- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業務經營許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯網協會理事單位
- 安全聯盟認證網站身份V標記
- 域名注冊服務機構許可:滇D3-20230001
- 代理域名注冊服務機構:新網數碼
相關文章
云南公布第二批免費向社會提供信息技術服務企業名單 云南省2019年國家網絡安全周在麗江啟動,藍隊云獲頒“最佳技術支持獎” 中國互聯網企業赴美上市規模預計今年或減半 云南省首屆互聯網網絡攻防演練大賽舉行 他們失敗的辛酸血淚史:億唐網、博客中國、酷6網、飯否
iptables匹配條件
2020-10-18 11:17:00
3521
基本匹配條件
#匹配ip段
iptables -t filter -I INPUT -s 192.168.3.103/24 -j DROP
#匹配多個ip
iptables -t filter -I INPUT -s 192.168.2.101,192.168.2.103 -j DROP
#匹配ip取反
iptables -t filter -I INPUT ! -s 192.168.2.2 -j ACCEPT
#-d 匹配目標ip地址
iptables -t filter -I INPUT -s 192.168.2.101 -d 192.168.2.102 -j DROP
#-p 匹配協議類型,centos6 -p選項支持如下協議類型tcp, udp, udplite, icmp, esp, ah, sctp,centos7還支持icmpv6、mh
iptables -t filter -I INPUT -s 192.168.2.101 -p icmp -j DROP
iptables -t filter -I INPUT -s 192.168.2.101 ! -p tcp -j DROP
#-i 匹配報文流入網卡接口,只能適用于PREROUTING、INPUT、FORWARD鏈,不適用于OUTPUT、POSTROUTING鏈
iptables -t filter -I INPUT -i eth1 -p icmp -j DROP
iptables -t filter -I INPUT ! -i eth1 -p tcp -j DROP
#-o 匹配報文流出網卡接口,只能適用于OUTPUT、POSTROUTING、FORWARD鏈,不適用于PREROUTING、INPUT鏈
iptables -t filter -I OUTPUT -o eth1 -p icmp -j DROP
擴展匹配條件-常用擴展模塊
tcp模塊
#--dport 匹配目標端口
#-m tcp表示使用tcp擴展模塊,-p tcp與 -m tcp并不沖突,-p用于匹配報文的協議,-m用于指定擴展模塊的名稱,正好,這個擴展模塊也叫tcp。
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp -m tcp --dport 22 -j DROP
#當使用-p選項指定報文的協議時,如沒有使用-m指定對應的擴展模塊名稱,使用了擴展匹配條件,iptables默認會調用與-p選項對應的協議名稱相同的模塊。
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp ! --dport 22 -j DROP
#--sport 匹配源端口
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp --sport 22 -j DROP
iptables -t filter -I OUTPUT -d 192.168.2.101 -p tcp --sport 22 -j DROP
#匹配連續端口范圍
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp --dport 28:35 -j DROP
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp --dport 8080: -j DROP
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp --dport :35 -j DROP
# --tcp-flags 匹配報文的tcp頭的標志位 ,--syn 用于匹配tcp新建連接的請求報文,相當于使用"--tcp-flags SYN,RST,ACK,FIN SYN"
iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
iptables -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECT
iptables -t filter -I OUTPUT -p tcp -m tcp --sport 22 --tcp-flags ALL SYN,ACK -j REJECT
iptables -I INPUT -p tcp -m tcp --dport 22 --syn -j REJECT
multiport模塊
#--dports、--sports匹配離散的端口,同時可以匹配連續端口
#-m multiport擴展只能用于tcp、udp協議,即配合-p tcp或者-p udp使用
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp -m multiport --dports 22,80,8888 -j DROP
iptables -t filter -I INPUT -s 192.168.2.101 -p tcp -m multiport --dports 22:80,8888 -j DROP
udp模塊
# 與tcp模塊方法類似
iptables -t filter -I INPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -t filter -I INPUT -p udp -m udp --dport 137:139 -j DROP
#可以結合multiport模塊指定多個離散的端口
iptables -t filter -I INPUT -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
icmp模塊
#禁止進出的icmp包
iptables -I INPUT -p icmp -j REJECT
#發出的ping請求屬于類型8的icmp報文,而對方主機的ping回應報文則屬于類型0的icmp報文
#禁止外部ping,但允許向外ping。
iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j REJECT
iptables -I OUTPUT -p icmp -m icmp --icmp-type 0 -j REJECT
#禁止發出ping請求icmp報文,達到禁止服務器向外ping
iptables -I OUTPUT -p icmp -m icmp --icmp-type 8 -j REJECT
iprange擴展模塊
#--src-range 、--dst-range,可以指定"一段連續的IP地址范圍",
iptables -t filter -I INPUT -m iprange --src-range 192.168.7.1-192.168.7.255 -j DROP
string擴展模塊
#--algo 指定對應的匹配算法(bm kmp),如無效換一個匹配算法(input用bm,output用kmp??),注意使用INPUT、還是OUTPUT
#--string 指定匹配的字符串
iptables -t filter -I INPUT -m string --algo bm --string "west" -j DROP
iptables -t filter -I OUTPUT -m string --algo kmp --string "west" -j DROP
time擴展模塊
# time模塊匹配時間是UTC,時區差8個小時
#--timestart --timestop 開始結束時刻幾點幾分幾秒
#--weekdays 每周哪天, --monthdays 每月哪天
#--datestart 與-datestop選項,指定具體的日期范圍
#--monthdays與--weekdays可以使用"!"取反,其他選項不能取反
iptables -t filter -I OUTPUT -p tcp --sport 80 -m time --timestart 12:14:00 --timestop 12:15:00 -j DROP
iptables -t filter -I OUTPUT -p tcp --sport 80 -m time --weekdays 3,6,7 -j DROP
iptables -t filter -I OUTPUT -p tcp --sport 80 -m time --monthdays 8,10,11 -j DROP
iptables -t filter -I OUTPUT -p tcp --sport 80 -m time --weekdays 5,6 --monthdays 12,13,14 -j DROP
iptables -t filter -I OUTPUT -p tcp --sport 80 -m time --datestart 2020-08-12 --datestop 2020-08-14 -j DRO
iptables -t filter -I OUTPUT -p tcp --sport 80 -m time --timestart 09:00:00 --timestop 18:00:00 --weekdays 6,7 -j REJECT
connlimit擴展模塊
#--connlimit-above 默認表示限制"每個IP"的鏈接數量
#--connlimit-mask 針對"某類IP段內的一定數量的IP"進行連接數量的限制
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP
limit擴展模塊
# 限制單位時間內流入的包的數量, /second、/minute、/hour、/day
#--limit-burst 默認值為5,
#令牌桶:"--limit"選項就是用于指定"多長時間生成一個新令牌的","--limit-burst"選項就是用于指定"木桶中最多存放幾個令牌的"
iptables -A INPUT -p icmp -m limit --limit-burst 3 --limit 10/minute -j ACCEPT
iptables -A INPUT -p icmp -j REJECT
- 上一篇:iptables 常用命令
- 下一篇:Lsyncd搭建同步鏡像
