2018-1-25 7周4次课

Posted 2020-10-22

10.15 iptables filter表案例

iptables小案例,需求需要把80端口22端口还有21端口放行。但是22端口我需要指定一个ip段，只有这个ip段的ip访问的时候才可以访问，其他段的一概拒绝。需求用一个脚本实现如下

编辑vim /usr/local/sbin/iptables.sh

icmp示例

10.16/10.17/10.18 iptables nat表应用

nat 表的应用
准备工作

首先给A虚拟机在添加一块网卡，有两块网卡，ens33为外网，ens37为内网

然后在克隆个虚拟机为B虚拟机设置个内网即可。 保证A虚拟机的内网IP，可以访问B虚拟机的内网IP，两台虚拟机互通，但是在windows里面访问两个机器的内网IP是不通的，B机器的外网上不了的。

需求1：我要让B机器上外网。

第一步：A机器上打开路由转发如下：

第二步：在A机器上增加一条规则有了这条规则就可以实现B机器上网了如下

第三步：在B机器上设置网关如下

现在pingA机器的外网IP就可以通了，如果想上外网在设置个DNS如下

编辑文件/etc/resolv.conf进去后如下

ping百度就能上网了

需求2：c机器只能和a机器通信，让c机器可以直接连通B机器的22端口

第一步：A机器上打开路由转发和需求1一样
第二步：添加两个规则如下

第三步：在B机器上设置网关192.168.100.1
route add default gw 192.168.100.1

扩展

1. iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html

2. sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html

3. iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html

iptables 针对一个网段

iptables -I INPUT -m iprange --src-range 61.4.176.0-61.4.191.255 -j DROP

（转）iptables中DNAT、SNAT和MASQUERADE的理解

DNAT（Destination Network Address Translation,目的地址转换) 通常被叫做目的映谢。而SNAT（Source Network Address Translation，源地址转换）通常被叫做源映谢。

这是我们在设置Linux网关或者防火墙时经常要用来的两种方式。以前对这两个都解释得不太清楚，现在我在这里解释一下。首先，我们要了解一下IP包的结构，如下图所示：

在任何一个IP数据包中，都会有Source IP Address与Destination IP Address这两个字段，数据包所经过的路由器也是根据这两个字段是判定数据包是由什么地方发过来的，它要将数据包发到什么地方去。而iptables的DNAT与SNAT就是根据这个原理，对Source IP Address与Destination IP Address进行修改。然后，我们再看看数据包在iptables中要经过的链（chain）：

223042xv22na2tdhnc4acd.png

图中正菱形的区域是对数据包进行判定转发的地方。在这里，系统会根据IP数据包中的destination ip address中的IP地址对数据包进行分发。如果destination ip adress是本机地址，数据将会被转交给INPUT链。如果不是本机地址，则交给FORWARD链检测。

这也就是说，我们要做的DNAT要在进入这个菱形转发区域之前，也就是在PREROUTING链中做，比如我们要把访问202.103.96.112的访问转发到192.168.0.112上：

iptables -t nat -A PREROUTING -d 202.103.96.112 -j DNAT --to-destination 192.168.0.112

这个转换过程当中，其实就是将已经达到这台Linux网关（防火墙）上的数据包上的destination ip address从202.103.96.112修改为192.168.0.112然后交给系统路由进行转发。

而SNAT自然是要在数据包流出这台机器之前的最后一个链也就是POSTROUTING链来进行操作

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 58.20.51.66

这个语句就是告诉系统把即将要流出本机的数据的source ip address修改成为58.20.51.66。这样，数据包在达到目的机器以后，目的机器会将包返回到58.20.51.66也就是本机。如果不做这个操作，那么你的数据包在传递的过程中，reply的包肯定会丢失。

假如当前系统用的是ADSL/3G/4G动态拨号方式，那么每次拨号，出口IP都会改变，SNAT就会有局限性。

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

重点在那个『 MASQUERADE 』！这个设定值就是『IP伪装成为封包出去(-o)的那块装置上的IP』！不管现在eth0的出口获得了怎样的动态ip，MASQUERADE会自动读取eth0现在的ip地址然后做SNA

iptables限制syn速度

原理，每5s内tcp三次握手大于20次的属于不正常访问。

iptables -A INPUT -s ! 192.168.0.0/255.255.255.0 -d 192.168.0.101 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name httpuser --rsource
iptables -A INPUT -m recent --update --seconds 5 --hitcount 20 --name httpuser --rsource -j DROP

其中192.168.0.0/255.255.255.0 为不受限制的网段， 192.168.0.101 为本机IP。
该iptables策略，可有效预防syn攻击，也可以有效防止机器人发垃圾帖。

限制 ping (echo-request) 傳入的速度

限制前, 可正常每 0.2 秒 ping 一次

ping your.linux.ip -i 0.2

限制每秒只接受一個 icmp echo-request 封包

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    --limit 1/s 表示每秒一次; 1/m 則為每分鐘一次

    --limit-burst 表示允許觸發 limit 限制的最大次數 (預設 5)

再以每 0.2 秒 ping 一次, 得到的回應是每秒一次

ping your.linux.ip -i 0.2

限制 ssh 連入頻率

建立自訂 Chain, 限制 tcp 連線每分鐘一次, 超過者觸發 Log 記錄 (記錄在 /var/log/messages)

iptables -N ratelimit
iptables -A ratelimit -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A ratelimit -p tcp --syn -m limit --limit 1/m --limit-burst 1 -j ACCEPT
iptables -A ratelimit -p tcp -j LOG --log-level "NOTICE" --log-prefix "[RATELIMIT]"
iptables -A ratelimit -p tcp -j DROP

引用自訂 Chain, 限制 ssh (tcp port 22) 連入頻率

iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT (特定 IP 來源不受限制)
iptables -A INPUT -p tcp --dport 22 -j ratelimit

參考資料: Mike‘s Blog - How to limit attack attempts in Linux

sshd_config 設定備忘:

    LoginGraceTime 30 密碼輸入時限為 30 秒
    MaxAuthTries 2 最多只能輸入 3 次密碼

同理可證

iptables -N pinglimit
iptables -A pinglimit -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A pinglimit -j DROP

iptables -A INPUT -p icmp --icmp-type echo-request -j pinglimit

亦可達到每秒只接受一個 echo-request 封包

補充: 清除自訂 Chain

iptables -L -n --line-number
iptables -D INPUT n
iptables -F ratelimit
iptables -X ratelimit

防治 SYN-Flood 碎片攻擊

iptables -N syn-flood
iptables -A syn-flood -m limit --limit 50/s --limit-burst 10 -j RETURN
iptables -A syn-flood -j DROP

iptables -I INPUT -j syn-flood

模擬攻擊

wget http://www.xfocus.net/tools/200102/naptha-1.1.tgz
wget ftp://rpmfind.net/linux/freshrpms/redhat/7.0/libnet/libnet-1.0.1b-1.src.rpm
tar -zxf naptha-1.1.tgz
rpmbuild --recompile libnet-1.0.1b-1.src.rpm
cp -r /var/tmp/libnet-buildroot/usr/* /usr/local/
cd naptha-1.1
make

./synsend your.linux.host.ip 80 local.host.eth0.ip 0.1

若成功抵擋, 不久後會出現 Can‘t send packet!: Operation not permitted 的訊息