举例实现iptables多端口匹配、连接追踪、字符串匹配、时间匹

一、基本匹配条件：

基本匹配条件：内建
    基本匹配条件：无需加载任何模块，由iptables/netfilter自行提供；

• [!] -s, --source address[/mask][,...]：检查报文中的源IP地址是否符合此处指定的地址或范围,加！是取反；

[root@bogon ~]# iptables -t filter -A INPUT -s 192.168.0.0/16 -d 192.168.1.11 -p tcp -j ACCEPT#允许来自192.168的原地址访问本机tcp服务
[root@bogon ~]# iptables -A OUTPUT -s192.168.1.11 -d  192.168.0.0/16  -p tcp -j ACCEPT#允许本机来访问192.168的目的地址的主机tcp服务

• [!] -d, --destination address[/mask][,...]：检查报文中的目标IP地址是否符合此处指定的地址或范围，加！是取反；
  所有地址：0.0.0.0/0
• [!] -p, --protocol protocol：指定协议
  protocol: tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh or "all"
  {tcp|udp|icmp}

[root@bogon ~]# iptables -A INPUT -d 192.168.1.11 -p icmp -j ACCEPT #允许icmp协议ping进来
[root@bogon ~]# iptables -A OUTPUT -s 192.168.1.11 -p icmp -j ACCEPT#允许icmp协议有ping返回值

• [!] -i, --in-interface name：数据报文流入的接口；只能应用于数据报文流入的环节，只能应用于PREROUTING，INPUT和FORWARD链；
• [!] -o, --out-interface name：数据报文流出的接口；只能应用于数据报文流出的环节，只能应用于FORWARD、OUTPUT和POSTROUTING链；
  处理动作：-j targetname [per-target-options]
  ACCEPT
  DROP
  REJECT

二、匹配条件中的扩展匹配条件：

• 隐式扩展：在使用-p选项指明了特定的协议时，无需再同时使用-m选项指明扩展模块的扩展机制；
• 显式扩展：必须使用-m选项指明要调用的扩展模块的扩展机制；

1、隐式扩展

• 隐式扩展：不需要手动加载扩展模块；因为它们是对协议的扩展，所以，但凡使用-p指明了协议，就表示已经指明了要扩展的模块；

tcp协议：

• [!] --source-port, --sport port[:port]：匹配报文的源端口；可以是端口范围；

[root@bogon ~]# iptables -I INPUT -s 192.168.1.0/16 -d 192.168.1.11 -p tcp --dport 22 -j ACCEPT #指定原地址范围可以访问本机的22号端口
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.11 -d 192.168.1.0/16 -p tcp --sport 22 -j ACCEPT#
[root@bogon ~]# iptables -A INPUT -d 192.168.1.11 -j -REJECT#如果不能被上面两条匹配，主机拒绝任何访问
[root@bogon ~]# iptables -A OUTPUT -s 192.168.1.11 -j -REJECT
[root@bogon ~]# iptables -P INPUT ACCEPT
[root@bogon ~]# iptables -P OUTPUT ACCEPT

• [!] --destination-port,--dport port[:port]：匹配报文的目标端口；可以是端口范围；
• [!] --tcp-flags mask comp
  mask is the flags which we should examine, written as a comma-separated list，
  例如 SYN,ACK,FIN,RST
  comp is a comma-separated list of flags which must be set，
  例如SYN
  例如：“--tcp-flags SYN,ACK,FIN,RST SYN”表示，要检查的标志位为SYN,ACK,FIN,RST四个，其中SYN必须为1，余下的必须为0；
  [!] --syn：用于匹配第一次握手，相当于”--tcp-flags SYN,ACK,FIN,RST SYN“；

udp协议

• [!] --source-port, --sport port[:port]：匹配报文的源端口；可以是端口范围；
• [!] --destination-port,--dport port[:port]：匹配报文的目标端口；可以是端口范围；

[root@bogon ~]# iptables -I INPUT -d 192.168.1.11 -p udp --dport 137:138 -j ACCEPT #开放可以访问本机udp的137到138端口
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.11 -p udp --sport 137:138 -j ACCEPT #本机udp的137到138端口可出站

icmp协议：

• [!] --icmp-type {type[/code]|typename}
  echo-request：8 #ping出去，回显请求
  echo-reply：0 #ping响应

设置本机可以ping其他主机，其他主机不能ping本机             
[root@bogon ~]# iptables -A INPUT -i eth0  -j REJECT#设置网卡,规则之外都拒绝
[root@bogon ~]# iptables -A OUTPUT -i eth0  -j REJECT
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.1 -p icmp --icmp-type 8 -j ACCEPT#设置出站ping报文
[root@bogon ~]# iptables -I INPUT 2 -d 192.168.1.1 -p icmp --icmp-type 0/0 -j ACCEPT#设置入站ping响应报文
如果允许其他主机ping则进站为8，出站为0。

2、显式扩展

• 显式扩展：必须要手动加载扩展模块， [-m matchname [per-match-options]]；
• 显式扩展：必须使用-m选项指明要调用的扩展模块的扩展机制；

