其他扩展匹配

最新推荐文章于 2024-01-23 15:56:12 发布
最新推荐文章于 2024-01-23 15:56:12 发布
阅读量152 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d_x_p_152265/article/details/90679499
版权
  • 问题

本案例要求熟悉针对MAC地址、多端口匹配、IP范围等扩展条件的防火墙规则设置,完成以下任务操作:

  1. 根据MAC地址封锁内网中指定的一些主机
  2. 通过一条防火墙规则开放多个TCP服务,提高规则编写效率
  3. 根据指定的IP地址范围设置封锁或放行规则
  • 方案

采用三台RHEL6虚拟机svr5gw1pc120,如图-1所示其中虚拟机svr5作为局域网络的测试机,接入NAT网络virbr0);虚拟机pc120作为Internet的测试机,接入隔离网络(virbr1);虚拟机gw1作为网关/路由器,配置eth0eth1两块网卡分别接入两个网络virbr0virbr1

图-1

内网测试机svr5还需要将默认网关指向Linux网关的内网接口192.168.4.1:

[root@svr5 ~]# route -n | grep UG

0.0.0.0         192.168.4.1     0.0.0.0         UG    0      0        0 eth0

网关gw1上开启路由转发:

[root@gw1 ~]# vim  /etc/sysctl.conf

net.ipv4.ip_forward = 1

[root@gw1 ~]# sysctl -p

net.ipv4.ip_forward = 1

.. ..

  • 步骤

实现此案例需要按照如下步骤进行。

步骤一:根据MAC地址封锁内网中指定的一些主机

1)整理测试环境

为外网测试机pc120添加到192.168.4.0/24网段的路由:

[root@pc120 ~]# route add default gw 174.16.16.1

[root@pc120 ~]# route -n | grep UG

0.0.0.0         174.16.16.1     0.0.0.0         UG    0      0        0 eth0

清理网关gw1的防火墙,恢复为零规则状态:

[root@gw1 ~]# service iptables stop

iptables:将链设置为政策 ACCEPT:raw filter                [确定]

iptables:清除防火墙规则:                                 [确定]

iptables:正在卸载模块:                                   [确定]

[root@gw1 ~]# iptables -nL

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

 

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

2)在内网机svr5测试ping外网机pc120,能够正常连通

[root@svr5 ~]# ping -c4 -W2 174.16.16.120

PING 174.16.16.120 (174.16.16.120) 56(84) bytes of data.

64 bytes from 174.16.16.120: icmp_seq=1 ttl=63 time=2.29 ms

64 bytes from 174.16.16.120: icmp_seq=2 ttl=63 time=0.764 ms

64 bytes from 174.16.16.120: icmp_seq=3 ttl=63 time=0.887 ms

64 bytes from 174.16.16.120: icmp_seq=4 ttl=63 time=1.12 ms

 

--- 174.16.16.120 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 3004ms

rtt min/avg/max/mdev = 0.764/1.268/2.299/0.608 ms

3)在gw1上添加MAC地址限制,禁止转发内网机svr5的ping数据包

获得主机svr5的MAC地址(00:0c:29:65:21:3c):

[root@gw1 ~]# ping -c2 192.168.4.5 &> /dev/null   //做一次网络访问

[root@gw1 ~]# arp -an | grep 192.168.4.5 //从ARP缓存提取MAC

? (192.168.4.5) at 00:0c:29:65:21:3c [ether] on eth0

添加限制MAC地址的防火墙规则:

[root@gw1 ~]# iptables -A FORWARD -p icmp -m mac --mac-source 00:0c:29:65:21:3c -j DROP

 

[root@gw1 ~]# iptables -nL FORWARD

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination  

DROP       icmp --  0.0.0.0/0            0.0.0.0/0     MAC 00:0C:29:65:21:3C

4)在内网机svr5再测试ping外网机pc120,将会被阻止

[root@svr5 ~]# ping -c4 -W2 174.16.16.120

PING 174.16.16.120 (174.16.16.120) 56(84) bytes of data.

