iptables的一些扩展使用

扩展匹配条件

tcp扩展模块

常用的扩展匹配条件如下：

• –sport：用于匹配 tcp 协议报文的源端口，可以使用冒号指定一个连续的端口范围。

• –dport：用于匹配 tcp 协议报文的目标端口，可以使用冒号指定一个连续的端口范围。

• –tcp-flags：用于匹配报文的tcp头的标志位。

• –syn：用于匹配 tcp 新建连接的请求报文，相当于使用 –tcp-flags SYN,RST,ACK,FIN SYN。

注意，-p tcp与 -m tcp 并不冲突，-p 用于匹配报文的协议，-m 用于指定扩展模块的名称，正好，这个扩展模块也叫 tcp。

#示例如下iptables -t filter -I OUTPUT -d 192.168.1.146 -p tcp -m tcp --sport 22 -j REJECTiptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m tcp --dport 22:25 -j REJECTiptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m tcp --dport :22 -j REJECTiptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m tcp --dport 80: -j REJECTiptables -t filter -I OUTPUT -d 192.168.1.146 -p tcp -m tcp ! --sport 22 -j ACCEPTiptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECTiptables -t filter -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECTiptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECTiptables -t filter -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags ALL SYN,ACK -j REJECTiptables -t filter -I INPUT -p tcp -m tcp --dport 22 --syn -j REJECT

udp 扩展模块

常用的扩展匹配条件：

• –sport：匹配udp报文的源地址。

• –dport：匹配udp报文的目标地址。

#示例iptables -t filter -I INPUT -p udp -m udp --dport 137 -j ACCEPTiptables -t filter -I INPUT -p udp -m udp --dport 137:157 -j ACCEPT

icmp 扩展模块

常用的扩展匹配条件：

• –icmp-type：匹配icmp报文的具体类型。

#示例iptables -t filter -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECTiptables -t filter -I INPUT -p icmp --icmp-type 8 -j REJECTiptables -t filter -I OUTPUT -p icmp -m icmp --icmp-type 0/0 -j REJECTiptables -t filter -I OUTPUT -p icmp --icmp-type 0 -j REJECTiptables -t filter -I INPUT -p icmp --icmp-type "echo-request" -j REJECT

multiport 扩展模块

常用的扩展匹配条件如下：

• -p tcp -m multiport –sports 用于匹配报文的源端口，可以指定离散的多个端口号,端口之间用”逗号”隔开。

• -p udp -m multiport –dports 用于匹配报文的目标端口，可以指定离散的多个端口号，端口之间用”逗号”隔开。

#示例如下iptables -t filter -I OUTPUT -d 192.168.1.146 -p udp -m multiport --sports 137,138 -j REJECTiptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport --dports 22,80 -j REJECTiptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport ! --dports 22,80 -j REJECTiptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport --dports 80:88 -j REJECTiptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport --dports 22,80:88 -j REJECT

iprange 模块

包含的扩展匹配条件如下：

• –src-range：指定连续的源地址范围。

• –dst-range：指定连续的目标地址范围。

#示例iptables -t filter -I INPUT -m iprange --src-range 192.168.1.127-192.168.1.146 -j DROPiptables -t filter -I OUTPUT -m iprange --dst-range 192.168.1.127-192.168.1.146 -j DROPiptables -t filter -I INPUT -m iprange ! --src-range 192.168.1.127-192.168.1.146 -j DROP

string 模块

常用扩展匹配条件如下：

• –algo：指定对应的匹配算法，可用算法为bm、kmp，此选项为必需选项。

• –string：指定需要匹配的字符串

我们想要达到的目的是，如果报文中包含”OOXX”字符，我们就拒绝报文进入本机：

#示例iptables -t filter -I INPUT -m string --algo bm --string "OOXX" -j REJECT

time 模块

常用扩展匹配条件如下：

• –timestart：用于指定时间范围的开始时间，不可取反。

• –timestop：用于指定时间范围的结束时间，不可取反。

• –weekdays：用于指定”星期几”，可取反。

• –monthdays：用于指定”几号”，可取反。

• –datestart：用于指定日期范围的开始日期，不可取反。

• –datestop：用于指定日期范围的结束时间，不可取反。

#示例iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 19:00:00 -j REJECTiptables -t filter -I OUTPUT -p tcp --dport 443 -m time --timestart 09:00:00 --timestop 19:00:00 -j REJECTiptables -t filter -I OUTPUT -p tcp --dport 80  -m time --weekdays 6,7 -j REJECTiptables -t filter -I OUTPUT -p tcp --dport 80  -m time --monthdays 22,23 -j REJECTiptables -t filter -I OUTPUT -p tcp --dport 80  -m time ! --monthdays 22,23 -j REJECTiptables -t filter -I OUTPUT -p tcp --dport 80  -m time --timestart 09:00:00 --timestop 18:00:00 --weekdays 6,7 -j REJECTiptables -t filter -I OUTPUT -p tcp --dport 80  -m time --weekdays 5 --monthdays 22,23,24,25,26,27,28 -j REJECTiptables -t filter -I OUTPUT -p tcp --dport 80  -m time --datestart 2017-12-24 --datestop 2017-12-27 -j REJECT

connlimit 模块

常用的扩展匹配条件如下：

• –connlimit-above：单独使用此选项时，表示限制每个IP的链接数量。

• –connlimit-mask：此选项不能单独使用，在使用–connlimit-above选项时，配合此选项，则可以针对”某类IP段内的一定数量的IP”进行连接数量的限制，如果不明白可以参考上文的详细解释。

