iptables 的一些-m模块

最新推荐文章于 2024-04-26 16:31:32 发布
最新推荐文章于 2024-04-26 16:31:32 发布
阅读量2.3k 收藏 5
点赞数
文章标签: linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BUG_MeDe/article/details/125646058
版权

1、每一个tcp连接成功后,其状态在防火墙的nf_conntrack(连接跟踪数据库)文件中是-----ESTABLISHED--状态。

/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established:如果client和servers连接的连接上没有任何数据包,那么该文件中的val值将代表多少秒后,清除该条连接的记录。

2、在TCP/IP 网络上,数据的传输方式有三种:

Unicast【发送给特定的用户】、

Broadcast【发送到广播地址】、

Multicast【网络音频或视频,特定:ip一定介于224.0.0.0/4】、

如果通过Ping + 广播地址,将使得所以网段的主机收到这个数据包,同时使用ping命令的主机将收到大量的ping reply包,如果攻击者,伪装源地址,那么大量的响应包将回到自己的主机上,同时在网络上传输,导致网络瘫痪。

防火墙规则限制ping命令ping广播地址:

iptables -A INPUT -t filter -p icmp -m pkttype --pkt-type broadcast -j DROP 【-m pkttype】

3、DOS攻击:大量的icmp包,携带大量数据(16k),撑爆网络,和吃满cpu,

iptables -A INPUT -t filter -p icmp --type-icmp 8 -m length --length 92 -j ACCEP【接受正常大小的icmp包】

iptables -A INPUT -t filter -p icmp --type-icmp 8  -j DROP

--lenght 50:匹配刚好50的数据包;--lenght :100=>匹配小于100的数据包;--length 50:100=》匹配50~100之间的数据包。

4、-m limit模块=》特定数据包重复率的匹配

限制一点时间内数据包能进入的数量:m[分钟],s[秒],h[小时],d[天]

iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 6/m --limit-brust 10 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

[如果每分钟进入的icmp数量小于等于10,是被允许的]

-m recent模块:

参数:-name【设置跟踪数据库】

        [!] --set【将符合的来源端数据添加到数据库中,如果数据存在就更新数据】

[!] --rcheck 【确定数据库的匹配】

[!] --update 【来源端数据存在,就更新;不存在就不处理】

[!] --remove 【来源端数据存在,就移除;不存在就不处理】

[!] --seconds sencond 【当事件发生时,只匹配数据库前几秒内的数据,--seconds必须与--rcheck或--update参数配合使用】

[!] --hitcount hits【匹配重复发生的次数】,必须与--rtcheck 或 --update共用

如果我们希望每分钟只能进6个icmp数据包:

iptables -A INPUT -p icmp -m recent --name icmp_db --rcheck --second 60 --hitcount 6 -j DROP

iptables -A INPUT -p icmp --icmp-type 8 -m recent --set  --name icmp_db

【数据存放位置在/proc/net/xt_recent/icmp_db[需要创建规则后可查看]】

第一条规则表示:1分钟 内只能允许6个数据包的进入,并且检查icmp_db数据库中的数据,在当前秒数向前搜索60秒的时间进行匹配。【该规则只检查数据库,是否有满足条件的数据发生】

第二条规则表示:将icmp  8类型的数据包记录到icmp_db数据库中。【将数据记录到icmp_db数据库中让数据检查[--recheck]起作用】

--update【?】

5、-m string:匹配数据包中的date内容

【在包过滤防火墙中,匹配数据包的包头信息,而非数据包中的承载的数据内容,应用层防火墙可以决绝这个问题,但其匹配速度较慢,影响连接】

string模块在“网络层”进行数据内容的匹配,比应用层防火墙更高效。

iptables -A INPUT -i eth0 -o eth1 -p tcp -d $web_server --dport 80 -m string --algo bm --string "system32" -j DROP

6、-m time:设置规则的生效时间

iptables -A FORWARD -o eth1 -d $srv_farm -m time --weekday Mon,Tue,Wed,Thu,Fri --timestart 09:00 --timestop 21:00 -j ACCEPT

iptables -A FORWARD -o eth1 -d $srv_farm -j DROP

【--weekday:Mon,Tue,Wed,Thu,Fri,Sat,Sun】

【--timestart  [00:00]--timestop [00:00] 】

7、-m connmask 模块匹配mark值

nfmark 和ctmark: -j MARK -set value 【nfmark】与connmark【ctmark】都叫mark.

iptables -A INPUT -m connmark --mark 10 -j DROP

8、conntrack :匹配数据包的状态

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m conntrack --ctproto tcp --ctorigsrc 192.168.1.0/24 \
         --ctorigdstport 21 --ctstate NEW -j ACCEPT
【限制只有192.168.1.0/24的主机可以访问FTP服务器】

