Netfilter/iptables的匹配方式及处理方法
匹配方式:
匹配方式是netfilter筛选数据包的最基本单元。
内置的匹配方式:
1.接口的匹配方式:
iptables -t filter -A FORWARD -i eth0 -o eth1 -j DROP 2.Source/Destination Address的匹配:
-d:匹配目的端的IP
-s:匹配来源端的IP
ex:a.不允许企业内的使用者访问http://www.baidu.com网站
iptables -A FORWARD -p tcp -i eth1 -o eth0 -d www.baidu.com -j DROP
b.不允许因特网上的192.168.10.1主机访问公司的web服务器,假设192.168.10.1为公网IP
iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.10.1 -d $WEB_IP --dport 80 -j DROP
3.协议的匹配方式:
a.从模块扩展而来的匹配方式:
Tcp协议的高级匹配:#iptables -A FORWARD -i eth1 -o eth0 -p tcp -s 192.168.0.0/24 --dport 21-j REJECT
b.MAC地址的匹配:
1.#iptables -A INPUT -p tcp --dport 3306 -m mac --mac-source 00:02:B3:0C:23:1B -j ACCEPT ---限制非固定IP的特定者才可以访问MySQL
c.Multiport的匹配:
iptables -A INPUT -p all -m state --state INVALILD -j DROP iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dport 21,22,23,25,80,110,443 -j ACCEPT
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
d.匹配数据包的MARK值:
将所有经过PREROUTING链且Destination port为80的数据包标记一个值,而这个值由管理员自行确认.
iptables -t mangle -A prerouting -p tcp --dport 80 -j MARK --set-mark 80
如果进入FORWARD链的数据包,其MARK值为80的话,就将其丢弃. iptables -A FORWARD -p all -m mark 80 -j DROP
e.owner的匹配:
只适用于OUTPUT链和PPOSTROUTING链
1.--uid-owner
iptables -A OUTPUT -p tcp -m owner --uid-owner kasumi --dport 80 -j ACCEPT
iptables -A OUTPUT -p udp -m owner --uid-owner kasumi --dport 53 -j ACCEPT
iptabes -A OUTPUT -p all -m owner --uid-owner kasumi -j DROP 2.--gid-owner
iptables -A OUTPUT -p tcp -m owner --gid-owner kasumi --dport 80 -j ACCEPT f.IP范围的匹配:
iptables -A INPUT -p all -s 192.168.0.0/26 -j DROP
--src-range / --dst-range
iptables -A INPUT -m iprange --src-range 192.168.0.2-192.168.0.61 -j DROP
g.TTL值的匹配:
iptables -A INPUT -m ttl --ttl-eq 64 -j REJECT
h.数据包的状态匹配:
I.使用connlimit模块限制连接的最大数量
限制一个IP或一个 网段同时对目标主机或服务服务所能建立的最大链接数
iptables -A FORWARD -i eth0 -o eth1 -p tcp --syn -d $web_server --dport 80 -m connlimit --connlimit-above 32 -j DROP
j.使用connbytes模块限制每个模块连接中所能传输的数据量
限制使用者以HTTP协议下载20M以上的数据
iptanbles -A FORWARD -p tcp -d $WEB_SERVER --dport 80 -m connbytes --connbytes-dir replay --connbytes-mode bytes --connbytes 20971520:-j DROP
--connbytes-dir: original-来源方向 reply-应答方向 both-双向
--connbytes-mode:packets-以数据包的数量来计算 bytes-以数据传输量来计算
--connbytes:匹配多少的单位量
k.使用time模块来设置规则的生效时间
iptables -A FORWARD -o eth0 -d $SRV_FARM -m time --weekday Mon,Tue,Wed,Thu,Fri --timestart 09:00 --timestop 21:00 -j ACCEPTT
--datestart / --datestop / --monthdays / --weekdays
处理方法:
内置的处理方法:
1.ACCEPT和DROP的处理方法:
2.QUEUE的处理方法:QUEUE的功能是将符合条件的数据包转发给user space的应用程序来处理。当一个数据包由eth0接口进入之后,接着由netfilter来匹配这个数据包的特征,如果这个数据包不符合netfilter的条件,那么,这个数据包可能就由eth1接口送离本机,但如果这个数据包符合QUEUE方法来处理的条件,这个数据包就会送到user space应用程序来处理,待user space的应用程序处理完后,再依次由eth1接口送离本机。
由模块扩展的处理方法:
1.REJECT的处理方式:
REJECT和DROP有点相似,两者的差异在于DROP仅会将数据包丢弃,这使得发送端误以为在网络上传输时丢失了,因此发送端会重复地发送数据包直到超时为止;但REJECT丢弃发送端所发送过来的数据包,会发送一个icmp包给发送端,由此告诉网络或者服务发生问题,当发送端收到这个icmp包之后,就会终止服务请求的操作。
使用原则:
DROP:凡是对付来自因特网的数据包一律使用DROP来处理,因为我们无须浪费系统资源来回复因特网上的攻击者,而DROP还可以拖延攻击者的攻击操作,因为攻击者可能需要等待一段的时间,不过,也并非一定是如此,还是得看攻击的方式而定。
REJECT:以网关式防火墙而言,如果要限制企业内的用户连接到因特网上,最好是使用REJECT的处理方法,因为REJECT将可以让企业内的使用者快速得知这个链接是不允许的,而不需要去等待一段超时的时间。
2.LOG的处理方法:
netfilter默认并不会生成任何日志,如果需要日记记录,就得使用LOG这个模块
iptables -A INPUT -p tcp --syn --dport 22 -j LOG --log-level alert (--syn只记录连接的第一条记录)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
rsyslog服务的设置:
在配置文件/etc/rsyslog.conf下添加:kern.=alert /var/log/netfilter
内核产生的alert级别的日志就存放在/var/log/netfilter
3.ULOG的处理方法:
LOG是将日志交给系统的syslogd来处理,ULOG是将日志交给特定的user space来处理。