#示例iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECTiptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECTiptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 --connlimit-mask 27 -j REJECT

limit 模块

connlimit 模块是对连接数量进行限制的，limit 模块是对”报文到达速率”进行限制的。用大白话说就是，如果我想要限制单位时间内流入的包的数量，就能用 limit 模块。我们可以以秒为单位进行限制，也可以以分钟、小时、天作为单位进行限制。常用的扩展匹配条件如下：

• –limit-burst：类比”令牌桶”算法，此选项用于指定令牌桶中令牌的最大数量。

• –limit：类比”令牌桶”算法，此选项用于指定令牌桶中生成新令牌的频率，可用时间单位有second、minute 、hour、day。

示例表示限制外部主机对本机进行ping操作时，本机最多每6秒中放行一个ping包

#示例，注意，如下两条规则需配合使用#令牌桶中最多能存放3个令牌，每分钟生成10个令牌（即6秒钟生成一个令牌）。iptables -t filter -I INPUT -p icmp -m limit --limit-burst 3 --limit 10/minute -j ACCEPT#默认将icmp包丢弃iptables -t filter -A INPUT -p icmp -j REJECT

state 扩展模块

当我们通过 http 的 url 访问某个网站的网页时，客户端向服务端的 80 端口发起请求，服务端再通过 80 端口响应我们的请求，于是，作为客户端，我们似乎应该理所应当的放行 80 端口，以便服务端回应我们的报文可以进入客户端主机，于是，我们在客户端放行了 80 端口，同理，当我们通过 ssh 工具远程连接到某台服务器时，客户端向服务端的 22 号端口发起请求，服务端再通过 22 号端口响应我们的请求，于是我们理所应当的放行了所有 22 号端口，以便远程主机的响应请求能够通过防火墙，但是，作为客户端，如果我们并没有主动向 80 端口发起请求，也没有主动向 22 号端口发起请求，那么其他主机通过 80 端口或者 22 号端口向我们发送数据时，我们可以接收到吗？应该是可以的，因为我们为了收到 http 与 ssh 的响应报文，已经放行了 80 端口与 22 号端口，所以，不管是”响应”我们的报文，还是”主动发送”给我们的报文，应该都是可以通过这两个端口的，那么仔细想想，这样是不是不太安全呢？此时 state 扩展模块就派上用场了。

对于 state 模块的连接而言，”连接”其中的报文可以分为5种状态，分别为：

• NEW：连接中的第一个包，状态就是 NEW，我们可以理解为新连接的第一个包的状态为 NEW。

• ESTABLISHED：我们可以把 NEW 状态包后面的包的状态理解为 ESTABLISHED，表示连接已建立。

• RELATED：从字面上理解 RELATED 译为关系，但是这样仍然不容易理解，我们举个例子。比如 FTP 服务，FTP 服务端会建立两个进程，一个命令进程，一个数据进程。命令进程负责服务端与客户端之间的命令传输（我们可以把这个传输过程理解成 state 中所谓的一个”连接”，暂称为”命令连接”）。数据进程负责服务端与客户端之间的数据传输 (我们把这个过程暂称为”数据连接”)。但是具体传输哪些数据，是由命令去控制的，所以，”数据连接”中的报文与”命令连接”是有”关系”的。那么，”数据连接”中的报文可能就是 RELATED 状态，因为这些报文与”命令连接”中的报文有关系。(注：如果想要对ftp进行连接追踪，需要单独加载对应的内核模块 nf_conntrack_ftp，如果想要自动加载，可以配置 /etc/sysconfig/iptables-config 文件)

• INVALID：如果一个包没有办法被识别，或者这个包没有任何状态，那么这个包的状态就是 INVALID，我们可以主动屏蔽状态为 INVALID 的报文。

• UNTRACKED：报文的状态为 untracked 时，表示报文未被追踪，当报文的状态为 Untracked 时通常表示无法找到相关的连接。

刚才举例中的问题即可使用 state 扩展模块解决，我们只要放行状态为 ESTABLISHED 的报文即可，因为如果报文的状态为 ESTABLISHED，那么报文肯定是之前发出的报文的回应，这样，就表示只有回应我们的报文能够通过防火墙，如果是别人主动发送过来的新的报文，则无法通过防火墙：

iptables -t filter -I INPUT -m state --state ESTABLISHED -j ACCEPT

mangle 表

mangle 表的主要功能是根据规则修改数据包的一些标志位，以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。mangle 表主要有以下 3 种操作：

