1. 连接跟踪(Connection Tracking)
原理与用途
- 功能:跟踪网络连接状态(如TCP握手、UDP会话、ICMP请求)。
- 状态类型:
- NEW:新发起的连接请求。
- ESTABLISHED:已建立的连接(双向通信)。
- RELATED:与现有连接相关的子连接(如FTP数据通道)。
- INVALID:非法或异常数据包。
实战规则
# 允许已建立和相关的连接(必加)
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# 拒绝无效状态的数据包
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
# 查看当前连接跟踪表
conntrack -L
优化建议
- 将ESTABLISHED规则放在INPUT链的最前面,减少后续规则匹配次数。
2. 限速与防暴力破解
场景示例:保护SSH端口
# 创建名为SSH的链(模块化规则)
iptables -N SSH_PROTECT
# 将SSH流量导向自定义链
iptables -A INPUT -p tcp --dport 22 -j SSH_PROTECT
# 规则1:记录新连接并添加到"ssh_attempts"列表
iptables -A SSH_PROTECT -m recent --name ssh_attempts --set
# 规则2:60秒内超过3次新连接则拒绝并记录
iptables -A SSH_PROTECT -m recent --name ssh_attempts --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix "SSH_BRUTE_FORCE: "
iptables -A SSH_PROTECT -m recent --name ssh_attempts --rcheck --seconds 60 --hitcount 3 -j DROP
# 规则3:允许合法连接
iptables -A SSH_PROTECT -j ACCEPT
参数解析
- --rcheck:检查IP是否在列表中。
- --update:刷新时间窗口(适用于动态防御)。
- --hitcount:触发阈值。
3. 高级日志记录
结构化日志配置
# 创建专用日志链
iptables -N LOGGING
# 限制日志频率(防止日志爆炸)
iptables -A LOGGING -m limit --limit 10/min -j LOG --log-prefix "FW_DENIED: " --log-level 4
iptables -A LOGGING -j DROP
# 将拒绝的HTTP流量导向日志链
iptables -A INPUT -p tcp --dport 80 -j LOGGING
# 查看日志(默认路径)
tail -f /var/log/messages # CentOS/RHEL
tail -f /var/log/syslog # Ubuntu/Debian
日志分析技巧
# 统计被拒绝的SSH连接来源IP
grep "FW_DENIED" /var/log/syslog | awk '{print $10}' | sort | uniq -c | sort -nr
4. 基于时间的规则控制
按时间段限制访问
# 仅允许工作时间(9:00-18:00)访问HTTP
iptables -A INPUT -p tcp --dport 80 -m time --timestart 09:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
# 允许周末全天访问MySQL
iptables -A INPUT -p tcp --dport 3306 -m time --weekdays Sat,Sun -j ACCEPT
参数说明
- --timestart/--timestop:HH:MM格式时间。
- --weekdays:Mon, Tue等缩写。
- --monthdays:指定月份日期(如5-31)。
5. 规则优化技巧
提升性能的方法
# 创建子链分类管理
iptables -N WEB_RULES
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j WEB_RULES
# 使用ipset管理大规模IP列表
ipset create blacklist hash:ip
ipset add blacklist 192.168.1.100
iptables -A INPUT -m set --match-set blacklist src -j DROP
- 规则排序原则:
- 高频流量规则靠前简单匹配条件(如端口)优先复杂匹配(如字符串检测)
6. 实战任务
任务1:防御HTTP Flood攻击
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10/sec -j DROP
iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-name http --hashlimit-mode srcip --hashlimit-above 50/minute -j DROP
任务2:记录可疑DNS请求
- 记录所有向非标准端口(非53)的UDP DNS请求:
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm -j LOG --log-prefix "DNS_EXFILTRATION: "
7. 注意事项
# 临时插入规则到指定位置
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
- 避免规则冲突:
- 使用iptables -L -n --line-numbers查看规则顺序。
- 持久化配置:
# CentOS/RHEL
service iptables save
# Ubuntu/Debian
apt install iptables-persistent && netfilter-persistent save