【Iptables】07 IPtables扩展匹配条件之UDP扩展与ICMP扩展

最新推荐文章于 2022-01-14 21:47:03 发布
最新推荐文章于 2022-01-14 21:47:03 发布
阅读量282 收藏 1
点赞数
分类专栏: Iptables 文章标签: 防火墙 Iptables 网络安全
原文链接:http://www.zsythink.net/archives/1588
版权

特别说明:此系列博文根据 朱双印博客-iptables系列博文,个人实践后总结,此为个人笔记精简版,更通俗易懂请参考 朱双印博客-iptables系列博文 原文内容,诸君必能有所收获

07 IPtables扩展匹配条件之UDP扩展与ICMP扩展

udp扩展模块

先来看看UDP扩展模块,该模块和tcp扩展模块相似,但只要两个扩展选项,即 --sport 和 --dport,用于匹配源地址端口号和目标地址端口号,使用方式也和tcp扩展模块一样,只不过在使用时用 -p 指定udp端口和 -m 选项指定了 udp 扩展模块;

下面是一些示例,如匹配目标地址的UDP端口10050,可以定义以下规则

iptables -I INPUT -p udp -m udp --dport 10050 -j REJECT

在使用了-p 选项指定了udp端口后,可以不使用 -m选项指定dup扩展模块

iptables -I INPUT -p udp --dport 10050 -j REJECT

也同样可以指定连续端口,同样可以使用multiport扩展模块指定不连续端口

iptables -t filter -I INPUT -p udp --dports 22:80 -j REJECT

iptables -I INPUT -p udp -m multiport --dports 22,80,3306 -j REJECT

icmp扩展模块

ICMP协议即互联网控制报文协议,它主要是用于探测网络上的主机是否可用,目标是否到达,网络是否通畅等,我们常用的ping命令就是使用的这个协议

当我们使用ping命令时,如果可用联通,主机一般会对Ping命令做出回应,虽然都是icmp协议的报文,但是它们的所属类型是不一样的,如发出去的ping请求类型为8的icmp报文,对方主机返回的ping报文则属于类型0的ICMP报文,由于类型较多,这里只介绍常用的几个类型
在这里插入图片描述
如,所以表示"目标不可达"的icmp报文的type码都是3,而目标不可达有可能是网络不可达,主机不可达,端口不可达等,我们就需要细化区分,icmp对每种type细分了对应的code,用不同的code对应具体的场景,使用时,一般用type/code去匹配具体类型的icmp报文,如使用"3/1"去表示主机不可达的icmp报文

我们常用的ping命令的回应icmp报文类型为0,其code也为0,并且它是属于Query,即查询类型的报文,而类型3这种,属于的是错误类报文

我们发出的ping命令,其报文类型为8,code为0;而对方回复(回应),则类型是0,code为0;

现在,我们假设不让所有的icmp类型的报文进入本机,可以直接 -p选项指定协议类型,进行协议匹配,不区分type和code这些

iptables -I INPUT -p icmp -j REJECT

如果想要我们能ping通别人,别人不能ping通我们,我们就需要更改规则了

iptables -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT
在这里插入图片描述
在这里插入图片描述
可以看到,别的主机ping本机时会返回错误信息,ping发送的报文信息type为8,code为0,返回的报文信息type为0,code为0;所以我们能ping通别人,因为没有INPUT链上的规则禁止了类型为0,code为0的报文,而别人ping我们主机时,则因为是类型为8的报文,被规则匹配后拒绝

由于类型8下面code不像类型3那样有很多code,所以我们可以省略code,直接使用类型8即可

iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j REJECT

我们还能通过 --icmp-type选项匹配类型名称,如 echo request (type为8,code为0)

iptables -I INPUT -p icmp -m icmp --icmp-type "echo-request" -j REJECT

这样也能达到匹配type为8的报文,只是需要注意,需要将名称中分隔符空格替换成 “-” 短横线
【Iptables】iptables目录
【Iptables】08 Iptables扩展匹配条件之state扩展模块

