文章来源 ：系统安全运维

iptables基础

我们自定义的所有规则，都是这四种分类中的规则，或者说，所有规则都存在于这4张”表”中

#1 主动

包含4个表：4个表的优先级由高到低：raw-->mangle-->nat-->filter

举例：iptables -t nat -A PREROUTING -p tcp -s 192.168.152.250 --dport 80 -j REDIRECT --to-port 22
常用命令：-A 追加规则-->iptables -A INPUT-D 删除规则-->iptables -D INPUT 1(编号)-R 修改规则-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则，顺序不变(1是位置)-I 插入规则-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一条规则，原本位置上的规则将会往后移动一个顺位-L 查看规则-->iptables -L INPUT 列出规则链中的所有规则-N 新的规则-->iptables -N allowed 定义新的规则-t 指定nat就看nat表信息，不用-t 默认filter表-n 使输出中的IP地址和端口以数值的形式显示-V 输出详细化--line 显示出每条规则在相应链中的序号通用参数：-p 协议  例：iptables -A INPUT -p tcp-s源地址 例：iptables -A INPUT -s 192.168.1.1-d目的地址 例：iptables -A INPUT -d 192.168.12.1-sport源端口 例:iptables -A INPUT -p tcp --sport 22-dport目的端口 例:iptables -A INPUT -p tcp --dport 22-i指定入口网卡 例:iptables -A INPUT -i eth0-o指定出口网卡 例:iptables -A FORWARD -o eth0

iptables -t nat -nL --line

iptables -t nat -A PREROUTING -p tcp -s 192.168.152.250 --dport 80 -j REDIRECT --to-port 22 //将192.168.152.250访问80端口的流量都重定向到22端口iptables -t nat -nvL //查看规则

ssh -p 80 [email protected]

iptables -t nat -A PREROUTING -p tcp -s 192.168.152.250 --sport 5555 --dport 80 -j REDIRECT --to-port 22 //指定来自192.168.152.250主机的5555端口访问80端口的流量才会被转给22端口 iptables -t nat -nvL

nohup socat tcp-listen:4444,fork,reuseaddr tcp:192.168.152.135:80,sourceport=5555,reuseaddr

ssh -p 4444 [email protected]

iptables -t nat -N LETMEIN //创建端口复用链 iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22 //创建端口复用规则，将流量转发至 22 端口 iptables -t nat -nvL

iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1028 -m recent --set --name letmein --rsource -j ACCEPT //开启开关，如果接收到一个长为 1139 的 ICMP 包，则将来源 IP 添加到加为letmein的列表中 iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1029 -m recent --name letmein --remove -j ACCEPT //关闭开关，如果接收到一个长为 1140 的 ICMP 包，则将来源 IP 从 letmein 列表中去掉 iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN //如果发现 SYN 包的来源 IP 处于 letmein 列表中，将跳转到 LETMEIN 链进行处理，有效时间为 3600 秒

ping -c 1 -s 1000 192.168.152.135 //向目标发送一个长度为 1000 的 ICMP 数据包（加上包头28，总长度实际为1028,对应上上面设置的开启长度1028）

ping -c 1 -s 1001 192.168.152.135 //向目标发送一个长度为 1001 的 ICMP 数据包（加上包头28，总长度实际为1029,对应上上面设置的关闭长度1029）

iptables -t nat -N LETMEIN //创建端口复用链iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22 //创建端口复用规则，将流量转发至 22 端口 iptables -t nat -nvL

iptables -A INPUT -p tcp -m string --string 'go' --algo bm -m recent --set --name letmein --rsource -j ACCEPT //开启开关，如果接收到一个含有 go 的TCP包，则将来源 IP 添加到加为letmein的列表中 iptables -A INPUT -p tcp -m string --string 'out' --algo bm -m recent --name letmein --remove -j ACCEPT //关闭开关，如果接收到一个含有 out 的TCP包，则将来源 IP 从letmein的列表中移除 iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN //如果发现 SYN 包的来源 IP 处于 letmein 列表中，将跳转到 LETMEIN 链进行处理，有效时间为 3600 秒

echo go | socat - tcp:192.168.152.135:80

echo out | socat - tcp:192.168.152.135:80