利用iptables丢弃某ip数据包

最新推荐文章于 2024-07-24 10:16:22 发布
最新推荐文章于 2024-07-24 10:16:22 发布
阅读量1.1w 收藏 9
点赞数 2
分类专栏: 软件测试

利用iptables丢弃某ip数据包

1      背景

测试的时候,有些需要模拟某设备和环境断连的场景(比如设备断连告警、主机代理断连告警),以前普遍的做法是去机房拔设备网线,这个方法真的很原始很暴力,验十六种设备的时候,真的有点崩溃啊,线拔了忘插回去也是有的。每当觉得方法很憋屈的时候,就真的该努力想想怎么“偷懒”了!查阅CSDN、BAIDU后,发现Linux的iptables可以简单的实现丢弃某ip的数据包模拟断连场景。

2      简介

iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。(内容来自百科http://baike.baidu.com/view/504557.htm

3      应用

下面直接介绍怎么增加一条规则,丢弃某个ip的数据包。

 

1)使用  -L  列出所有规则

vmCIE:/ #     iptables     -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination       

 

备注:IP 连通性 通信 测试

vmCIE:/ #  ping 10.71.170.100
PING 10.71.170.100 (10.71.170.100) 56(84) bytes of data.
64 bytes from 10.71.170.100: icmp_seq=1 ttl=61 time=0.704 ms
64 bytes from 10.71.170.100: icmp_seq=2 ttl=61 time=0.802 ms            =========>检查发现能 正常 ping通
^C
--- 10.71.170.100 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.704/0.753/0.802/0.049 ms

 

2)插入一条规则,丢弃此ip 的所有协议请求

vmCIE:/ #  iptables  -I   INPUT   -p   all   -s 10.71.170.100   -j   DROP

vmCIE:/ # iptables  -L                                        ===========>列出所有规则

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
DROP       all  --  10.71.170.100        anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

 

3)测试 丢弃规则内的IP 连通性


vmCIE:/ # ping 10.71.170.100
PING 10.71.170.100 (10.71.170.100) 56(84) bytes of data.
^C
--- 10.71.170.100 ping statistics ---
85 packets transmitted, 0 received, 100% packet loss, time 84312ms           =========>检查发现 无法 ping通

4)清除 规则列表的 限制

vmCIE:/ #  iptables     -F

 

5)使用  -L  列出所有规则

vmCIE:/ #     iptables     -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    

    
6)IP 连通性 通信 测试

vmCIE:/ #  ping 10.71.170.100
PING 10.71.170.100 (10.71.170.100) 56(84) bytes of data.
64 bytes from 10.71.170.100: icmp_seq=1 ttl=61 time=0.704 ms
64 bytes from 10.71.170.100: icmp_seq=2 ttl=61 time=0.802 ms            =========>检查发现能 正常 ping通
^C
--- 10.71.170.100 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.704/0.753/0.802/0.049 ms

 

=============> 测试的时候,有些需要模拟某设备和环境断连的场景;就这样完成。无需去实验室机房插拔网线或后插板等繁琐体力操作!!!

 

 