 

--- 174.16.16.120 ping statistics ---

4 packets transmitted, 0 received, 100% packet loss, time 5000ms

步骤二:通过一条防火墙规则开放多个TCP服务,提高规则编写效率

1)在外网测试机pc120上开放多个端口

允许访问本机的SSH、FTP(配置的被动端口范围为16501:16800)、邮件、网站服务:

[root@pc120 ~]# iptables -A INPUT -p tcp -m multiport --dport 20:22,25,80,110,143,16501:16800 -j ACCEPT  

拒绝对其他TCP端口的访问时,可以对上一条规则利用!取反,操作改为REJECT(方便查看效果):

[root@pc120 ~]# iptables -A INPUT -p tcp -m multiport ! --dport 20:22,25,80,110,143,16501:16800 -j REJECT

确认规则结果:

[root@pc120 ~]# iptables -nL INPUT

Chain INPUT (policy ACCEPT)

target     prot opt source           destination  

ACCEPT     tcp  --  0.0.0.0/0 0.0.0.0/0   multiport   dports 20:22,25,80,110,143,16501:16800

REJECT     tcp  --  0.0.0.0/0 0.0.0.0/0   multiport   dports ! 20:22,25,80,110,143,16501:16800 reject-with icmp-port-unreachable

2) 测试外网机pc120上的Web服务

将主机pc120上的httpd服务端口改为81:

[root@pc120 ~]# vim /etc/httpd/conf/httpd.conf

Listen 81   //修改监听端口

.. ..

[root@pc120 ~]# service httpd restart   //重启服务

.. ..

[root@pc120 ~]# netstat -anpt | grep httpd   //确认监听状态

tcp        0      0 :::81             :::*          LISTEN      8425/httpd

由于pc120的防火墙规则并未开放81端口,因此从其他主机(比如gw1)访问此Web服务将会失败:

[root@gw1 ~]# elinks --dump http://174.16.16.120:81

ELinks: 拒绝连接

将主机pc120上的httpd服务端口重新改为80:

[root@pc120 ~]# vim /etc/httpd/conf/httpd.conf

Listen 80   //修改监听端口

.. ..

[root@pc120 ~]# service httpd restart   //重启服务

.. ..

[root@pc120 ~]# netstat -anpt | grep httpd   //确认监听状态

tcp        0      0 :::80             :::*          LISTEN      8499/httpd

从网关gw1可成功访问pc120上的Web网页:

[root@gw1 ~]# elinks --dump http://174.16.16.120

   Test Page 120.

步骤三:根据指定的IP地址范围设置封锁或放行规则

1)在外网机pc120上添加IP范围封锁

在INPUT链的最前面插入一条规则,禁止IP地址位于174.16.16.240~172.16.16.254范围的主机访问本机的Web服务:

[root@pc120 ~]# iptables -I INPUT -p tcp --dport 80 -m iprange --src-range 174.16.16.240-174.16.16.1 -j REJECT

 

[root@pc120 ~]# iptables -nL INPUT --line-numbers

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination         

1    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 source IP range 174.16.16.240-174.16.16.1 reject-with icmp-port-unreachable

2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 20:22,25,80,110,143,16501:16800

3    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports ! 20:22,25,80,110,143,16501:16800 reject-with icmp-port-unreachable

[root@pc120 ~]#

2)测试从网关gw1上访问pc120的Web服务,将会失败(地址受限)

[root@gw1 ~]# elinks --dump http://174.16.16.120

ELinks: 拒绝连接

3)测试从内网机svr5上访问pc120的Web服务,可成功浏览(地址未受限)