9、/etc/proctol找到传输协议对应的ID【TCP 6 ,ICMP 1】

-m u32、-m hashlimit模块。。。

BUG_MeDe
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables 模块
03-18
New netfilter match 描述了 iptables -m 中一些常用的模块功能,参数,配置实例,例如: ah-esp condition conntrack fuzzy iplimit ipv4options length nth pkttype u32 等,基本全部模块
关于iptables -m选项以及规则的理解
weixin_34268843的博客
11-21 1733
关于iptables的详细状态可以查看http://os.51cto.com/art/201108/285209.htm 时常在服务器的防火墙上看到有这些规则, 2 106K 8294K ACCEPT all --0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED,我觉得有必要搞下这个iptables了 下面就来...
4-iptables mark标记
Creator_Ly的博客
05-06 3453
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。 下面介绍iptables mark简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配mark –mark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以...
Iptables状态跟踪(conntrack)相关命令与参数
shijin741231的博客
01-22 966
简述Iptables conntrack,介绍概念、参数,并给出推荐配置
iptables详解:常用模块的基本使用
qq_68163788的博客
11-20 603
iptables是一个Linux系统上用于配置和管理网络规则的工具,它可以用于防火墙、网络地址转换(NAT)、数据包过滤等功能。常用模块iptables中的重要组成部分,它们可以帮助用户实现特定的网络功能和安全策略。本文将详细介绍iptables中常用模块的基本使用,包括过滤规则、NAT规则、连接跟踪规则等内容,帮助用户更好地理解和使用iptables
iptables详解
魏志标的博客
06-26 5698
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
IPtables 匹配条件
小楼一夜听春雨,深巷明朝卖杏花
08-30 1683
规则从上到下匹配,如果IP来源10.0.0.1符合规则,那么下面规则就不执行了,如果来源于其他规则不满足,那么就走下面,任何地址到本机的22都拒绝。如果不符合这条drop的规则,那么就继续往下去匹配,下面没有规则就回到链的默认规则,默认规则是ACCEPT,只要没有符合这条规则,那么就都允许。drop就是什么消息都不返回,reject就会返回因为防火墙阻止了,也就是一个会返回消息,一个不会返回消息。仅允许'10.0.0.1'访问'10.0.0.200'服务器的'22'端口、其他地址全部拒绝。......
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 3827
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
解决iptables参数-m physdev出现iptables: No chain/target/match by that name.错误
opkg list
03-02 8625
事情是这样的,我使用iptables命令出现错误: iptables -A INPUT -m physdev --physdev-in ap1_0 -j DROP iptables: No chain/target/match by that name. 解决办法: 1.iptables的match匹配是需要内核支持的,可以内核目录下make menuconfig查看选项,重点是xtabl...
iptables-uwu:iptables以uwu的外发数据包为目标
04-06
iptables-uwu 这是一个xtables模块,可以将传出的数据包发送出去,主要是作为便笺,也可以作为我将来如何在内核空间中篡改传出数据包的xtables模块的参考。 此回购协议主要基于 ,很多代码都从中改编而来。 GPL-2...
ansible_iptables_raw:保持状态的Ansible iptables模块
05-23
Ansible模块,可轻松管理iptables并保持状态。 文献资料 博客文章 安装 要使用iptables_raw模块,只需将文件复制到./library ,再复制到顶层剧本,或者将其复制到ANSIBLE_LIBRARY或--module-path命令行选项指定--...
网络 -arptables工作原理.txt
08-19
主要介绍arptables涉及到的内核模块,创建filter表等的代码使用方法介绍
dd-wrt fantasia
07-01
1.0 Beta - Build 20101114 汉化micro版 在web界面添加IPID/TTL/IPV4 Option修改功能 添加ipt_BCOUNT/ipt_bcount模块 修改ipt_MARK模块,支持set-return 修正了ipt_recent模块的...Motorola WR850G v2(BCM4712 4M/16M)
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 500
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux报错处理:‘abrt-cli status’ timed out
Rita_rr的博客
04-23 473
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统中处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
linux18:进程等待
m0_73919066的博客
04-20 1081
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 918
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
Linux:服务器硬件及RAID配置
JIUYINGQAQ的博客
04-22 1513
RAID 0又称为条带化(Stripe),代表了所有RAID级别中最高的存储性能。通过建立RAID 0,原先顺序的数据请求被分散到所有的三块硬盘中同时执行。但由于其没有数据冗余,无法保护数据的安全性,只能适用于I/O速率要求高,但数据安全性要求低的场合。RAID 0数据存储原理。
iptables -f -m
05-24
iptables 是一个用于 Linux 系统的防火墙软件,-f 选项用于清空所有的防火墙规则,-m 选项用于指定使用哪个扩展模块。在这种情况下,-m 指定了使用哪个内核模块,但是命令中没有指定具体的模块名称,因此这个命令是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值