第十四周作業

系統的INPUT和OUTPUT默認策略為DROP；

1、限制本地主機的web服務器在周一不允許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不允許訪問；web服務器僅允許響應報文離開本機；

]# iptables -P INPUT DROP                   #INPUT默認策略為DROP
]# iptables -P OUTPUT DROP                  #OUTPUT默認策略為DROP
]# iptables -A INPUT -p tcp -d 192.168.0.113 --dport 80 -m time --weekdays Wed -j DROP                      #周一不能訪問web服務
]# iptables -A INPUT -p tcp -d 192.168.0.113 --dport 80 -m string --string "admin" --algo kmp -j DROP       #不能訪包含"admin"的頁面
]# iptables -A INPUT -p tcp -d 192.168.0.113 -m limit --limit 100/second -j ACCEPT                          #新請求的速率不能超過100個/s
]# iptables -A INPUT -p tcp -d 192.168.0.113 --dport 80 -j ACCEPT                                           #不匹配上面規則的均被允許
]# iptables -A OUTPUT -s 192.168.0.113 -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT                    #僅允許相應報文離開本機

2、在工作時間，即周一到周五的8:30-18:00，開放本機的ftp服務給172.16.0.0網絡中的主機訪問；數據下載請求的次數每分鐘不得超過5個；

]# modprobe nf_conntrack_ftp              #裝載ftp跟蹤模塊
]# lsmod |grep ftp
nf_conntrack_ftp       18638  0 
nf_conntrack          105745  5 nf_nat,nf_nat_ipv4,xt_conntrack,nf_conntrack_ftp,nf_conntrack_ipv4

]# iptables -A INPUT -s 172.16.0.0/16 -p tcp -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri \
-m multiport --dport 21 -m state --state NEW,ESTABLISHED -m limit --limit 5/min -j ACCEPT      #放行命令連接
]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT                            #放行數據連接（被動模式）
]# iptables -A OUTPUT -d 172.16.0.0/16 -p tcp -m state --state ESTABLISHED -j ACCEPT           #放行出站響應報文

3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機，x為你的座位號，新請求建立的速率一分鐘不得超過2個；僅允許響應報文通過其服務端口離開本機；

]# iptables -A input -m iprange --src-range 172.16.0.1-172.16.0.100 -p tcp --dport 22 -m limit --limit 20/min -j ACCEPT
]# iptables -A output -m state --state ESTABLISHED -j ACCEPT

4、拒絕TCP標志位全部為1及全部為0的報文訪問本機；

]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP          #拒絕tcp標志位全部為1
]# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP         #拒絕tcp標志位全部為0

5、允許本機ping別的主機；但不開放別的主機ping本機；

]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT             # 0代表ping的響應包
]# iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT            # 8代表ping的請求包

6、判斷下述規則的意義：
  # iptables -N clean_in                                                                                        #創建一個名為clean_in的自定義鏈
  # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP                                     #拒絕對廣播地址255.255.255.255的ping包
  # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP                                       #拒絕對廣播地址172.16.255.255的ping包

  # iptables -A clean_in -p tcp ! –syn -m state –state NEW -j DROP                              #拒絕所有不是以syn作為標志位的tcp新連接
  # iptables -A clean_in -p tcp –tcp-flags ALL ALL -j DROP                                          #拒絕tcp標志位全部為1的連接
  # iptables -A clean_in -p tcp –tcp-flags ALL NONE -j DROP                                       #拒絕tcp標志位全被為0的連接
  # iptables -A clean_in -d 172.16.100.7 -j RETURN                                                  #如果目標地址為172.16.100.7，則將連接轉到INPUT鏈并繼續匹配下面的規則

  # iptables -A INPUT -d 172.16.100.7 -j clean_in                                                    #將所有目標地址為172.16.100.7的連接轉到clean_in鏈（此為第一條匹配策略）
  # iptables -A INPUT  -i lo -j ACCEPT                                                                     #允許數據流入接口為lo的連接
  # iptables -A OUTPUT -o lo -j ACCEPT                                                                  #允許數據流出接口為lo的連接

  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 53,113,135,137,139,445 -j DROP                           #拒絕訪問接口是eth0，且協議類型為tcp的DNS、NFS連接
  # iptables -A INPUT  -i eth0 -m multiport -p udp –dports 53,113,135,137,139,445 -j DROP                          #拒絕訪問接口是eth0，且協議類型為udp的DNS、NFS連接

  # iptables -A INPUT  -i eth0 -p udp –dport 1026 -j DROP                                                                         #拒絕訪問接口是eth0，且端口為1026的udp連接

  # iptables -A INPUT  -i eth0 -m multiport -p tcp –dports 1433,4899 -j DROP                                               #拒絕訪問接口是eth0，且端口為1433，4899的tcp連接

  # iptables -A INPUT  -p icmp -m limit –limit 10/second -j ACCEPT                                                              #拒絕速度超過每秒10個的ping包

規則說明：

    1） 首先創建了一個名為clean_in的自定義鏈，該鏈用來對目標地址為172.16.100.7的所有訪問進行初次過濾，將含有非法的廣播ping包以及異常的tcp連接剔除出去，剩下的包則通過RETURN返回給INPUT鏈，并由INPUT鏈后面的策略繼續進行匹配；

    2）INPUT鏈允許對本地lo的請求包以及由lo發出的包，此類請求通常是針對lvs-dr模型下的rs；

    3） INPUT鏈拒絕到本機dns，nfs訪問，4899（radmin遠程控制軟件端口，容易被黑客控制），1433（SQL-SERVER端口），1026端口，并拒絕每秒超過10次的Flood-ping包。

7、通過tcp_wrapper控制vsftpd僅允許172.16.0.0/255.255.0.0網絡中的主機訪問，但172.16.100.3除外；對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日志文件中；

]# vim /etc/hosts.allow
vsftpd:192.16.0.0/255.255.0.0 EXCEPT 172.16.100.3
]# vim /etc/hosts.deny
vsftpd:ALL:spawn /bin/echo $(date) login attemp from %c to %s,%d>>/var/log/tcpwrapper.log