（1）、multiport多端口匹配

以离散或连续的 方式定义多端口匹配条件，最多15个，支持协议tcp, udp, udplite, dccp and sctp；

• [!] --source-ports,--sports port[,port|,port:port]...：指定多个源端口；
• [!] --destination-ports,--dports port[,port|,port:port]...：指定多个目标端口；

[root@bogon ~]#  iptables -R INPUT  -d 192.168.1.11 -p tcp -m multiport --dports 22,80,139,445,3306 -j ACCEPT#修改入站打开多端口
[root@bogon ~]#  iptables -R OUTPUT  -s 192.168.1.11 -p tcp -m multiport --sports 22,80,139,445,3306 -j ACCEPT#修改出站打开多端口

（2）、iprange连接追踪匹配

以连续地址块的方式来指明多IP地址匹配条件；

• [!] --src-range from[-to]
• [!] --dst-range from[-to]

[root@bogon ~]# iptables -I INPUT 3 -d 192.168.1.11 -p tcp --dports 23 -m iprange --src-range 192.168.1.60-192.168.1.70 -j REJECT#设置一个连续的地址范围内可以访问本机23端口
[root@bogon ~]# iptables -I OUTPUT 3 -s 192.168.1.11 -p tcp --sports 23 -m iprange --src-range 192.168.1.60-192.168.1.70 -j REJECT

（3）、time扩展:基于时间区间做访问控制

--timestart hh:mm[:ss]
--timestop hh:mm[:ss]

• [!] --weekdays day[,day...]
• [!] --monthdays day[,day...]
  --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
  --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

--kerneltz：使用内核配置的时区而非默认的UTC；

[root@bogon ~]# iptables -I OUTPUT 4 -s 192.168.1.11 -p udp --dports 123,323  -j REJECT#开启出站123,323端口
[root@bogon ~]# iptables -I INPUT 4 -d 192.168.1.11 -p udp --sports 123,323  -j REJECT#开启入站123,323端
[root@bogon ~]# iptables -R INPUT 4 -d 192.168.1.11 -p tcp  --dport 23 -m iprange --src-reange 192.168.1.60-192.16.1.70 -m time --timestart 10:00:00 --timestop 16:00:00 --weekdays 1,2,3,4,5 --kerneltz -j ACCEPT#设定时间为每周1-5的10点到16点允许60-70的ip地址主机入站访问23端口
[root@bogon ~]# iptables -R OUTPUT 4 -s 192.168.1.11 -p tcp  --sport 23 -m iprange --dsp-reange 192.168.1.60-192.16.1.70 -m time --timestart 10:00:00 --timestop 16:00:00 --weekdays 1,2,3,4,5 --kerneltz -j ACCEPT#设定时间为每周1-5的10点到16点允许60-70的ip地址主机访问23端口出站响应
注意：centos6不用指明--kerneltz

（4）、string字符串匹配（只能对明文编码匹配）

   --algo {bm|kmp}

[!] --string pattern
[!] --hex-string pattern
--from offset
--to offset

[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.11 -m string --algo kmp --string "holle" -j REJECT#出站报文出现holle字符串，则不能发送

（5）、connlimit 单个客户端最多并发数量匹配

--connlimit-upto n     #小于n允许
--connlimit-above n   #大于n拒绝

[root@bogon ~]# iptables -I INPUT -s 192.168.10/16 -d 192.168.1.11 -p tcp --dport 3306 -j ACCEPT#开放入站访问3306端口
[root@bogon ~]# iptables -I OUTPUT -d 192.168.10/16 -s 192.168.1.11 -p tcp --sport 3306 -j ACCEPT#开放访问3306端口出站响应                
[root@bogon ~]# iptables -R INPUT -s 192.168.10/16 -d 192.168.1.11 -p tcp --dport 3306  -m connlimit --connlimit-upto 2 -j ACCEPT#开放入站访问3306端口，每个ip只能连接2次
                    

（6）、limit 基于限制发包速率做限制

专用选项:利用令牌桶算法
--limit rate[/second|/minute|/hour|/day] 单位时间的速率
--limit-burst number 最大收集多少令牌

[root@bogon ~]# iptables -I INPUT 6 -d 192.168.1.11 -p icmp --icmp-type 8 -m liit-burst 5 --limit 20/minute -j ACCEPT#入站限制5个令牌，每分钟20个发包速率
[root@bogon ~]# iptables -I OUTPUT 6 -s 192.168.1.11 -p icmp --icmp-type 0 -j ACCEPT#出站不限制速率

限制本机某tcp服务接收新请求的速率：--syn, -m limit

三、state扩展:追踪报文

启用连接追踪模板记录连接，并根据连接匹配连接状态的扩展；

• [!] --state state 指明那些状态
  INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.