TDXYBS
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables详解(7):iptables扩展udp扩展icmp扩展
servepeople的博客
02-23 213
前文中总结了iptables的tcp扩展模块,此处,我们来总结一下另外两个跟协议有关的常用的扩展模块,udp扩展icmp扩展udp扩展 我们先来说说udp扩展模块,这个扩展模块中能用的匹配条件比较少,只有两个,就是–sport与–dport,即匹配报文的源端口与目标端口。 没错,tcp模块中也有这两个选项,名称都一模一样。 只不过udp扩展模块的–sport与–dport是用于匹配UDP协议...
防火墙策略添加linux,通过iptables设置Linux防火墙INPUT策略
weixin_28954623的博客
05-09 661
原标题:通过iptables设置Linux防火墙INPUT策略小白电脑课堂开课啦!游戏团战就死机,多半是废了。大家好我是小白。说到防火墙,同学们都会想到开了防火墙就会卡的Windows。而在Linux中,防火墙是个很重要的服务。虽然现在已经有了新的firewalld服务,但新的防火墙配置工具也没有完全取代iptables,而且很多企业还在iptables服务。今天小白就用iptables来演示如何...
iptables基本命令规则简介
11-21
* -p 用来指定协议可以是 tcp,udpicmp 等也可以是数字的协议号 * -s 指定源地址 * -d 指定目的地址 * -i 进入接口 * -o 流出接口 * -j 采取的动作,accept,drop,snat,dnat,masquerade * --sport 源端口 * --...
Iptables 中文指南
07-23
5.2. restore的不足之处 5.3. iptables-save 5.4. iptables-restore 6. 规则是如何练成的 6.1. 基础 6.2. Tables 6.3. Commands 6.4. Matches 6.4.1. 通用匹配 6.4.2. 隐含匹配 6.4.3. 显式匹配 6.4.4. ...
iptables指南1.1.19电子书
05-06
iptables指南1.1.19电子书 译者序 关于作者 如何阅读 必备知识 本文约定 1. 序言 1.1. 为什么要写这个指南 1.2. 指南是如何写的 1.3. 文中出现的术语 2. 准备阶段 2.1. 哪里能取得iptables 2.2. 内核配置 ...
iptables权威指南
03-22
2.3.编译与安装....................................................................................................................................................... 11 2.3.1.编译........................
Iptables 指南 1.1.19
12-30
4.5. UDP 连接 4.6. ICMP 连接 4.7. 缺省的连接操作 4.8. 复杂协议和连接跟踪 5. 保存和恢复数据管理规则 5.1. 速度 5.2. restore的不足之处 5.3. iptables-save 5.4. iptables-restore 6. 规则是如何练成的 6.1. ...
iptables 打开UDP端口
热门推荐
beyondlpf的专栏
11-15 2万+
iptables -A INPUT -p udp --destination-port 2000 -j ACCEPT
iptablesudp穿越实用篇——iptables与natcheck
Jitonm's Zone
10-26 1254
Stun协议(Rfc3489、详见http://www.ietf.org/rfc/rfc3489.txt) 提出了4种NAT类型的定义及其分类,并给出了如何检测在用的NAT究竟属于哪种分类的标准。但是,具体到P2P程序如何应用Stun协议及其分类法穿越NAT,则是仁者见仁、智者见智。(因为Stun协议并没有给出也没有必要给出如何穿越NAT的标准) 在拙作“iptables与stun”一文中,笔
iptables(二)--扩展详解
weixin_34358092的博客
07-08 480
1、其实匹配扩展中,还有需要加-m引用模块的显示扩展,默认是隐含扩展,不要使用 -m 状态检测的包过滤 -m state --state {NEW,ESTATBLISHED,INVALID,RELATED} 指定检测那种状态 -m multiport 指定多端口号 --sport --dport --ports...
iptables的状态检测机制(TCP、UDPICMP状态详解)
jialzt的博客
01-20 6604
1、UDP连接连接     UDP(用户数据包协议)是一种无状态协议,以为这个协议没有序列号。不过,这并不意味着我们不能跟踪UDP连接。虽然没有序列号,但是我们还可以使用其它的一些信息跟踪UDP连接的状态。下面是状态表中关于UDP连接的条目:    udp 17 19 src=192.168.1.2 dst=192.168.1.50 sport=1032 dport=53 [UNREPLI
Linux - iptablesUDP数据包转发及通道端口保持
Daopin Blog
10-31 6532
公司项目中有一项业务需要将UDP的数据包接入到服务器,并给予回复,一般像类似TCP的数据包,直接通过NGINX或者自身的Socket就可以做到上下行的通路,但是UDP的消息通路及端口,在一段时间内就会被释放掉,而无法再次使用和联通;经我们测试发现,收到一个UDP的数据,当我们解析后并回复一个特定数据回去的时候,经过NGINX时,就失败了,原因就是原来的那个端口没有被保持释放掉了。。...
iptables中的 -m tcp的意思
wsclinux的专栏
11-12 4365
-m tcp:是要装载 tcp模块 -p tcp:使用tcp的协议
一次穿透 iptables 防火墙UDP ***报文真实案例分析
weixin_34311757的博客
01-03 413
一次穿透 iptables 防火墙UDP ***报文真实案例分析,揭示了一些在使用 iptables 时鲜为人知的安全隐患,希望能给大家带来帮助! 原文链接 http://blog.chinaunix.net/uid-1728743-id-3457803.html 这类***确实少见,也是一次好的排错过程,所以转载以总结下来. 现象 一次偶然的机会,...
iptables
xiaogaoxiaoyuan的博客
01-14 1070
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
udp端口转发 Linux,Linux下利用iptables快速实现UDP/TCP端口转发
weixin_39550940的博客
04-30 1352
很多时候我们搭建某些服务后,发现本地连接效果不给力,但是我们有一个国内机器,由于国内机器出去走BGP线路,国内机器连接国外效果好,本地连接国内效果也不错,这样我们就可以搭建一个跳板,从国内去连接国外服务器,常见的转发有rinetd、Haproxy、iptables、socat,前面2种只能转发TCP,后面TCP/UDP都可以转发。现阶段服务器本来就包含iptables,为啥还要安装其他的软件来转发...
条件取反_iptables系列------第四篇:iptables匹配条件总结之一
最新发布
06-01
好的,让我来给你总结一下iptables的常见匹配条件: 1. 匹配协议:使用 `-p` 参数指定协议,常见协议包括 TCP、UDPICMP等,例如: ``` # 匹配 TCP 协议 iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值