【Iptables】07 IPtables扩展匹配条件之UDP扩展与ICMP扩展

最新推荐文章于 2022-01-14 21:47:03 发布
最新推荐文章于 2022-01-14 21:47:03 发布
阅读量282 收藏 1
点赞数
分类专栏: Iptables 文章标签: 防火墙 Iptables 网络安全
原文链接:http://www.zsythink.net/archives/1588
版权

特别说明:此系列博文根据 朱双印博客-iptables系列博文,个人实践后总结,此为个人笔记精简版,更通俗易懂请参考 朱双印博客-iptables系列博文 原文内容,诸君必能有所收获

07 IPtables扩展匹配条件之UDP扩展与ICMP扩展

udp扩展模块

先来看看UDP扩展模块,该模块和tcp扩展模块相似,但只要两个扩展选项,即 --sport 和 --dport,用于匹配源地址端口号和目标地址端口号,使用方式也和tcp扩展模块一样,只不过在使用时用 -p 指定udp端口和 -m 选项指定了 udp 扩展模块;

下面是一些示例,如匹配目标地址的UDP端口10050,可以定义以下规则

iptables -I INPUT -p udp -m udp --dport 10050 -j REJECT

在使用了-p 选项指定了udp端口后,可以不使用 -m选项指定dup扩展模块

iptables -I INPUT -p udp --dport 10050 -j REJECT

也同样可以指定连续端口,同样可以使用multiport扩展模块指定不连续端口

iptables -t filter -I INPUT -p udp --dports 22:80 -j REJECT

iptables -I INPUT -p udp -m multiport --dports 22,80,3306 -j REJECT

icmp扩展模块

ICMP协议即互联网控制报文协议,它主要是用于探测网络上的主机是否可用,目标是否到达,网络是否通畅等,我们常用的ping命令就是使用的这个协议

当我们使用ping命令时,如果可用联通,主机一般会对Ping命令做出回应,虽然都是icmp协议的报文,但是它们的所属类型是不一样的,如发出去的ping请求类型为8的icmp报文,对方主机返回的ping报文则属于类型0的ICMP报文,由于类型较多,这里只介绍常用的几个类型
在这里插入图片描述
如,所以表示"目标不可达"的icmp报文的type码都是3,而目标不可达有可能是网络不可达,主机不可达,端口不可达等,我们就需要细化区分,icmp对每种type细分了对应的code,用不同的code对应具体的场景,使用时,一般用type/code去匹配具体类型的icmp报文,如使用"3/1"去表示主机不可达的icmp报文

我们常用的ping命令的回应icmp报文类型为0,其code也为0,并且它是属于Query,即查询类型的报文,而类型3这种,属于的是错误类报文

我们发出的ping命令,其报文类型为8,code为0;而对方回复(回应),则类型是0,code为0;

现在,我们假设不让所有的icmp类型的报文进入本机,可以直接 -p选项指定协议类型,进行协议匹配,不区分type和code这些

iptables -I INPUT -p icmp -j REJECT

如果想要我们能ping通别人,别人不能ping通我们,我们就需要更改规则了

iptables -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT
在这里插入图片描述
在这里插入图片描述
可以看到,别的主机ping本机时会返回错误信息,ping发送的报文信息type为8,code为0,返回的报文信息type为0,code为0;所以我们能ping通别人,因为没有INPUT链上的规则禁止了类型为0,code为0的报文,而别人ping我们主机时,则因为是类型为8的报文,被规则匹配后拒绝

由于类型8下面code不像类型3那样有很多code,所以我们可以省略code,直接使用类型8即可

iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j REJECT

我们还能通过 --icmp-type选项匹配类型名称,如 echo request (type为8,code为0)

iptables -I INPUT -p icmp -m icmp --icmp-type "echo-request" -j REJECT

这样也能达到匹配type为8的报文,只是需要注意,需要将名称中分隔符空格替换成 “-” 短横线
【Iptables】iptables目录
【Iptables】08 Iptables扩展匹配条件之state扩展模块