NEW: 新连接请求；
ESTABLISHED：已建立的连接；
INVALID：无法识别的连接；
RELATED：相关联的连接，当前连接是一个新请求，但附属于某个已存在的连接；
UNTRACKED：未追踪的连接；

1.state扩展：

内核模块装载：
nf_conntrack
nf_conntrack_ipv4

追踪到的连接：/proc/net/nf_conntrack
调整可记录的连接数量最大值：/proc/sys/net/nf_conntrack_max
超时时长：/proc/sys/net/netfilter/timeout

[root@bogon ~]# iptables -F #清空规则
[root@bogon ~]# iptables -A INPUT -d 192.168.1.11 -p tcp -m multiport ---dports 22:23,80,139,445,3306 -m state --state NEW -j ACCEPT#新建tcp连接放行入站访问22,23,80，139,445,3306端口
[root@bogon ~]# iptables -I INPUT 2 -d 192.168.1.11 -p udp --dport  137:138 -m state --state NEW -j ACCEPT#新建udp连接放行入站访问137,138端口
[root@bogon ~]# iptables -I OUTPUT 2 -s 192.168.1.11 -p udp -m --multiport ---dport  123,323 -m state --state NEW -j ACCEPT#允许123,323出站响应
[root@bogon ~]# iptables -I INPUT -d 192.168.1.11 -m state --state ESTABLISHED -j ACCEPT#允许已建立的入站连接访问所有端口
[root@bogon ~]# iptables -I   OUTPUT -s 192.168.1.11 -m state --state ESTABLISHED -j ACCEPT#允许已建立的出站连接访问所有端口响应
[root@bogon ~]# iptables -A  INPUT -d192.168.1.11 -j REJECT#默认入站规则为拒绝
[root@bogon ~]# iptables -A  INPUT -s192.168.1.11 -j REJECT#默认出站为拒绝
[root@bogon ~]# iptables -vnL  #查询规则
测试连接

RELATED状态的追踪：
需要手动装载状态的追踪模块：nf_conntrack_ftp

[root@bogon ~]#modprobe  nf_conntrack_ftp #手动装载状态的追踪模块
[root@bogon ~]#lsmod  #查询模块
[root@bogon ~]# iptables -R INPUT 3 -d 192.168.1.11 -p tcp -m multiport --dports 21:23,80,139,445,3306 -m state --state NEW -j ACCEPT#修改第三条tcp连接放行入站访问
[root@bogon ~]# iptables -R INPUT 1 -d 192.168.1.11 -m state --state ESTABLISHED，RELATED -j ACCEPT#修改第一条允许已建立的入站连接访问所有端口

2.处理动作（跳转目标）：

-j targetname [per-target-options]

• 简单target：
  ACCEPT， DROP

• 扩展target：
  REJECT
  --reject-with type：拒绝类型

• LOG日志
  --log-level
  --log-prefix

[root@bogon ~]# iptables -I INPUT 3 -d 192.168.1.11 -p tcp  --dport 23 -m state --state NEW -j LOG --log-prefix"access telnet"#保存入站的23端口访问日志前缀为access telnet                    

                默认日志保存于/var/log/messages

3.自定义链做为target（处理动作）：

[root@bogon ~]# iptables -N in_ping_rules#自定义一个ping处理动作
[root@bogon ~]# iptables -A in_ping_rules -d 192.168.1.11 -p icmp --icmp-type8 -j ACCEPT #设定本机可以ping其他主机
[root@bogon ~]# iptables -I in_ping_rules -d 192.168.1.11  -s 192.168.1.12  -p icmp  -j REJECT #禁止68主机ping本机

#加入INPUT表里才能生效
[root@bogon ~]# iptables -I INPUT 5 -d 192.168.1.11 -p icmp -j in_ping_rules#在INPUT表中第五行加入引用自定义处理动作

• 一个主链可以调用多个自定义链，要想删除自定义链，必须先清空自定义链

[root@bogon ~]# iptables -F  in_ping_rules#清空规则
[root@bogon ~]# iptables -vnL#查询
[root@bogon ~]# iptables -X  in_ping_rules#删除

RETURN：返回调用者；

四、保存和载入规则：

• 保存：iptables-save > /PATH/TO/SOME_RULE_FILE
• 重载：iptabls-restore < /PATH/FROM/SOME_RULE_FILE
  -n, --noflush：不清除原有规则
  -t, --test：仅分析生成规则集，但不提交
• CentOS 6：
  • 保存规则：

service iptables save
保存规则于/etc/sysconfig/iptables文件，覆盖保存；
重载规则：
service iptables restart
默认重载/etc/sysconfig/iptables文件中的规则
配置文件：/etc/sysconfig/iptables-config

• CentOS 7：

(1) 自定义Unit File，进行iptables-restore；
(2) firewalld服务；
(3) 自定义脚本；

五、规则优化的思路：

使用自定义链管理特定应用的相关规则，模块化管理规则；

(1) 优先放行双方向状态为ESTABLISHED的报文；
(2) 服务于不同类别的功能的规则，匹配到报文可能性更大的放前面；
(3) 服务于同一类别的功能的规则，匹配条件较严格的放在前面；
(4) 设置默认策略：白名单机制
(a) iptables -P，不建议；
(b) 建议在规则的最后定义规则做为默认策略；