1、iprange
使用iprange扩展模块可以指定"一段连续的IP地址范围",用于匹配报文的源地址或者目标地址。
--src-range:匹配报文的源地址所在范围
--dst-range:匹配报文的目标地址所在范围
eg:
iptables -t filter -I INPUT -m iprange --src-range 192.168.1.15-192.168.1.149 -j REJECT
2、string
使用string扩展模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。
比如,如果报文中包含字符"OOXX",我们就丢弃当前报文。
eg:
iptables -t filter -I INPUT -m string --algo bm --string "OOXX" -j REJECT
'-m string'表示使用string模块,'--algo bm'表示使用bm算法去匹配指定的字符串,' --string "OOXX" '则表示我们想要匹配的字符串为"OOXX"
3、time
通过time扩展模块,根据时间段区匹配报文,如果报文到达的时间在指定的时间范围以内,则符合匹配条件。
比如:每天早上9点到下午6点不能看网页:
eg:
iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 18:00:00 -j REJECT
"-m time"表示使用time扩展模块,--timestart选项用于指定起始时间,--timestop选项用于指定结束时间。
eg:
iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --weekdays 6,7 -j REJECT
使用--weekdays选项可以指定每个星期的具体哪一天,可以同时指定多个,用逗号隔开,除了能够数字表示"星期几",还能用缩写表示,例如:Mon, Tue, Wed, Thu, Fri, Sat, Sun
eg:
iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 18:00:00 --weekdays 6,7 -j REJECT
表示周六日的上午9点-下午18点不能看网页
eg:
iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --weekdays 5 --monthdays 22,23,24,25,26 -j REJECT
使用--monthdays选项可以具体指定的每个月的哪一天;
eg:
iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --datestart 2017-12-24 --datestop 2017-12-27 -j REJECT
使用--datestart 选项与--datestop选项,指定具体的日期范围
4、connlimit
使用connlimit扩展模块,可以限制每个IP地址同时链接到server端的链接数量,注意:不用指定IP,其默认就是针对"每个客户端IP",即对单IP的并发连接数限制。
eg:
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 --connlimit-mask 24 -j REJECT
使用"-m connlimit"指定使用connlimit扩展,使用"--connlimit-above 2"表示限制每个IP的链接数量上限为2,再配合-p tcp --dport 22,即表示限制每个客户端IP的ssh并发链接数量不能高于2。
--connlimit-mask选项,去限制"某类网段"的链接数量,24是掩码,转成点分十进制:255.255.255.0
5、limit
limit模块是对"报文到达速率"进行限制的,限制单位时间内流入的包的数量。
iptables -I INPUT -p icmp -m limit --limit 10/minute -j REJECT
"--limit"用于指定多长时间生成一个新令牌的,"--limit-burst"用于指定"木桶中最多存放几个令牌的"
6、tcp
通过--tcp-flags扩展匹配条件,去匹配tcp报文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。
eg:
iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
SYN,ACK,FIN,RST,URG,PSH SYN"表示需要匹配的标志位列表 最后SYN表示匹配的标志位列表中 SYN标志位必须为1,其他的5个标志位必须为0
上例简写eg:
iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECT
eg:使用"--syn"选项相当于使用"--tcp-flags SYN,RST,ACK,FIN SYN",也就是说,可以使用"--syn"选项去匹配tcp新建连接的请求报文。
iptables -I INPUT -p tcp -m tcp --dport 22 --syn -j REJECT
7、udp
udp扩展模块只有--sport与--dport两个扩展条件,用于匹配UDP协议报文的源端口与目标端口。
比如,放行samba服务的137这两个UDP端口:
iptables -I INPUT -p udp -m udp --dport 137 -j REJECT
8、icmp
ICMP协议(Internet Control Message Protocol)互联网控制报文协议,它主要用于探测网络上的主机是否可用,目标是否可达,网络是否通畅,路由是否可用等。比如ping
eg:
iptables -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT
使用"--icmp-type"选项表示根据具体的type与code去匹配对应的icmp报文,而上图中的"--icmp-type 8/0"表示icmp报文的type为8,code为0才会被匹配到,也就是只有ping请求类型的报文才能被匹配到
别人对我们发起的ping请求将会被拒绝通过防火墙,而我们之所以能够ping通别人,是因为别人回应我们的报文的icmp type为0,code也为0,无法被上述规则匹配到,所以我们可以看到别人回应我们的信息。
type为8的类型下只有一个code为0的类型,所以我们可以省略对应的code,示例如下
iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j REJECT
除了能够使用对应type/code匹配到具体类型的icmp报文以外,我们还能用icmp报文的描述名称去匹配对应类型的报文,示例如下
iptables -I INPUT -p icmp -m icmp --icmp-type "echo-request" -j REJECT
--icmp-type "echo-request"与 --icmp-type 8/0的效果完全相同
9、state
state模块的连接其中的报文可以分为5种状态,报文状态可以为NEW、ESTABLISHED、RELATED、INVALID、UNTRACKED:
NEW:连接中的第一个包,状态就是NEW,我们可以理解为新连接的第一个包的状态为NEW。
ESTABLISHED:我们可以把NEW状态包后面的包的状态理解为ESTABLISHED,表示连接已建立。
RELATED:数据连接与"命令连接"中的报文有关系,"数据连接"中的报文可能就是RELATED状态,。
INVALID:如果一个包没有办法被识别,或者这个包没有任何状态,那么这个包的状态就是INVALID,我们可以主动屏蔽状态为INVALID的报文。
UNTRACKED:报文的状态为untracked时,表示报文未被追踪,当报文的状态为Untracked时通常表示无法找到相关的连接。
eg:只有回应我们的报文能够通过防火墙,如果报文的状态为ESTABLISHED,那么报文肯定是之前发出的报文的回应,只要放行状态为ESTABLISHED的报文即可
iptables -t filter -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT