iptables专题讲座.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * 3.5.3 limit -m limit --limit 匹配速率[--burst 缓冲数量] 用一定速率去匹配数据包 iptables -A FORWARD -d -m limit --limit 50/s -j ACCEPT 注意：limit英语上看是限制的意思，但实际上只是按一定速率去匹配而已，要想限制的话后面要再跟一条DROP iptables -A FORWARD -d -j DROP 3.5.4 multiport -m multiport --sports|--dports|--ports 端口1[,端口2,..,端口n] 一次性匹配多个端口，可以区分源端口，目的端口或不指定端口 iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT 注意：必须与-p 参数一起使用 网管应用 三大“纪律”五项“注意” 三大“纪律”——专表专用 filter nat mangle 五项“注意”——注意数据包的走向 PREROUTING INPUT FORWARD OUTPUT POSTROUTING 4.1 实现包过滤防火墙 对于普通的匹配，可以实现阻断功能 应对syn-flood攻击 方法一：动态包过滤 方法二：限制连接数量 4.1.1 动态包过滤 检测：受攻击者一旦发现服务器不再接受请求,甚至是本地访问的速度也很慢,就应使用Netstat检查处于SYN_RECV (半连接)状态的连接。如果数量大于500或占总连接数的10%以上,可以认定其系统(或主机)遭到SYN Flood攻击。 防御：ipdorp脚本 #ipdrop 24 on/off iptables $OPERATION INPUT -s [ip地址] -j DROP $OPERATION:on--I;off--D 与ＩＤＳ组合联动 4.1.2 限制连接数量 主机的80端口对外开放，系统资源允许每秒新建立250个会话 ＃iptables –A INPUT –p tcp --dport 80 –m limit --limit 10/second --limit-burst 200 –j ACCEPT #iptables -A INPUT -P DROP 主机通过iptables设置了能够提供每秒200个新会话的容量（通常情况下，我们需要为服务器或主机本身考虑一些冗余），在正常情况下，这个数值完全能够满足应用的要求. 但如果有某个攻击者对主机的80端口进行拒绝服务攻击，每秒200个新会话的容量也许一会就被用光了 设置了一定的保护措施，即便有攻击过来，在iptables这一关就会被丢弃。 在这之后，iptables会每秒重新给主机10个新的会话名额，使之能够处理新的连接。 理解：从iptables角度和从用户角度： iplimit 限制每客户到主机或网络的并发连接数 iptables -p tcp --syn --dport 23 -m iplimit --iplimit-above 2 -j REJECT 每客户最多两个telnet连接; iptables -p tcp --syn --dport 80 -m iplimit --iplimit-above 16 --iplimit-mask 24 -j REJECT 限制到每个c类网络最多16个http连接. 4.2 实现基于内容的过滤模块 #iptables -A FORWARD -m string --string mp3 -s ! /24 -j DROP #iptables -A FORWARD -m string --string qq -s ! /24 -j DROP #iptables -A FORWARD -m string --string tencent -s ! /24 -j DROP #iptables -A FORWARD -m string --string sex -s ! /24 -j DROP 缺点：效率很低，造成内网上网速度很慢 4.3 实现NAT 静态地址转换 动态地址转换 端口地址转换 4.3.1 NAT例子1 ifconfig eth0 3 ifconfig eth0:0 8 iptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s -j SN