• TOS：用来设置或改变数据包的服务类型域。这常用来设置网络上的数据包如何被路由等策略。注意这个操作并不完善，有时得不所愿。它在Internet 上还不能使用，而且很多路由器不会注意到这个域值。换句话说，不要设置发往 Internet 的包，除非你打算依靠 TOS 来路由，比如用 iproute2。

• TTL：用来改变数据包的生存时间域，我们可以让所有数据包只有一个特殊的 TTL。它的存在有 一个很好的理由，那就是我们可以欺骗一些ISP。为什么要欺骗他们呢？因为他们不愿意让我们共享一个连接。那些 ISP 会查找一台单独的计算机是否使用不同的 TTL，并且以此作为判断连接是否被共享的标志。

• MARK 用来给包设置特殊的标记。iproute 2能识别这些标记，并根据不同的标记（或没有标记） 决定不同的路由。用这些标记我们可以做带宽限制和基于请求的分类。

例如内网的客户端通过 Linux 主机连入 Internet，而 Linux 主机与Internet 连接时有两条线路，它们的网关如图所示。现要求对内网进行策略路由，所有通过 TCP 协议访问 80 端口的数据包都从 ChinaNet 线路出去，而所有访问 UDP 协议 53 号端口的数据包都从 Cernet 线路出去。

这是一个策略路由的问题，为了达到目的，在对数据包进行路由前，要先根据数据包的协议和目的端口给数据包做上一种标志，然后再指定相应规则，根据数据包的标志进行策略路由。为了给特定的数据包做上标志，需要使用mangle 表，mangle 表共有 5 条链，由于需要在路由选择前做标志，因此应该使用 PREROUTING 链，下面是具体的命令：

iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j MARK --set-mark 1;iptables -t mangle -A PREROUTING -i eth0 -p udp --dprot 53 -j MARK --set-mark 2;

数据包经过 PREROUTING 链后，将要进入路由选择模块，为了对其进行策略路由，执行以下两条命令，添加相应的规则：

ip rule add from all fwmark 1 table 10ip rule add from all fwmark 2 table 20

以上两条命令表示所有标志是1的数据包使用路由表 10 进行路由，而所有标志是 2 的数据包使用路由表 20 进行路由。路由表 10 和 20 分别使用了 ChinaNet 和 Cernet 线路上的网关作为默认网关，具体设置命令如下所示：

ip route add default via 10.10.1.1 dev eth1 table 10ip route add default via 10.10.2.1 dev eth2 table 20

以上两条命令在路由表 10 和 20 上分别指定了 10.10.1.1 和 10.10.2.1 作为默认网关，它们分别位于 ChinaNet 和 Cernet 线路上。于是，使用路由表 10 的数据包将通过 ChinaNet 线路出去，而使用路由表20的数据包将通过 Cernet 线路出去。

LOG 动作

LOG 动作默认会将报文的相关信息记录在/var/log/message文件中，当然，我们也可以将相关信息记录在指定的文件中，以防止 iptables 的相关信息与其他日志信息相混淆，修改 /etc/rsyslog.conf 文件（或者 /etc/syslog.conf），在 rsyslog 配置文件中添加如下配置即可：

kern.warning /var/log/iptables.log

完成上述配置后，重启rsyslog服务（或者syslogd）：

service rsyslog restart

LOG 动作也有自己的选项，常用选项如下：

• –log-level 选项可以指定记录日志的日志级别，可用级别有 emerg，alert，crit，error，warning，notice，info，debug。

• –log-prefix 选项可以给记录到的相关信息添加”标签”之类的信息，以便区分各种记录到的报文信息，方便在分析时进行过滤。–log-prefix 对应的值不能超过 29 个字符。

比如，我想要将主动连接22号端口的报文的相关信息都记录到日志中，并且把这类记录命名为”want-in-from-port-22″,则可以使用如下命令：

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "want-in-from-port-22"

完成上述配置后，我在IP地址为 192.168.1.98 的客户端机上，尝试使用 ssh 工具连接上例中的主机，然后查看对应的日志文件（已经将日志文件设置为 /var/log/iptables.log）：

ssh 连接操作的报文的相关信息已经被记录到了 iptables.log 日志文件中，而且这条日志中包含”标签”：want-in-from-port-22，如果有很多日志记录，我们就能通过这个”标签”进行筛选了，这样方便我们查看日志，同时，从上述记录中还能够得知报文的源IP与目标IP，源端口与目标端口等信息，从上述日志我们能够看出，192.168.1.98 这个 IP 想要在 14点11分 连接到 192.168.1.139（当前主机的 IP）的22号端口，报文由eth4网卡进入，eth4 网卡的 MAC 地址为 00:0c:29:b7:f4:d1，客户端网卡的 MAC 地址为 f4:8e:38:82:b1:29。