iptables 高級使用研討 v

iptabek

高

級

使

用

研

詞cu.platbumogmaiI.cm200

-9807最后修改時間：2010.08.07文檔維肪者白金(platinum)v1.0.0ghihaUn

講

座。主

題

大

綱1.

基

礎

部

分2.

一

些

誤

區(qū)

3.

高

級

技

巧

4.

提

高

部

分5.FAQ1.

基

礎

部

分1.1

REDIRECT與

DNAT的區(qū)別?1.2

MASQUERADE與

SNAT的區(qū)別?

1.3-j

與

-g的區(qū)別?1.4

raw

表的用途

?1.5

何為專表專用、專鏈專用?1.0

回

顧-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->INPUTmangle>

l

ocaOUTPUTr

awmelter

awmanglenatmanglefilterfilternal

9nat1.0

回

顧語法：iptables[-ttable]-A<CHAIN>[rule]

\[-m

<match>]

[-jTARGET]1.1

REDIRECT

與

DNAT

的

區(qū)

別

?環(huán)境：

WAN(ethO),LAN(eth1)iptables-t

nat

-A

PREROUTING

-i

eth1

-p

tcp\--dport

80

-j

REDIRECT

--to

3128iptables-t

nat

-A

PREROUTING

-i

eth1

-p

tcp\iptables-t

nat-A

PREROUTING

-i

eth0

-p

tcp

V結論

：REDIRECT是DNAT的一個特例DNAT

的功能更強大--dport

80

-jDNAT--to:3128--dport3389-jDNAT--to

501.2MASQUERADE與

SNAT的

區(qū)

別?

iptables

-t

nat

-s

/24

-o

eth0\-j

MASQUERADEiptables

-t

nat

-s

/24

-o

eth0

\-j

SNAT--to

23iptables

-t

nat

-s

/24

-o

eth0-j

SNAT--to

-123.123.123.10結論：MASQUERADE自動根據(jù)路由選擇出口SNAT適用于

固定

IP的環(huán)境，負載小SNAT

可實

現(xiàn)

地

址面

積

映

射1.3-j

與

-g的

區(qū)

別

?iptables-NTESTAiptables-NTESTBiptables

-A

FORWARD

-s

-j

TESTAi

e

les-

A

TF

WTARD-j

sARK17

1

TESTB結論：-j(jump)相當于調(diào)用，

自定義鏈結束后返回

-g(goto)一去不復返r--ma.2se6.1M-ablpptiptables-ATESTB-j

MARK--set-mark

2iptables-AFORWARD-mmark--mark1-jDROPiptables-AFORWARD-mmark--mark2-jDROP1.4

raw

表

的

用

途

?man

i

ptablesiptables-t

raw-APREROUTING-ieth1-s\172.16.11.250

-j

DROP結論：raw

表工作于最

前

端，在

conntrack

之

前可以明確對某些數(shù)據(jù)不進行連接追蹤raw

可提前DROP

數(shù)據(jù)，有效降低負載iptables

-t

raw

-vnL1.5

何

為

專

表

專

用

、

專

鏈

專

用

?filter:

專門用于過濾數(shù)據(jù)nat:用于地址轉換(只匹配初始連接數(shù)據(jù))mangle:

用于修改數(shù)據(jù)包內(nèi)容r

aw:用于在連接追蹤前預處理數(shù)據(jù)用于匹配最先接觸到的數(shù)據(jù)用于匹配到達本機的數(shù)據(jù)用于匹配穿越本機的數(shù)據(jù)用于匹配從本機發(fā)出的數(shù)據(jù)PREROUTING:

INPUT:FORWARD:OUTPUT:POSTROUTING:(raw,mangle,nat)

(mangle,filter)(mangle,filter)(raw,mangle,nat,filter)用于匹配最后離開的數(shù)據(jù)(mangle,nat)2.1

一

個

公

網(wǎng)

IP的

最

大

連

接

數(shù)

?2.2

該

不

該

使

用

LOG?2.3

limit

到

底

應

如

何

使

用

?2.4

iptables

能阻止

synflood

攻擊嗎?2.5

我

的

iptables腳

本

有

什

么

問題

?2.

