT链、 FORWARD链
扩展匹配条件
--dport(--sport)源端口目的端口
基本匹配条件如源地址、目的地址可以直接用 然而扩展匹配条件的使用 需要依赖相应的扩展模块。
如果在-p中已经指定协议,则默认使用协议中写的模块名。
如果没有必须要指定对应的模块 -m +模块名 这样才能正常使用 --dport功能
--dport(--sport)
① 在使用--dport之前一定要先定义好是在哪个模块协议上进行使用的
否则会无法正常使用 --sport
iptables -I INPUT -p tcp -s 192.168.23.246 --sport 22 -j DROP
② 拒绝多个端口的访问 可以在-m 后面加上multiport加上多个端口
iptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT
③ 用 :的方式来决定当前的端口是从哪个端口到哪个端口
iptables -A INPUT -p tcp -m multiport --dports 22,80,22:443 -j ACCEPT
--src-range (--dst-range)
指定一段连续的ip地址范围
iptables -I INPUT -m iprange --src-range 192.168.23.240-192.168.23.246 -j DROP
--string
--alogo指定对应的匹配算法,可用算法为bm、kmp,此选项为必需选项
--string指定需要匹配的字符串
报文中包含字符XXX,我们就丢弃当前的报文
iptables -I INPUT -m string --algo bm --string "百度一下" -j REJECT
-m string表示使用string模块--algo bm表示用bm算法去匹配指定的字符串,--string " "要匹配的内容
--algo:用于指定匹配算法 可选的算法有bm和kmp 此选项为必选项
time
表示报文到达的时间在指定的时间范围内 则符合匹配条件
比如在指定的时间内规定不能看网页,如家中的熊孩子周六日的早上9:00到下午6:00不能浏览网页
--timestart 指定时间范围的开始时间,不可取反
--timestop 指定时间范围的结束时间,不可取反
--weekdays 指定星期几 可取反
--monthdays 指定几号,可取反
--datestart 用于指定日期范围的开始日期 不可取反
--datestop 用于指定日期范围的结束时间 不可取反
iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 19:00:00 -j REJECT iptables -t filter -I OUTPUT -p tcp --dport 443 -m time --timestart 09:00:00 --timestop 19:00:00 -j REJECT iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --weekdays 6,7 -j REJECT iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --monthdays 22,23 -j REJECT iptables -t filter -I OUTPUT -p tcp --dport 80 -m time ! --monthdays 22,23 -j REJECT iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 18:00:00 --weekdays 6,7 -j REJECT iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --weekdays 5 --monthdays 22,23,24,25,26,27,28 -j REJECT iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --datestart 2017-12-24 --datestop 2017-12-27 -j REJECT
限制从2019.12.15-2019.12.16都不能上网
connlimit模块
主要用来限制连接服务器的数量
常用的扩展匹配条件如下
--connlimit-above 单独使用此选项时,表示限制每个ip的链接数量
--connlimit-mask 选项不可单独使用,配合--connlimit-above选项,配合此选项针对某类ip段内的一定数量的ip进行连接数量限制
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 --connlimit-mask 27 -j REJECT
限制链接数量上限,如每个ip地址最多只能占用2个ssh链接远程到server端,我们可以用如下的限制
可以发现第三个连接就不能正常连接进来了
mask为掩码的意思 24转换成十进制表示的是255.255.255.0一个最多只能包含254个ip的C类网址中,
同时最多只能有2个ssh客户端连接到当前服务器...如果子网掩码是27 表示为这个网段中最多只能有30个ip
limit模块
主要用来调整网络流量和速率限制
--limit-burst 类比令牌桶算法 此选项用于指定令牌桶中令牌的最大数量
--limit 类比令牌桶算法 此选项用于指定令牌桶中生成新令牌的频率,可用时间单位有second minute hour day
iptables -t filter -I INPUT -p icmp -m limit --limit-burst 3 --limit 10/minute -j ACCEPT
iptables -t filter -A INPUT -p icmp -j REJECT
令牌桶算法是网络流量整形(Traffic Shaping)和速率限制(Rate Limiting)中最常使用的一种算法。典型情况下,令牌桶算法用来控制发送到网络上的数据的数目,并允许突发数据的发送。
大小固定的令牌桶可自行以恒定的速率源源不断地产生令牌。如果令牌不被消耗,或者被消耗的速度小于产生的速度,令牌就会不断地增多,直到把桶填满。后面再产生的令牌就会从桶中溢出。最后桶中可以保存的最大令牌数永远不会超过桶的大小。
如果令牌桶中存在令牌则允许发送流量,如果令牌桶中不存在令牌,则不允许发送流量
令牌桶算法 假如用户配置的平均发送速率为r,每个1/r 秒 一个令牌被加入捅中
假设桶最多可以存b个令牌 如果令牌桶满 则令牌会被丢弃
当一个n个字节(一个字节需要一个令牌才能发送数据)的数据包到达 就从令牌桶中拿出那个令牌 将数据包发送到网络
如果令牌桶中少于 n个令牌,那么数据包在流量限制之外,
对于在流量限制之外的数据包的处理方式有以下几种
1 被丢弃 2排列在队列中当令牌桶积累足够多令牌再传输 3 单个数据包拿单个令牌继续发送需要做特殊标记 网络过载时就会把这些特殊标记包丢弃
--limit用于指定多长时间生成一个新令牌的b limit-burst指的是木桶中最多存放几个令牌
如上例中表示令牌桶最多存放3个令牌 每分钟生成10个令牌(6s 生成一个令牌)
对报文到达速率进行限制 想要限制单位时间内流入的包的数量 就用limit模块(单位时间可以是 分钟 小时 天)
比如限制本机最多每6s放行一个ping包
--tcp-flags
tcp头中的标志位 结构表如下
第一条命令为第一次握手的报文 第二条命令为第二次握手的报文
iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT iptables -t filter -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECT iptables -t filter -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags ALL SYN,ACK -j REJECT