iptables常見(jiàn)套路

【iptablesfilter表常見(jiàn)套路】
（注：以下的"[INPUT|FORWARD]"表示INPUT或者FORWARD）
#(1)提高防火墻效率：已有連接直接放過(guò)(強(qiáng)制要求要有，而且必須放在最前面)
iptables-A[INPUT|FORWARD]-ptcp-mstate--stateESTABLISHED,RELATED-jACCEPT

#(2)防***：NEW狀態(tài)的新連接并且不帶有syn位的tcp包，均認(rèn)為是不合法的tcp請(qǐng)求，直接丟棄(建議要有)
#此條防***策略可有可無(wú)，因?yàn)榘踩窍鄬?duì)的，但是建議加上這條策略。
iptables-A[INPUT|FORWARD]-ptcp!--syn-mstate--stateNEW-jDROP

#(3)訪問(wèn)控制：對(duì)訪問(wèn)防火墻本機(jī)或流經(jīng)內(nèi)網(wǎng)的數(shù)據(jù)只允許訪問(wèn)指定的端口(強(qiáng)制要求要有)
iptables-A[INPUT|FORWARD]-ptcp-mmultiport--dport22,80,443-jACCEPT

#(4)最后，設(shè)置默認(rèn)策略
iptables-PINPUTDROP
iptables-PFORWARDDROP
iptables-POUTPUTACCEPT#注意OUTPUT這時(shí)是ACCEPT，即所有發(fā)出去的包全部放過(guò)，不做封禁。

###################################################################
【nat表常見(jiàn)套路】
#snat:源地址轉(zhuǎn)換,內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)
iptables-tnat-APOSTROUTING-o外網(wǎng)網(wǎng)卡-s內(nèi)網(wǎng)網(wǎng)段-jSNAT--to外網(wǎng)網(wǎng)卡ip
#或者使用MASQUEAGE讓netfilter自己根據(jù)出口ip選源ip
iptables-tnat-APOSTROUTING-o外網(wǎng)網(wǎng)卡-s內(nèi)網(wǎng)網(wǎng)段-jMASQUERADE

#dnat:目標(biāo)地址轉(zhuǎn)換,外網(wǎng)訪問(wèn)內(nèi)網(wǎng)服務(wù)器時(shí)
iptables-tnat-APERROUTING-i外網(wǎng)網(wǎng)卡-d外網(wǎng)網(wǎng)卡ip-ptcp--dport80-jDNAT--to內(nèi)網(wǎng)服務(wù)器ip:80

###################################################################
【iptables策略保存及恢復(fù)】
Iptables-save>/etc/sysconfig/iptables
Iptables-restore

###################################################################
【內(nèi)核參數(shù)調(diào)整】
vi/etc/sysctl.conf

#1，目的是為了增加TCP處理性能
net.ipv4.ip_forward=1
net.ipv4.ip_default_ttl=128
net.ipv4.icmp_echo_ignore_all=1
net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syn_retries=3
net.ipv4.tcp_synack_retries=3
net.ipv4.tcp_fin_timeout=60
net.ipv4.tcp_max_syn_backlog=3200

sysctl-p使剛剛修改的sysctl.conf配置生效

#2，目的是為了增加"狀態(tài)跟蹤"的內(nèi)存緩沖區(qū)，進(jìn)而增強(qiáng)防火墻處理性能。
(2.1)vi/etc/sysctl.conf
net.ipv4.ip_conntrack_max=655350
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=1800#1800秒=30分鐘
sysctl-p使剛剛修改的sysctl.conf配置生效

(2.2)vi/etc/modprobe.conf
optionsip_conntrackhashsize=1048576#2的20次方
或者再命令行執(zhí)行modprobeip_conntrackhashsize=1048576也可以，


###################################################################
下面看一個(gè)關(guān)于“狀態(tài)跟蹤”檢測(cè)的故障分析：
[故障分析]
iptables開(kāi)啟狀態(tài)跟蹤后，導(dǎo)致一部分流量被拒絕。
[現(xiàn)象]
線上內(nèi)核日志：/var/log/messages打?。篿p_conntrack:tablefull,droppingpacket.
[原因]
由于iptables/netfilter使用了狀態(tài)跟蹤，這樣會(huì)使用更多的內(nèi)存，這條日志表示內(nèi)存已經(jīng)超過(guò)使用限制，
服務(wù)器開(kāi)始丟棄多余的數(shù)據(jù)包，
[解決]
需要調(diào)大內(nèi)存使用限制的參數(shù),如下：

1,vi/etc/sysctl.conf
net.ipv4.ip_conntrack_max=655350
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=1800#1800秒=30分鐘
(連接跟蹤表超時(shí)時(shí)間,通過(guò)測(cè)試這個(gè)參數(shù)的意義不大，和跟蹤表自動(dòng)清除的時(shí)間沒(méi)有太大關(guān)系，但還是先減小，默認(rèn)值是7天)

2,vi/etc/modprobe.conf
optionsip_conntrackhashsize=1048576#2的20次方
或者再命令行執(zhí)行modprobeip_conntrackhashsize=1048576也可以
設(shè)置桶的數(shù)量。提高性能，可以減少內(nèi)核遍歷時(shí)間。

[結(jié)論]
這幾個(gè)設(shè)置理由很簡(jiǎn)單，因?yàn)榫€上服務(wù)的流量可能很大，超出預(yù)期。
為了讓iptalbes/netiflter發(fā)揮出最大的性能，給它多分配些內(nèi)存空間，以防止流量太大，導(dǎo)致請(qǐng)求被拒絕。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、成都小程序開(kāi)發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了祁連免費(fèi)建站歡迎大家使用！