zj0910
关注
专栏目录
iptables限流
逐月
11-02 307
iptables限流
Linux 上面模拟网络丢包率(命令)
liulilittle的博客
04-13 501
1、模拟20%入站丢包率。1、模拟30%入站丢包率。3、模拟20%出站丢包率。4、模拟30%出站丢包率。
使用iptables丢弃指定ip和端口的包
Magnum的博客
07-19 1192
【代码】使用iptables丢弃指定ip和端口的包。
iptable模拟丢包和阻断特定网络包的命令
最新发布
wjh_84的专栏
07-24 303
可以通过指定udp 源ip和端口号过滤并停止特定的网络数据:iptables -A INPUT -p udp -s 172.16.186.155 --sport 56586 -j DROP。也可以通过指定udp目的ip和端口号过滤并停止特定的网络数据:iptables -A INPUT -p udp -d 172.18.78.19 --dport 8352 -j DROP。UDP表示网络包是属于UDP的传输协议,表示tcp,对应iptables参数-p udp。
测试宝典---iptables 模拟丢包
热门推荐
sheldon的专栏
01-18 1万+
先列下常见的参数:1.查看iptables -nvL --line-number -L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数 -n 不对ip地址进行查,加上这个参数显示速度会快很多 -v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口 –line-number 显示规则的序列号,这个参数在删除或修改规则时
iptables 模拟网络丢包
Dai Yuwen的专栏
01-15 9051
有时候我们需要模拟网络丢包,可以用一台Linux 作为网络通信的一方或网关, 在Linux上用 iptables 创建防火墙规则, 阻止某些包,而规则的有效时间是一个随机值,到了预期时间,把规则删除。 如此循环。 用脚本语言很容易实现。  #! /bin/sh # # drop some packets to simulate network traffic jam # Yuwen Dai
linux如何查看丢弃数据包,如何查看被iptables丢弃数据包
weixin_33236524的博客
05-12 2483
在Linux系统中,我们经常用iptables数据包进行限制,最常见的就比如:[root@s109 ~]#iptables -nvLChain INPUT (policy DROP 830 packets, 176K bytes)pkts bytes target prot opt in out source destination4954 2...
iptables深度解析:数据包进行链处理的全过程
# 1. 引言 ## 1.1 介绍iptables和它在网络安全中的作用 iptables是一个在Linux系统上管理网络包过滤...它是在Linux内核中的netfilter框架之上构建的,通过在网络协议栈的各个链上插入钩子函数,iptables可以对数据包
linux 防火墙: 从 iptablesipset 的过滤ip
bie_niu1992的专栏
11-08 1943
一 :iptables 了解: iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能 工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfi
Linux网络之iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 950
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
如何在iptables中使用IP
通过iptables,我们可以对进出系统的网络数据包进行过滤、转发、修改和丢弃等操作。 ## 1.2 IP集的定义 IP集是iptables中的一种特殊数据结构,用于存储一组IP地址。IP集可以包含单个IP地址、IP地址范围、IP地址段...
Linux iptables防火墙添加删除端口
chengxuyuanyonghu的专栏
08-19 1394
一.  Linux 防火墙的启动和关闭 1.1 启动命令 [root@singledb ~]# service iptables stop Flushing firewall rules:                                   [  OK  ] Setting chains to policy ACCEPT: filter nat               
linux ip转发 丢包,高并发下iptables丢包导致网络变慢解决方法
weixin_35973118的博客
05-04 1663
很多人估计遇到这个问题,开启iptables时,一旦网络连接并发较多,比如5000个以上,就发现网络响应变得很慢, 这时syslog中出现大量以下日志:ip_conntrack: table full, dropping packet.这是因为分配给ip_conntrack的默认的内存空间过小造成, 需要加大此值,并且这个值是无法通过/etc/sysctl.conf修改的.我被这个问题困扰了很久,...
linux 下使用iptables 模拟网络延迟和丢包
pynash123的博客
04-07 5953
iptables -A INPUT -s 10.47.180.70/72 -j DROP 屏蔽70-72网段到执行该命令的机器的包 iptables -A INPUT -s 10.47.180.70 -j DROP 屏蔽70到执行该命令的机器的包 iptables -A INPUT -s 10.47.180.70/72 -j ACCEPT 恢复70-72网段到执行该命令的机器的包 iptables...
实验模拟TCP连接的各种异常情况(三次握手丢包,两端异常)
Tracker647的博客
12-05 2348
【博客677】linux模拟网络丢包与延迟
qq_43684922的博客
06-26 1408
linux模拟网络丢包与延迟。
linux 丢弃网卡数据包函数,Linux网络 - 数据包的接收过程
weixin_39852491的博客
05-01 511
本文将介绍在Linux系统中,数据包是如何一步一步从网卡传到进程手中的。如果英文没有问题,强烈建议阅读后面参考里的两篇文章,里面介绍的更详细。本文只讨论以太网的物理网卡,不涉及虚拟设备,并且以一个UDP包的接收过程作为示例.本示例里列出的函数调用关系来自于kernel 3.13.0,如果你的内核不是这个版本,函数名称和相关路径可能不一样,但背后的原理应该是一样的(或者有细微差别)网卡到内存网卡需要...
关于使用TC和IPTABLES模拟丢包的区别
baidu_35141290的博客
03-21 880
这段时间在做一些有关广域网优化的工作,需要模拟丢包环境进行网络测试,自己写了一个收UDP包与发UDP包的程序,并统计丢包率,基本方法是接收端使用epoll,延时1s的时间,发送端发的udp包中第一个字节写上seq,接收端根据收到的seq置flag数组的相应位置为1,接收端在epoll_wait返回-1时统计flag数组中1的个数来统计丢包率。 在使用TC模拟丢包的过程中发现,在包长度为500B和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值