TDXYBS
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables详解(7):iptables扩展udp扩展icmp扩展
servepeople的博客
02-23 213
前文中总结了iptables的tcp扩展模块,此处,我们来总结一下另外两个跟协议有关的常用的扩展模块,udp扩展icmp扩展udp扩展 我们先来说说udp扩展模块,这个扩展模块中能用的匹配条件比较少,只有两个,就是–sport与–dport,即匹配报文的源端口与目标端口。 没错,tcp模块中也有这两个选项,名称都一模一样。 只不过udp扩展模块的–sport与–dport是用于匹配UDP协议...
iptables扩展udp扩展icmp扩展
ystyaoshengting的专栏
11-11 284
转载自http://www.zsythink.net/archives/1588 #示例 iptables -t filter -I INPUT -p udp -m udp --dport 137 -j ACCEPT iptables -t filter -I INPUT -p udp -m udp --dport 137:157 -j ACCEPT #可以结合multiport模块指定多个离...
Iptables】08 Iptables扩展匹配条件之state扩展模块
TDXYBS的博客
09-05 391
08 Iptables扩展匹配条件之state扩展模块 一般情况下,我们访问服务器服务,向服务端的80发起请求,服务端会通过80端口响应我们的请求,于是,我们作为客户端,也会开发相应的80端口以便接收该服务返回的报文,但此时就可能存在安全问题,如果进入我们主机80端口的报文到底是服务端返回的,还是别人刻意发送的呢? 很可怕,我们可以试着只通过特定主机IP发送的报文,其余IP地址发送的报文都拒绝,但...
iptablesudp穿越实用篇——iptables与natcheck
Jitonm's Zone
10-26 1253
Stun协议(Rfc3489、详见http://www.ietf.org/rfc/rfc3489.txt) 提出了4种NAT类型的定义及其分类,并给出了如何检测在用的NAT究竟属于哪种分类的标准。但是,具体到P2P程序如何应用Stun协议及其分类法穿越NAT,则是仁者见仁、智者见智。(因为Stun协议并没有给出也没有必要给出如何穿越NAT的标准) 在拙作“iptables与stun”一文中,笔
iptables基本命令规则简介
11-21
* -p 用来指定协议可以是 tcp,udpicmp 等也可以是数字的协议号 * -s 指定源地址 * -d 指定目的地址 * -i 进入接口 * -o 流出接口 * -j 采取的动作,accept,drop,snat,dnat,masquerade * --sport 源端口 * --...
Iptables 中文指南
07-23
5.2. restore的不足之处 5.3. iptables-save 5.4. iptables-restore 6. 规则是如何练成的 6.1. 基础 6.2. Tables 6.3. Commands 6.4. Matches 6.4.1. 通用匹配 6.4.2. 隐含匹配 6.4.3. 显式匹配 6.4.4. ...
iptables指南1.1.19电子书
05-06
iptables指南1.1.19电子书 译者序 关于作者 如何阅读 必备知识 本文约定 1. 序言 1.1. 为什么要写这个指南 1.2. 指南是如何写的 1.3. 文中出现的术语 2. 准备阶段 2.1. 哪里能取得iptables 2.2. 内核配置 ...
iptables权威指南
03-22
2.3.编译与安装....................................................................................................................................................... 11 2.3.1.编译........................
Iptables 指南 1.1.19
12-30
4.5. UDP 连接 4.6. ICMP 连接 4.7. 缺省的连接操作 4.8. 复杂协议和连接跟踪 5. 保存和恢复数据管理规则 5.1. 速度 5.2. restore的不足之处 5.3. iptables-save 5.4. iptables-restore 6. 规则是如何练成的 6.1. ...
iptables 打开UDP端口
热门推荐
beyondlpf的专栏
11-15 2万+
iptables -A INPUT -p udp --destination-port 2000 -j ACCEPT
Linux - iptablesUDP数据包转发及通道端口保持
Daopin Blog
10-31 6528
公司项目中有一项业务需要将UDP的数据包接入到服务器,并给予回复,一般像类似TCP的数据包,直接通过NGINX或者自身的Socket就可以做到上下行的通路,但是UDP的消息通路及端口,在一段时间内就会被释放掉,而无法再次使用和联通;经我们测试发现,收到一个UDP的数据,当我们解析后并回复一个特定数据回去的时候,经过NGINX时,就失败了,原因就是原来的那个端口没有被保持释放掉了。。...
iptables
xiaogaoxiaoyuan的博客
01-14 1069
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptables中的 -m tcp的意思
wsclinux的专栏
11-12 4365
-m tcp:是要装载 tcp模块 -p tcp:使用tcp的协议
iptables 学习总结--扩展模块udpicmp,state(五)
纵横四海的博客
06-02 761
udp扩展 匹配源端口--sport 匹配目标端口--dport iptables -t filter -A INPUT -p dup -m udp --dport 137 -j REJECT iptables -t filter -A INPUT -p dup -m udp --dport 138 -j REJECT 端口范围 iptables -t filter -A INP...
udp端口转发 Linux,Linux下利用iptables快速实现UDP/TCP端口转发
weixin_39550940的博客
04-30 1351
很多时候我们搭建某些服务后,发现本地连接效果不给力,但是我们有一个国内机器,由于国内机器出去走BGP线路,国内机器连接国外效果好,本地连接国内效果也不错,这样我们就可以搭建一个跳板,从国内去连接国外服务器,常见的转发有rinetd、Haproxy、iptables、socat,前面2种只能转发TCP,后面TCP/UDP都可以转发。现阶段服务器本来就包含iptables,为啥还要安装其他的软件来转发...
规则 防火墙 iptables input accept
【设计改变世界】github地址:https://github.com/guochunyang2004
11-16 1025
由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了: 图 9.3-4、iptables 内建各表格与链的相关性(简图) 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机...
条件取反_iptables系列------第四篇:iptables匹配条件总结之一
最新发布
06-01
好的,让我来给你总结一下iptables的常见匹配条件: 1. 匹配协议:使用 `-p` 参数指定协议,常见协议包括 TCP、UDPICMP等,例如: ``` # 匹配 TCP 协议 iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. 源/目标地址:使用 `-s` 和 `-d` 参数指定源地址和目标地址,例如: ``` # 允许来自 IP 地址为 192.168.1.100 的主机访问 SSH 服务 iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT # 允许向 IP 地址为 192.168.1.100 的主机发送 HTTP 请求 iptables -A OUTPUT -d 192.168.1.100 -p tcp --dport 80 -j ACCEPT ``` 3. 匹配端口:使用 `--dport` 和 `--sport` 参数指定目标端口和源端口,例如: ``` # 允许访问 SSH 服务 iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许从本地主机向远程主机发送 HTTP 请求 iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ``` 4. 匹配数据包的状态:使用 `--state` 参数指定数据包的状态,例如: ``` # 允许已经建立的 TCP 连接通过 iptables -A INPUT -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许 ICMP 数据包通过 iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT ``` 5. 匹配 MAC 地址:使用 `-m mac --mac-source` 参数指定源 MAC 地址,例如: ``` # 允许来自 MAC 地址为 00:11:22:33:44:55 的主机访问 SSH 服务 iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT ``` 这些是iptables的常见匹配条件,希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值