iptables之iptables表、链、规则 、匹配模式、扩展模块、连接追踪模块（一）

一、iptables的链

1.请求到达本机： PREROUTING --> INPUT --> Local Process （本机）
2.请求经过本机： PREROUTING --> FORWARD --> POSTROUTING
3.请求从本机发出：local Process（本机） --> OUTPUT --> POSTROUTING

二、iptables的表

2.1表的功能

平常主要用的是filter表和nat表filter: 过滤，网络安全；nat: 路由；地址转换；

2.2 表与链的关系

简单解释：
注意图中的向下箭头，这是访问顺序1.请求到达本机： PREROUTING --> INPUT --> Local Process （本机）
2.请求经过本机： PREROUTING --> FORWARD --> POSTROUTING
3.请求从本机发出：local Process（本机） --> OUTPUT --> POSTROUTING

2.3 问题

问题1：来自`10.0.0.1`的地址，访问本机的`web`服务请求不允许，应该在哪个表的哪个链上设定规则？
答：filter表中的INPUT链上设定规则。问题2：所有由本机发往`10.0.0.0/24`网段的`TCP`服务都不允许？
答：filter表中的OUTPUT链上设定规则。问题3：所有来自己本地内部网络的主机，向互联网发送`web`服务器请求都允许？
答：filter表中的FORWARD链设定规则。
c  -->  iptables  --> s

三、iptables规则的增、删、改、查、存

iptables [-t 表名] 选项 [链名] [规则] [动作]

3.1 iptables操作举例

默认不同-t指定表，则默认为filter表。

1.如何查看
-L：查看 -n：不解析 -v 详细 --line-numbers 编号

iptables -L -n -v --line-numbers

2.如何添加规则： 禁止10.0.0.10 ping 10.0.0.200
-I：插入Insert

iptables -t filter -I INPUT -p icmp -j REJECT
iptables -L -n随后ping 10.0.0.200看效果 ， REJECT还会有反馈内容。 如果是DROP则，没有反馈内容

3.如何修改规则：
-R:修改 需要指定规则的编号

iptables -t filter -R INPUT 1 -p icmp -j DROP

4.如何清空计数器：

iptables -Z

5.备份规则；

iptables-save > /etc/iptables.rule

6.清空规则：

iptables -F    #等价于 iptables -t filter -F
iptables -t nat -F

7.恢复规则：

iptables-restore < /etc/iptables.rule

8.永久生效：

将 iptables-restore < /etc/iptables.rule 加入开机自启动文件 /etc/rc.local

四、iptables匹配模式与案例

4.1 iptables匹配参数

4.2 示例问题

1 、 仅允许10.0.0.1 访问 10.0.0.200 服务器的80端口、其他地址全部拒绝。
filter 表;
INPUT;

iptables -t filter -I INPUT -p tcp -s 10.0.0.10 -d 10.0.0.200 --dport 80 -j DROP#INPUT链默认是接受  policy ACCEPT 。 当走完Input链下的所有规则，一旦符合则不会往下走，如果都不符合的，则走默认规则 policy ACCEPT。

2 、 仅允许10.0.0.1 访问 10.0.0.200 服务器的22端口、其他地址全部拒绝。

iptables -t filter -I INPUT -s 10.0.0.1 -d 10.0.0.200 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -d 10.0.0.200 -p tcp --dport 22 -j DROP

3 、所有来访问本机的协议，属于TCP协议的我们通通都放行;

iptables -t filter -I INPUT -p tcp -j ACCEPT
iptables -t filter -A INPUT -j DROP#测试方法： 时间同步chrony有走udp协议 、 ping走icmp协议

4、凡是由本机发出的TCP协议报文,都允许出去，其他协议不行;

iptables -t filter -I OUTPUT -p tcp -j ACCEPT
iptables -t filter -A OUTPUT -j DROP

5、禁止其他主机从eth0像本机发送ping请求

iptables -t filter -I INPUT -i eth0 -p icmp -j DROP

6、允许从本机发送ping请求,其他任何协议都不允许; 【执行完后 ssh会掉线】【注意！】

iptables -t filter -I OUTPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -j DROP

五、Iptables扩展匹配与案例

5.1 Iptables扩展模块-multiport

multiport模块可以添加多个不连续的端口;
示例 ：10.0.0.10 访问本机20、21、80、443允许通过；

iptables -I INPUT -s 10.0.0.10 -d 10.0.0.200 -p tcp -m multiport --dport 20:22,80,443,873 -j ACCEPT

5.2 lptables扩展模块-iprange

iprange模块可以指定”一段连续的IP地址范围";用于匹配报文的源地址或者目标地址，iprange扩展模块中有两个扩展匹配条件可以使用。

示例：10.0.0.5-10.0.0.10地址段访问ping本机，则丢弃；

iptables -t filter -I INPUT -p icmp -m iprange --src-range 10.0.0.5-10.0.0.10 --dst-range 10.0.0.200 -j DROP

