iptables基础与模块高级应用.pptVIP

5.5 iptables模块应用 limit模块 iptables –A INPUT -m limit --limit 20/second -j DROP iptables –A INPUT -m limit –limit-burst 10 -j DROP 备注： 1、--limit，为limit match设置最大平均匹配速率，也就是单位时间内limit match可以匹配几个包。它的形式是一个数值加一个时间单位，可以是/second /minute /hour /day 。默认值是每小时3次(用户角度)，即3/hour ，也就是每20分钟一次(iptables角度)； 2、--limit-burst，定义的是limit match的峰值，就是在单位时间(这个时间由上面的--limit指定)内最多可匹配几个包(由此可见，--limit-burst的值要比--limit的大)，默认值是5； 5.6 iptables模块应用 mac模块 iptables –A INPUT -m mac --limit mac-source XX:XX:XX:XX:XX:XX -j\ DROP 备注： 基于包的MAC源地址匹配包，地址格式只能是XX:XX:XX:XX:XX:XX，当然它也可以用英文感叹号取反； 5.7 iptables模块应用 muluiport模块 iptables –A INPUT -p tcp -m muluiport --dport 21,22,25,80,110 -j DROP iptables –A INPUT -p tcp -m muluiport --source-port 21,22,25,80,110\ -j DROP iptables –A INPUT -p tcp -m muluiport --destination-port\ 21,22,25,80,110 -j DROP 备注： 1、--source-port 源端口多端口匹配，最多可以指定15个端口，以英文逗号分隔，注意没有空格； 2、--destination-port 目的端口多端口匹配，使用方法和源端口多端口匹配一样，唯一的区别是它匹配的是目的端口； 3、--dport 同端口多端口匹配，意思就是它匹配的是那种源端口和目的端口是同一个端口的包，比如：端口80到端口80的包、110到110的包等。使用方法和源端口多端口匹配一样。 5.8 iptables模块应用 owner模块 iptables -A OUTPUT -p tcp --dport 22 -m owner --uid-owner 500 -j\ DROP iptables -A OUTPUT -p tcp --dport 22 -m owner --gid-owner 500 -j\ DROP 备注： 1、比对来自本机的封包，是否为某特定使用者/组所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出去，可以降低系统被骇的损失，这里的--uid-owner和--gid-owner可以跟用户名、组名、用户ID、组ID； 2、没有--pid-owner、--cmd-owner； 5.9 iptables模块应用 recent模块 iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck –seconds\ 3600 --hitcount 3 --rttl --name SSH --rsource -j DROP iptables -A INPUT -p tcp --dport 22 --syn -m recent --set --name SSH\ --rsource -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT #同一个 IP 在一个小时内只允许建立(或尝试)三次 SSH 联机； 备注： 请注意 rule 顺序: 先设置 recent 条件 -j DROP, 再设置 recent --set -j ACCEPT 5.10 iptables模块应用 state模块 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j\ ACCEPT 备注： 1、包状态依据IP所包含的协议不同而不同，但在内核外部，也就是用户空间里，只有4种状态：NEW，ESTABLISHED，RELATED 和INVALID。 2、NEW：这个包是我们看到的第一个包； 3、ESTABLISHED：已经注意到两个方向上的数据传输，而且会继续匹配这个连接的包；只要发送并接到应答，连接就是E