1. 连接跟踪（Connection Tracking）

原理与用途

• 功能：跟踪网络连接状态（如TCP握手、UDP会话、ICMP请求）。
• 状态类型：
• NEW：新发起的连接请求。
• ESTABLISHED：已建立的连接（双向通信）。
• RELATED：与现有连接相关的子连接（如FTP数据通道）。
• INVALID：非法或异常数据包。

实战规则

# 允许已建立和相关的连接（必加）
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 拒绝无效状态的数据包
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

# 查看当前连接跟踪表
conntrack -L

优化建议

• 将ESTABLISHED规则放在INPUT链的最前面，减少后续规则匹配次数。

2. 限速与防暴力破解

场景示例：保护SSH端口

# 创建名为SSH的链（模块化规则）
iptables -N SSH_PROTECT

# 将SSH流量导向自定义链
iptables -A INPUT -p tcp --dport 22 -j SSH_PROTECT

# 规则1：记录新连接并添加到"ssh_attempts"列表
iptables -A SSH_PROTECT -m recent --name ssh_attempts --set

# 规则2：60秒内超过3次新连接则拒绝并记录
iptables -A SSH_PROTECT -m recent --name ssh_attempts --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix "SSH_BRUTE_FORCE: "
iptables -A SSH_PROTECT -m recent --name ssh_attempts --rcheck --seconds 60 --hitcount 3 -j DROP

# 规则3：允许合法连接
iptables -A SSH_PROTECT -j ACCEPT

参数解析

• --rcheck：检查IP是否在列表中。
• --update：刷新时间窗口（适用于动态防御）。
• --hitcount：触发阈值。

3. 高级日志记录

结构化日志配置

# 创建专用日志链
iptables -N LOGGING

# 限制日志频率（防止日志爆炸）
iptables -A LOGGING -m limit --limit 10/min -j LOG --log-prefix "FW_DENIED: " --log-level 4
iptables -A LOGGING -j DROP

# 将拒绝的HTTP流量导向日志链
iptables -A INPUT -p tcp --dport 80 -j LOGGING

# 查看日志（默认路径）
tail -f /var/log/messages      # CentOS/RHEL
tail -f /var/log/syslog        # Ubuntu/Debian

日志分析技巧

# 统计被拒绝的SSH连接来源IP
grep "FW_DENIED" /var/log/syslog | awk '{print $10}' | sort | uniq -c | sort -nr

4. 基于时间的规则控制

按时间段限制访问

# 仅允许工作时间（9:00-18:00）访问HTTP
iptables -A INPUT -p tcp --dport 80 -m time --timestart 09:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

# 允许周末全天访问MySQL
iptables -A INPUT -p tcp --dport 3306 -m time --weekdays Sat,Sun -j ACCEPT

参数说明

• --timestart/--timestop：HH:MM格式时间。
• --weekdays：Mon, Tue等缩写。
• --monthdays：指定月份日期（如5-31）。

5. 规则优化技巧

提升性能的方法

• 模块化规则集：

# 创建子链分类管理
iptables -N WEB_RULES
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j WEB_RULES

• IP集合优化：

# 使用ipset管理大规模IP列表
ipset create blacklist hash:ip
ipset add blacklist 192.168.1.100
iptables -A INPUT -m set --match-set blacklist src -j DROP

• 规则排序原则：
• 高频流量规则靠前简单匹配条件（如端口）优先复杂匹配（如字符串检测）

6. 实战任务

任务1：防御HTTP Flood攻击

• 限制单个IP每秒最多10个新HTTP连接：

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10/sec -j DROP

• 使用hashlimit模块更精准控制：

iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-name http --hashlimit-mode srcip --hashlimit-above 50/minute -j DROP

任务2：记录可疑DNS请求

• 记录所有向非标准端口（非53）的UDP DNS请求：

iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm -j LOG --log-prefix "DNS_EXFILTRATION: "

7. 注意事项

• 测试规则顺序：

# 临时插入规则到指定位置
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT

• 避免规则冲突：
• 使用iptables -L -n --line-numbers查看规则顺序。
• 持久化配置：

# CentOS/RHEL
service iptables save
# Ubuntu/Debian
apt install iptables-persistent && netfilter-persistent save