一

些

誤

區(qū)/

di

hi

ori

d

l

iphl

s

f

v)

tdhi

rgeautptht

tn

asheeoaeroheamoa,ssemapormusnonytetcitoiniret2

.

1

一

個

公

網(wǎng)

IP

的

最

大

連

接

數(shù)?結論：可以最大有nf_conntrack_max

個連接rnd

_p

-rt.

p)

->dst.u.all<<16)l,*)tupl:e)lmuotonu16pr_dseeolfu_int32_t_hash_conntrack(const

struct

nf_conntrack_tuple*tuple.static{}u16

zone,unsigned

int

size,unsigned

int

rnd)return((u64)h*size)>>32;unsigned

intu_int32_t

h;=jhash2((u32

zonen;h2.2

該

不

該

使

用

LOG?數(shù)據(jù)包記錄流程：獲取數(shù)據(jù)包分析包信息(根據(jù)各協(xié)議計算各部分數(shù)據(jù)偏移量)

打印內(nèi)核信息(根據(jù)不同協(xié)議打印不同信息)syslog

捕獲內(nèi)核信息根據(jù)syslog

配置決定如何輸出(文件/遠程)

jp

l

ate

--state

NEW

-p

tcp

!--syn

-A

FORWARD-m

state

--state

NEW

-p

tcp!--syn結論：L0G需占用

一定負載

，盡量不

寫硬盤如須記錄，盡量少記

，否則雪上加霜-OPesjiptBADTCPARD-m

stx"WrefiOR-pFog-AGleL0tab2.3

limit

到

底

應

如

何

使

用

?a

l

s

-A

FORWARD

-p

icmp

-s

/24

\正

確

：結論：

limit

僅按一定速率匹配

數(shù)

據(jù)若限制，先放過一定速率數(shù)據(jù)，然后

阻

斷e：

-A

FORWARD

-p

icmp

-s

/24

\

-A--

R

RD

p

i

/24sTmpCCEcAWA10/sFOlimitPsitOemjptmmlimit

--limit10/s-jDROP2.4

能

阻

止

synflood

攻

擊

嗎

?iptables

-N

syn_floodiptables

-A

INPUT

-p

tcp

--syn

-j

syn_floodiptables

-A

syn_flood

-mlimit

--limit1/s-jRETURNiptables-A

syn_flood

-j

DROP攻擊強度

微弱

猛烈

無攻擊訪問效果(無防)

很難訪問無法訪問正常訪問服務器負載

中高

低訪問效果(限速)

無法訪問

無法訪問

極難訪問服務器負載

無無

無結論：

限速方案是一把雙刃劍，

治標不治本啟用

syncookie,減

小

synack_retries增大

tcp_max_syn_backlog,

其它2.5

我

的

腳

本

有

什

么

問

題

?你

的

做

法

?你的需求?你

的

環(huán)

境

?你的態(tài)度?你的.....?結論：提問前，請參考《提問的智慧》高

級

技

巧3.1

如何訪問部分網(wǎng)站時不使用squid?3.2

如何防止被探

測

SSH

密碼?3.3

如何實現(xiàn)IP/MAC綁定?3.4

如何防止小

路

由

(

及如何破解)

?3.5

如何防止被

tracert?3.6

如何

實

現(xiàn)

服

務

器

負

載

分

擔

?3.7如何得知內(nèi)網(wǎng)用戶流量?3.8

如何對

DNS域名進行過

濾?3.9

如何有效阻止瘋狂下載人士?3.3.1

訪

問

部

分

網(wǎng)

站

不

使

用iptables-t

nat-A

PREROUTING

-i172.16.11.250

-j

ACCEPTiptables-t

nat

-A

123.123.123.123

-j

iptables-t

nat

-A

/24

-jPREROUTINGACCEPTPREROUTINGREDIRECT

--to結

論

：讓

無

需

轉向的

數(shù)

據(jù)

提

前

脫

離

“

魔

掌

”squid?eth1

-s\-d

\-s

\eth1eth13128-i-i3.2

如

何

防

止

被

探

測

SSH

密

碼?iptables

-A

INPUT

-p

tcp

--dport

22\

t

e1

-rhei

me

SSH

\結論

：模

塊

可以

在同一

個

規(guī)