5.3 Iptables扩展模块string

●string模块，可以指定要匹配的字符串，如果报文中包含对应的字符串，则符合匹配条件。
。–algo {bm|kmp}:字符匹配的查询算法;
。[!] --string pattern: 字符匹配的字符串;

情景准备：

yum install httpd -y
echo "hello" > /var/www/html/index.html
echo " video " > /var/www/html/test.html
systemctl start httpd

情景1示例:应用返回的报文中包含字符"video",我们就丢弃当前报文，其余正常通过。

#OUTPUT链
iptables -t filter -I OUTPUT -p tcp -m string --algo kmp --string "video" -j DROP

情景2 任意时间段都拒绝，用户请求iptables节点，如果请求中包含 “jd.oldxu.net” 则拒绝；

iptables -t filter -F
iptables -t filter -I INPUT -p tcp -m string --algo kmp --string "jd.oldxu.net" -j DROP

5.4 lptables扩展模块-time

time模块，可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内，则符合匹配条件。
。–timestart hh:mm[:ss]:开始时间
。–timestop hh:mm[:ss]: 结束时间
。[!] --monthdays day[, day…]:指定-一个月的某- 天
。[!] --weekdays day[, day…]: 指定周一-到周天
。–kerneltz:使用内核时区而不是UTC时间 （所以要减8小时）

示例1：拒绝每天8:30~12:30 (00: 30_{04:30)、13:30}18:30 (05:30~10:30)， 任何主机发送icmp协
议;

#utc时间，比北京时间快8小时，所以要减8小时。
iptables -t filter -I INPUT -p icmp -m time --timestart 00:30 --timestop 04:30 -j DROP
iptables -t filter -I INPUT-p icmp -m time --timestart 05:30 --timestop 10:30 -j DROP

限制用户在上班时间段访问jd、qq等资源，其他时间可以正常放行:
time和string一起用: (路由器)
限制早上：8:00 ~ 12:00 (00:00-04:00)
限制下午：14:00 ~ 18:00 (06:00-10:00)

#utc时间，比北京时间快8小时，所以要减8小时。
#网络策略   FORWARD链
#上午
iptables -t filter -I FORWARD -p tcp -m string --string "qq" --algo kmp -m time --timestart 00:00 --timestop 04:00 -j DROP
iptables -t filter -I FORWARD -p tcp -m string --string "tb" --algo kmp -m time --timestart 00:00 --timestop 04:00 -j DROP#下午
iptables -t filter -I FORWARD -p tcp -m string --string "qq" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP
iptables -t filter -I FORWARD -p tcp -m string --string "tb" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP

#utc时间，比北京时间快8小时，所以要减8小时。
#主机策略   INPUT链
#上午
iptables -t filter -I  INPUT -p tcp -m string --string "qq" --algo kmp -m time --timestart 00:00 --timestop 10:00 -j DROP
iptables -t filter -I  INPUT -p tcp -m string --string "tb" --algo kmp -m time --timestart 00:00 --timestop 04:00 -j DROP#下午：                 
iptables -t filter -I  INPUT -p tcp -m string --string "qq" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP
iptables -t filter -I  INPUT -p tcp -m string --string "tb" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP

5.5 Iptables扩展模块icmp

5.6 Iptables扩展模块connlimit

5.7 Iptables扩展模块limit

5.8 Iptables扩展模块tcp-flags

六、iptables连接追踪模块案例

相关概念：

比如记录这些：

conntrack:
查看链接追踪详情： /proc/net/nf_conntrack
调整链接追踪大小： echo "100000" > /proc/sys/net/nf_conntrack_max

应用场景：

正常情况下服务器的80端口不会主动连接其他服务器，如果出现了80端口连接其他服务器，那么说明出现了
异常行为，或者可以理解为中了木马程序病毒。反弹端口型木马
如果关闭80端口的响应报文，就会造成请求进来无法响应;如果开放80端口则又会出现异常行为。
所以我们需要对80端口做连接追踪限制，凡事从80端口出去的就必须是对某个请求的响应，也就是说通过80
端口出去的状态必须是ESTABLISHED,不能是NEW

1、允许接收远程主机像本机发送的SSH与HTTP请求(NEW、 ESTABLISHED)
2、同时也仅允许本机像其他主机回应SSH以及HTTP响应(ESTABLISHED)
3、但不允许本机通过22、80端口主动向外发起连接。#INPUT链
iptables -t filter -I INPUT -p tcp -m multiport --dport 80,22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --dport 80,22 -j DROP#OUTPUT链
iptables -t filter -I OUTPUT -p tcp -m multiport --sport 22,80 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -m multiport --sport 22,80 -j DROP