请教IPTABLES NAT特定IP地址的语法

foxwho

各位，由于我的OPENWRT路由器上映射了5060 SIP服务的端口到公网，目前受到大量的国外IP的针对UDP 5060端口的爆破攻击。因此我想只允许某一段IP能够访问我映射的5060端口的主机，以此来避免攻击

我对于IPTABLES的语法不是太懂，请各位帮忙指点一下，感谢！

foxwho

顶一顶，希望各位能帮忙指点一下。感谢！

fengchen

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
过滤规则不用nat，还是用filter
nat是用于地址转换相关的

fengchen

iptables -t filter -A FORWORD -i ethx -p udp -s ! x.x.x.x/y -dport 5050 -j DROP

icanon

端口映射应该用NAT表吧。

zyyhcufe

1. iptables -t nat -I PREROUTING -s x.x.x.x/x -p udp --dport 5060 -j DNAT --to-destination x.x.x.x:x

复制代码

结合fail2ban。

foxwho

fengchen 发表于 2018-9-13 13:21
iptables -t filter -A PORWARD -i ethx -p udp -s ! x.x.x.x/y -dport 5050 -j DROP

感谢指引！

foxwho

zyyhcufe 发表于 2018-9-14 09:31
结合fail2ban。

嗯 fail2ban是可以，但我想从路由器上就做终结，sip服务器上不想改变任何设定

fengchen

icanon 发表于 2018-9-14 09:27
端口映射应该用NAT表吧。

icanon

fengchen 发表于 2018-9-14 16:17

iptables -t filter -A FORWORD -i ethx -p udp -s ! x.x.x.x/y -dport 5050 -j DROP这样只是做了过滤，并没有做端口映射吧？
感觉像 zyyhcufe 的方法那样，在 DNAT 的时候加个筛选应该更节省资源。

fengchen

icanon 发表于 2018-9-14 17:20
iptables -t filter -A FORWORD -i ethx -p udp -s ! x.x.x.x/y -dport 5050 -j DROP这样只是做了过滤， ...

端口映射之前楼主已经做了

另一个并没有，nat表的PREROUTING链默认ACCEPT，filter表的FORWARD链默认DROP
你说的这个规则，攻击数据包要遍历整个两个链，先ACCEPT，再DROP
我的规则两个链都不需要全部遍历，至少默认规则不会比对

zyyhcufe

fengchen 发表于 2018-9-14 20:23
端口映射之前楼主已经做了

另一个并没有，nat表的PREROUTING链默认ACCEPT，filter表的FORWARD链默认DR ...

我意思是用fail2ban加规则直接封攻击ip。

flq71

看起来很不错哦，收藏备用~~~

fengchen

友情提示下楼主，openwrt的filter表的FORWARD链默认有

1. -A zone_wan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
   

复制代码

做过DNAT的直接放行，所以我的那个规则要放在前面，改成

1. iptables -t filter -I FORWORD -i ethx -p udp -s ! x.x.x.x/y --dport 5050 -j DROP
   

复制代码

插入链的第一行



另外6楼的那个规则可以在webui生成，在network->firewall->port forwards，edit以前的那条规则，source ip改成你需要的网段