則內(nèi)反

復

使

用優(yōu)點：合并使用可降低負載tntcouncent

--0-srcnoeco--rs-sHeSdamepaun----

state

--stateNEW

-mrecent--set

\--rsource-j

DROP-NMAC_CHECK-AFORWARD

-i

eth1

-o

eth0-jMAC_CHECK

-A

MACCHECK

-s

01

-mmac\—-mac-sourceX:XX:XX:XX:XX:XX-j

RETURNiptables-AMAC_CHECK-s02-mmac\--mac-sourceYY:YY:YY:YY:YY:YY-j

RETURNiptables-AMAC_CHECK-s1703-mmac\--mac-sourceZZ:ZZ:ZZ:ZZ:ZZ:ZZ-j

RETURN

iptables-AMAC_CHECK-j

DROPX_3.3

如

何

實

現(xiàn)

IP/MAC

綁

定

?iptablesiptables

iptables4位版本4

位

首

部

長度8位服務類型x0S)16位總長度(字節(jié)數(shù))16位標識3位標志13位片偏移8位生存時間(TTL)8

位

協(xié)

議16位首部檢驗和32位源IP地址32位目的IP地址選項(如果有)數(shù)

據(jù)les

-

FO

-i

eth1

-o

eth0

-jiptables

-A

TTL_CHECK

-j

DROPARDCHECKRTTA-Nbesiptaiptabl3.4

如

何

防

止

小

路

由

(

及

破

解

)?iptables-ATTL_CHECK-mttl

--ttl-eqiptables-ATTL_CHECK-mttl

--ttl-eqiptables-ATTL_CHECK-mttl

--ttl-eqTTL_CHECK128-j

RETURN64-j

RETURN255-j

RETURN20字節(jié)1516313.5

如

何

防

止

被

tracert?ping?=tracertping

=

ICMPtracert=TTL

試

探iptables

-A

INPUT

-m

ttl

--ttl-eq

1

-j

DROP如何一跳直達?iptables

-AINPUT

-m

ttl

--ttl-It

4-jDROPiptables-A

FORWARD-mttl

--ttl-It

6-j

DROPiptables-t

nat-A

PREROUTING-i

eth0-p

tcp--dport80\-m

statistic

--modenth-every3-jDNAT--to01iptables-t

nat

-APREROUTING-ieth0-ptcp--dport80N-m

statistic--mode

nth-every2-jDNAT--to02iptables-t

nat-A

PREROUTING-i

eth0-p

tcp--dport80\-j

DNAT

--to

03statistic

的其它用途?iptables

-A

FORWARD

-i

eth1

-o

eth0

-s

50

-m3.6

如

何

實

現(xiàn)

服

務

器

負

載

分

擔

?statistic--moderandom--probability0.1-j

DROP3.7

如

何

得

知

內(nèi)

網(wǎng)

用

戶

流

量

?http://www.intra2net.com/en/developer/ipt_ACCOUNT/index.phpiptables-AFORWARD-jACCOUNT--addrN/24

--tname

LOCALNETi

ptaccount

-aiptaccount-I

LOCALNETiptaccount-I

LOCALNET-fcrond+shell+ACCOUNT3.8

如

何

對

DNS域

名

進

行

過

濾

?為

什

么

string

模

塊

無

法

匹

配

?DNS數(shù)

據(jù)

包

結

構

?string

和

layer7

的

實

現(xiàn)：|

g

Olg

bm

--hex-stringdns_CU

PoRajncomm

stchinaunixORWAR09A03ta3.9

如

何

有

效

阻

止

瘋

狂

下

載

人

士

?connlimit:

限制每個用戶的連接數(shù)connbytes:限制長連接數(shù)據(jù)速率quota:

設

置

每

個

用

戶

流

量

配

額statistic:

設置用戶隨機丟包量4.1

如何提高

iptables腳本的性能?4.2

如何對conntrack

進行性能調(diào)優(yōu)?4.3

如何對layer7的匹配功能

進

行

加

強

?4.

提

高

部

分4.1

如

何

提

高

腳

本

的

性

能

?MASQUERADE/SNAT規(guī)

則

數(shù)

量規(guī)

則

順

序匹