iptables链接追踪state/recent/NAT(三)

iptables概念和参数(一)

iptables基本规则演示(二)

四表:filter, nat, mangle, raw (低-->高)
五链:PREROUTING, INPUT, FOWARD, OUTPUT, POSTROUTING

链参数:添加 -N,删除 -X ,清空 -F,定义 -P ,重命名 -E,清空 -Z
规则参数:附加 -A, 插入 -I, 删除 -D, 替换 -R

查看-L -n -x -v



7,state扩展:链接追踪
state扩展:
启用连接追踪模板记录连接,并根据连接匹配连接状态的扩展;
启用连接追踪功能之前:简单包过滤防火墙;
启用连接追踪功能:带状态检测的包过滤防火墙;

专用选项:
--state STATE

调整连接追踪功能所能容纳的连接的最大数目:
/proc/sys/net/nf_conntrack_max

当前追踪的所有连接:
/proc/net/nf_conntrack

不同协议或连接类型追踪时的时长属性:
/proc/sys/net/netfilter/

插入在input第一条目标地址172.16.100.11,协议为TCP,放行两个链接 multiport,--dport 两个端口22,80,
state在做状态扩展,如果状态是NEW,允许,如果是ESTABLISHED也允许(链接建立第一次为NEW,其他都是ESTABLISHED)

iptables -I INPUT 1 -d 172.16.100.11 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT

 

放行来自源地址出站所有请求响应,只检查状态state 是ESTABLISHED -j ACCEPT
iptables -I OUTPUT 1 -s 172.16.100.11 -m state ESTABLISHED -j ACCEPT

放行ping请求
iptable -A input -d 172.16.100.11 -p icmp --icmp-type 8 -m state NEW,ESTABLISHED -j AACPT
注意:
接追踪功能所能容纳的连接的最大数目是:223740
/proc/sys/net/nf_conntrack_max
可以echo修改,也可以修改文件修改!

而某些大型互联网的负载均衡调度器能优化400W个链接,在某些场合中是不能开启的。
lsmod可查看 ,卸载
nf_conntrack

安全放行80端口,172.16.0.1为yum仓库地址
iptable -A OUTPUT -d 172.16.0.1 -p tcp --dport 80 -m state --state NEW -j ACCEPT
我们也可以这样写:
添加一条规则,为第一条,不管源是谁,目标是172.16.100.11.无论是那种协议,我们只检查状态,只要状态是ESTABLISHED,全放行
iptables -I INTPUT 1 -d 172.16.100.11 -m state ESTABLISHED -j ACCEPT
修改原来的第一条,为2,不管源是谁,目前是172.16.100.11,multiport放行22,80,状态为NEW,和multiport都放行
iptables -R INPUT 2 -d 172.16.100.11 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
TARGET:
如何放行被动模式下的ftp服务:
(1) 装载模块:
# modprobe nf_conntrack_ftp

(2) 放行请求报文
放行入站请求端口为21的请求报文;
放行所有状态为ESTABLISHED和RELATED状态的入站报文;

(3) 放行出站响应报文
放行所有状态为ESTABLISHED的出站报文;

对FTP而言,需要放行请求状态,还需求启动模块
iptables -R input 1 -d 172.16.100.11 -m multiport --dports
80,22,21 -m state --state NEW -j ACCEPT
iptables -R INPUT 1 -d 172.16.100.11 -m state ESTABLISHED,RELATED -j ACCEPT

装载FTP模块:modeprobe nf_conntrack_ftp
装载完毕,而后便可以追踪模块了
,现在便可以正常使用FTP了
如何保存及重载规则:
保存:
(1) service iptables save
调用内置命令save来保存
/etc/sysconfig/iptables文件;
(2) iptables-save > /PATH/TO/SOMEFILE
输出重定向保存,如果输出则无法使用service调用了
重载:
(1) service iptables reload

(2) iptables-restore < /PATH/FROM/SOMEFILE

也可以cat查看这些规则:
cat /etc/sysconfig/iptables
如果你使用vi来手动修改,难免会出现语法错误难以检查!
-j: jump,跳转目标
内置目标:
ACCEPT:接受
DROP:丢弃
REJECT:拒绝
自定义链:

NAT:Network Address Translation

仅从请求报文判断,地址转换:
源地址转换:SNAT
目标地址转换:DNAT
端口转换:PNAT

NAT Server: 能根据需要实现所谓的SNAT、DNAT或PNAT;
并非是用户空间运行的进程完成转换功能,靠的是内核中地址转换规则;

SNAT: CIP --> SIP: CIP --> SNAT(PIP) --> SIP
CIP: 本地客户端地址
DNAT:RemoteIP --> PIP: RemoteIP --> DNAT(SIP) --> SIP
RemoteIP:远程客户端地址;
PNAT:端口转换

私有的客户端访问互联网的方法:
(1) SNAT
(2) Proxy

SNAT:主要用于实现让内网客户端访问外部主机时使用;
注意:要定义在POSTROUTING链;也可以在OUTPUT上使用;

定义方法:
iptables -t nat -A POSTROUTING -s 内网网络或主机地址 -j SNAT --to-source NAT服务器上的某外网地址

另一个TARGET:
MASQUERADE:地址伪装;
能自行判断该转为哪个源地址;

iptables -t nat -A POSTROUTING -s 内网网络或主机地址 -j MASQUERADE

DNAT:主要用于发布内部服务器,让内网中的服务器在外网中可以被访问到;
注意:要定义在PREROUTING链;

iptables -t nat -A PREROUTING -d NAT服务器的某外网地址 -p 某协议 --dport 某端口 -j DNAT --to-destination 内网某服务器地址[:PORT]
示例:
地址转换
iptables -t添加到PREROUTING ,当目标地址是172.16.100.11的时候,协议是tcp,端口是80,做DNAT转换,to-destination为192.168.10.7:8080端口
iptables -t nat -A PREROUTING -d 172.16.100.11 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.7:8080
FULLNAT: 全地址转换
在请求报文到时:既修改源地址,又修改目标地址
ifconfig eth0 172.16.0.1 up
ifconfig eth0 172.16.100.11 up
ifconfig eth1 192.16.10.6/24 up
查看
iptable -t nat -L -n
所有的源地址转换做在POSTROUTING ,但凡来自192.168.10.0的网络,所有地址均做snat,SNAT 新的扩展 -to-source转换172.16.100.11
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.11
假如192.168.10.7是web服务器,做web服务转发
iptables -t NAT -A PRTROUTING -d 172.16.100.11 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.7
开启转发:
[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

*
抓eth0网卡的icmp包:tcpdump -i eth0 -nn icmp

ifconfig eth0 192.168.10.7/24 up
可以查看日志,查看NAT的效果!

--------------------------------------
recent扩展的用法
利用iptables的recent模块来抵御DOS攻击:
ssh: 远程连接,



1.利用connlimit模块将单IP的并发设置为3;会误杀使用NAT上网的用户,可以根据实际情况增大该值;

2.利用recent和state模块限制单IP在300s内只能与本机建立2个新连接。被限制五分钟后即可恢复访问。

下面对最后两句做一个说明:

1.第二句是记录访问tcp 22端口的新连接,记录名称为SSH
--set 记录数据包的来源IP,如果IP已经存在将更新已经存在的条目

2.第三句是指SSH记录中的IP,300s内发起超过3次连接则拒绝此IP的连接。
--update 是指每次建立连接都更新列表;
--seconds必须与--rcheck或者--update同时使用
--hitcount必须与--rcheck或者--update同时使用

3.iptables的记录:/proc/net/xt_recent/SSH

防doss的规则适用于裸奔于互联网上的机器,如果是web服务器,不建议使用

-----------------------------
layer7扩展实现基于应用层协议的访问控制,可以限制协议,例如:QQ,p2p等应用层协议的控制。如果你要使用可能需要编译和安装。

0 分享

您可以选择一种方式赞助本站

支付宝扫码赞助

支付宝扫码赞助

日期: 2015-05-16分类: Sys Basics

标签: Server_Books

发表评论