其他扩展匹配1

最新推荐文章于 2022-10-03 11:49:30 发布
最新推荐文章于 2022-10-03 11:49:30 发布
阅读量246 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LIGANG0704/article/details/90380855
版权

 步骤

实现此案例需要按照如下步骤进行。
步骤一:根据MAC地址封锁内网中指定的一些主机

1)整理测试环境
为外网测试机pc120添加到192.168.4.0/24网段的路由:

[root@pc120 ~]# route add default gw 174.16.16.1
[root@pc120 ~]# route -n | grep UG
0.0.0.0         174.16.16.1     0.0.0.0         UG    0      0        0 eth0

清理网关gw1的防火墙,恢复为零规则状态:

[root@gw1 ~]# service iptables stop
iptables:将链设置为政策 ACCEPT:raw filter                [确定]
iptables:清除防火墙规则:                                 [确定]
iptables:正在卸载模块:                                   [确定]
[root@gw1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)

target prot opt source destination
2)在内网机svr5测试ping外网机pc120,能够正常连通

[root@svr5 ~]# ping -c4 -W2 174.16.16.120
PING 174.16.16.120 (174.16.16.120) 56(84) bytes of data.
64 bytes from 174.16.16.120: icmp_seq=1 ttl=63 time=2.29 ms
64 bytes from 174.16.16.120: icmp_seq=2 ttl=63 time=0.764 ms
64 bytes from 174.16.16.120: icmp_seq=3 ttl=63 time=0.887 ms
64 bytes from 174.16.16.120: icmp_seq=4 ttl=63 time=1.12 ms

--- 174.16.16.120 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.764/1.268/2.299/0.608 ms

3)在gw1上添加MAC地址限制,禁止转发内网机svr5的ping数据包
获得主机svr5的MAC地址(00:0c:29:65:21:3c):

[root@gw1 ~]# ping -c2 192.168.4.5 &> /dev/null  			//做一次网络访问
[root@gw1 ~]# arp -an | grep 192.168.4.5 					//从ARP缓存提取MAC
? (192.168.4.5) at 00:0c:29:65:21:3c [ether] on eth0
添加限制MAC地址的防火墙规则:
[root@gw1 ~]# iptables -A FORWARD -p icmp -m mac --mac-source 00:0c:29:65:21:3c -j DROP

[root@gw1 ~]# iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination  
DROP       icmp --  0.0.0.0/0            0.0.0.0/0     MAC 00:0C:29:65:21:3C

4)在内网机svr5再测试ping外网机pc120,将会被阻止

[root@svr5 ~]# ping -c4 -W2 174.16.16.120
PING 174.16.16.120 (174.16.16.120) 56(84) bytes of data.

--- 174.16.16.120 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 5000ms

步骤二:通过一条防火墙规则开放多个TCP服务,提高规则编写效率
1)在外网测试机pc120上开放多个端口
允许访问本机的SSH、FTP(配置的被动端口范围为16501:16800)、邮件、网站服务:

[root@pc120 ~]# iptables -A INPUT -p tcp -m multiport --dport 20:22,25,80,110,143,16501:16800 -j ACCEPT

拒绝对其他TCP端口的访问时,可以对上一条规则利用!取反,操作改为REJECT(方便查看效果):

[root@pc120 ~]# iptables -A INPUT -p tcp -m multiport ! --dport 20:22,25,80,110,143,16501:16800 -j REJECT

确认规则结果:

[root@pc120 ~]# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source          	destination  
ACCEPT     tcp  --  0.0.0.0/0 			0.0.0.0/0  	multiport  		dports 20:22,25,80,110,143,16501:16800 
REJECT     tcp  --  0.0.0.0/0 			0.0.0.0/0  	multiport  		dports ! 20:22,25,80,110,143,16501:16800 reject-with icmp-port-unreachable

2) 测试外网机pc120上的Web服务
将主机pc120上的httpd服务端口改为81:

