IPTABLES题库.pptVIP

Page */38 按包状态匹配 （state） 按来源 MAC 匹配（mac） 按包速率匹配 （limit） 多端口匹配 （multiport） Page */38 -m state --state 状态 状态：NEW、RELATED、ESTABLISHED、INVALID NEW：有别于 tcp 的 syn ESTABLISHED：连接态 RELATED：衍生态，与 conntrack 关联（FTP） INVALID：不能被识别属于哪个连接或没有任何状态 例如： iptables -A INPUT -m state --state RELATED,ESTABLISHED \ -j ACCEPT 允许连接出去后对方主机回应的数据包 Page */38 -m mac --mac-source MAC 匹配某个 MAC 地址 例如： iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx \ -j DROP 阻断来自某 MAC 地址的数据包，经过本机路由 iptables –P FORWARD DROP iptables -A FORWARD–s -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT iptables -A FORWARD–s -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT IP和MAC绑定 注意： 报文经过路由后，数据包中原有的 mac 信息会被替换，所以在路由后的 iptables 中使用 mac 模块是没有意义的 Page */38 -m limit --limit 匹配速率 [--burst 缓冲数量] 用一定速率去匹配数据包 例如： iptables -A FORWARD -d -m limit --limit 50/s -j ACCEPT iptables -A FORWARD -d -j DROP 注意： limit 英语上看是限制的意思，但实际上只是按一定速率去匹配而已，要想限制的话后面要再跟一条 DROP Page */38 -m multiport --sports|--dports|--ports 端口1[,端口2,..,端口n] 一次性匹配多个端口，可以区分源端口，目的端口或不指定端口 例如： iptables -A INPUT -p tcp -m multiport --dports \ 21,22,25,80,110 -j ACCEPT 多端口 iptables –A INPUT –p tcp -m tcp–-dport 2000:2800 –j ACCEPT 注意： 必须与 -p 参数一起使用 Page */38 弄清对外服务对象 书写规则 网络接口 lo 的处理 状态监测的处理 协议 + 端口的处理 实例：一个普通的 web 服务器 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP 注意：确保规则顺序正确，弄清逻辑关系，学会时刻使用 Iptables –t filter -vnxL Page */38 弄清网络拓扑 本机上网 设置 nat 启用路由转发 地址伪装 SNAT/MASQUERADE 实例：ADSL 拨号上网的拓扑 echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s /24 -o ppp0 \ -j MASQUERADE Page */38 过滤位置 filer 表 FORWARD 链 匹配条件 -s -d -p --s/dport 处理动作 ACCEPT DROP 实例： iptables -A FORWARD -s -j DROP iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \ -j DROP iptables -A FORWARD -d -j DROP Page *