… …
[root@pc120 ~]# vim /etc/httpd/conf/httpd.conf Listen 81 //修改监听端口 [root@pc120 ~]# service httpd restart //重启服务 [root@pc120 ~]# netstat -anpt | grep httpd //确认监听状态 tcp 0 0 :::81 :::* LISTEN 8425/httpd 由于pc120的防火墙规则并未开放81端口,因此从其他主机(比如gw1)访问此Web服务将会失败: [root@gw1 ~]# elinks --dump http://174.16.16.120:81 ELinks: 拒绝连接 将主机pc120上的httpd服务端口重新改为80: [root@pc120 ~]# vim /etc/httpd/conf/httpd.conf Listen 80 [root@pc120 ~]# service httpd restart //重启服务 .. .. [root@pc120 ~]# netstat -anpt | grep httpd //确认监听状态 tcp 0 0 :::80 :::* LISTEN 8499/httpd 从网关gw1可成功访问pc120上的Web网页: [root@gw1 ~]# elinks --dump http://174.16.16.120 Test Page 120. //修改监听端口
… …

步骤三:根据指定的IP地址范围设置封锁或放行规则
1)在外网机pc120上添加IP范围封锁
在INPUT链的最前面插入一条规则,禁止IP地址位于174.16.16.240~172.16.16.254范围的主机访问本机的Web服务:

[root@pc120 ~]# iptables -I INPUT -p tcp --dport 80 -m iprange --src-range 174.16.16.240-174.16.16.1 -j REJECT

[root@pc120 ~]# iptables -nL INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 source IP range 174.16.16.240-174.16.16.1 reject-with icmp-port-unreachable 
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 20:22,25,80,110,143,16501:16800 
3    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports ! 20:22,25,80,110,143,16501:16800 reject-with icmp-port-unreachable 
[root@pc120 ~]#

2)测试从网关gw1上访问pc120的Web服务,将会失败(地址受限)

[root@gw1 ~]# elinks --dump http://174.16.16.120
ELinks: 拒绝连接

3)测试从内网机svr5上访问pc120的Web服务,可成功浏览(地址未受限)

[root@svr5 ~]# elinks --dump http://174.16.16.120
   Test Page 120.
李港的博客
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
其他扩展匹配
Linux的成长历程
05-24 257
1.其他扩展匹配 问题 本案例要求熟悉针对MAC地址、多端口匹配、IP范围等扩展条件的防火墙规则设置,完成以下任务操作: 1)根据MAC地址封锁内网中指定的一些主机 2)通过一条防火墙规则开放多个TCP服务,提高规则编写效率 3)根据指定的IP地址范围设置封锁或放行规则 方案 采用三台RHEL6虚拟机svr5、gw1、pc120,如图-1所示。其中,虚拟机svr5作为局域网络的测试机,接入NA...
curl和elinks访问中遇到问题及解决办法
Loyal-Wang的博客
09-18 4200
curl和elinks访问中遇到问题及解决办法
linux lamp 关闭apache,LAMP系列之Apache优雅重启、优雅关闭
weixin_29421565的博客
05-14 257
1、优雅停止信号:WINCH[root@localhost~]# /appl/apache/bin/apachectl -kgraceful-stop #[root@localhost ~]# elinks -dump http://192.168.137.3 #使用elinks访问测试ELinks: 拒绝连接2、优雅重启信号:USR1[root@localhost ~]# /appl/apa...
Linux学习笔记- Week 6
最新发布
Menimeky的专栏
10-03 319
baseurl=file:///media/cdrom :提供方式包括FTP(ftp://..)、HTTP(http://..)、本地(file:///..)gpgkey=file:///media/cdrom/RPM-GPG-KEY-redhat-release :若为校验请指定公钥文件地址。--with-apr-util=/usr/local/apr-util/ 指明依赖的apr-util所在的目录。--with-apr=/usr/local/apr 指明依赖的apr所在目录。
设置elasticsearch密码时报错failed: 拒绝连接 (Connection refused)
tianyacho的专栏
08-11 4987
设置elasticsearch密码时报错failed: 拒绝连接 (Connection refused)
HTTP服务基础
jsut_rick的博客
08-06 1912
环境准备:1还原虚拟机classroom server desktop # rht-vmctl reset classroom | server | desktop 2.设置server与desktop防火墙默认区域为trusted # firewall-cmd --set-default-zone=trusted  C/S架构 -- 客户端/服务端架构           B/S架构 -...
php使用自带dom扩展进行元素匹配的原理解析
10-15
主要介绍了php使用自带dom扩展进行元素匹配的原理解析,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
MySQL 字符串模式匹配 扩展正则表达式模式匹配
09-11
这里主要讨论两种模式匹配方式:标准SQL模式匹配扩展正则表达式模式匹配。 **标准SQL模式匹配** 在MySQL中,标准的SQL模式匹配使用两个特殊字符:“_”和“%”。这两个字符作为通配符使用: 1. “_”代表单个...
基于区域特征匹配扩展目标高精度跟踪
02-12
为了能够更精确的跟踪扩展目标,提出了一种基于最大稳定极值区域(MSER)特征匹配的高精度扩展目标跟踪方法,该方法通过对扩展目标图像中的一个区域进行抽样式多阈值二值化处理提取出MSER,再通过对MSER 面积变化率...
linux系统拒绝链接问题处理
热门推荐
爱健身的小刘
09-03 1万+
拒绝链接ConnectionException.问题处理   当在linux系统中出现拒绝链接问题的时候,排查思路如下: 1.执行  ping+ip(这里的ip不带端口号),看看通不通,不通的话,让他通。 2.执行telnet ip+空格+端口号,如果提示connection refused,一般情况下是这个地址对应的项目没启动或者宕机了。   如图,是整个排查思路: ...
php拒绝连接
markchiu的专栏
02-09 2899
表现为nginx所有请求都超时; 后台通过netstat -an | grep 9000查看php-fpm监听的端口有大量的CLOSE_WAIT; 通过google找到解决方法:修改php-fpm配置文件,添加request_terminate_timeout = 10; 重启php-fpm后问题解决查看原文:http://chimmu.dynu.net/2017/02/09/php%e6%
配置DNAT发布内网服务器
Linux的成长历程
05-24 732
3.配置DNAT发布内网服务器 问题 本案例要求熟悉DNAT策略的典型应用场景,完成以下任务: 1)通过DNAT策略发布内网的Web服务器 2)通过DNAT策略发布内网的SSH服务器 3)通过DNAT策略发布内网的FTP服务器 方案 沿用练习二,采用三台RHEL6虚拟机svr5、gw1、pc120,如图-3所示。其中,虚拟机svr5作为局域网络的测试机,接入NAT网络(virbr0);虚拟机p...
配置SNAT实现共享上网2
LIGANG0704的博客
05-20 828
 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建一套基于“局域网-Linux网关-互联网”的案例环境 沿用练习一的环境,稍作调整。 停用虚拟机svr5、gw1、pc120上的iptables服务,清空防火墙规则: [root@gw1 ~]# service iptables stop iptables:将链设置为政策 ACCEPT:filter [确定...
ELK实验中 显示连接拒绝访问
weixin_49022211的博客
11-12 551
ELK实验中 http://20.0.0.101:9100 突然显示连接拒绝访问,登不上该网页 解决方法: 先过滤9100端口是否能过滤出来 结果显示只能过滤9200,9100过滤不出来 问题定位:9100端口 cd /usr/local/src/elasticsearch-head/ npm run start & ok!! ...
字符串匹配算法:KMP、Manacher与扩展KMP解析
"本文主要介绍了三种字符串匹配算法:KMP算法、Manacher算法以及扩展KMP算法,并结合实例分析了暴力方法的不足之处,提出了更高效的解决方案。" ### KMP算法 KMP算法是由Knuth、Morris和Pratt提出的,主要用于解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值