[root@svr5 ~]# elinks --dump http://174.16.16.120

董晓溥
关注
专栏目录
防火墙扩展规则: 根据MAC地址封锁主机 在一条规则中开放多个TCP服务 根据IP范围设置封锁规则
彭淦淦的博客
04-23 1205
3.1 问题 本案例要求熟悉使用iptables的扩展规则,实现更丰富的过滤功能,完成以下任务: 根据MAC地址封锁主机 在一条规则中开放多个TCP服务 根据IP范围设置封锁规则 3.2 方案 iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下: iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作 3.3 步...
局域网防火墙(只允许邦定了MAC地址的电脑访问本机)
10-28
使用防火墙后,在局域网中就只有邦定了MAC地址的电脑可以访问这能电脑了,本软件只针对内网,请开机就运行,修改CONFIG.INI后就再次运行防火墙修改内存中的邦定列表。
windows配置防火墙
qq_29495141的博客
01-23 2956
11、右键可以修改属性 点击应用生效。
shell之匹配模式和扩展匹配模式
冬木
12-31 558
首先说一下什么是匹配模式,然后再介绍扩展匹配模式。 匹配模式这个概念就算不知道,但是也都会使用这个功能找到匹配的文件。 例如 ls ab*,找到所有以ab开头的文件。这就是利用了*可以匹配任意字符串,包括空串。 匹配模式是man bash中的pattern matching,星号的含义在上面讲了。 ?用来匹配任意单个字符,例如a?c可以匹配到abc,adc,不能匹配空字符,所有不能匹配ac […] 用来匹配中括号中的一个字符,例如a[bc]d,可以匹配abd和acd 如果想匹配* ?[]呢,需要用反斜杠进行
基于区域特征匹配扩展目标高精度跟踪
02-12
为了能够更精确的跟踪扩展目标,提出了一种基于最大稳定极值区域(MSER)特征匹配的高精度扩展目标跟踪方法,该方法通过对扩展目标图像中的一个区域进行抽样式多阈值二值化处理提取出MSER,再通过对MSER 面积变化率...
MySQL 字符串模式匹配 扩展正则表达式模式匹配
12-15
总的来说,MySQL的字符串模式匹配扩展正则表达式模式匹配是数据库查询中非常实用的功能,能够帮助用户以各种方式过滤和检索数据,满足各种复杂的需求。通过熟练掌握这些技巧,可以极大地提升SQL查询的灵活性和实用...
php使用自带dom扩展进行元素匹配的原理解析
10-15
PHP使用自带DOM扩展进行元素匹配的原理解析涉及到PHP中DOM扩展库的使用。DOM扩展库是PHP提供的用于解析和操作HTML和XML文档的一个扩展。它允许开发者通过程序控制HTML或XML文档的结构、内容和样式。本文将详细介绍...
一种面向快速图像匹配扩展LSH算法 (2010年)
05-31
基于局部不变特征的图像匹配是三维场景重建的基础.本文使用SIFT特征,在LSH算法基础上,提出一种改进的高维数据搜索算法,较好地解决了图像的快速有效匹配问题.该算法提出一种改进的投影空间,使投影到新空间的高维...
操作系统MAC地址控制
言兼的专栏
07-05 3351
操作系统MAC地址控制 摘要:本文分为两部分,分别介绍windows及linux操作系统下的MAC地址控制方法。windows下的MAC控制方法只讲解arp命令,当然,你也可以在windows终端中输入arp加回车查看该命令的详细解释。本文重点在linux下的MAC地址控制方法,这在第二部分中有详细讲解  一、Windows操作系统MAC地址控制(arp命令详解)1.具体功能
通过防火墙禁止访问指定网站(个人电脑,Windows系统)
AbaloneVH的博客
11-12 1万+
背景:近年沉迷B站视频不能自拔,使用了诸多手段禁用,都很容易破戒。为了彻底杜绝B站的使用,决定手动进行设置。
Linux多个端口组合,iptables使用multiport 添加多个不连续端口
weixin_35998457的博客
05-04 5646
使用multiport可以添加多个不连接的端口,最多可以添加15组,如下:iptables -A INPUT -p tcp -m multiport --dports 21:25,135:139 -j DROPiptables -A INPUT -p tcp -m multiport --dports 110,80,25,445,1863,5222 -j ACCEPTiptables -A INP...
关于Linux防火墙'iptables'的面试问答
weixin_33701617的博客
02-09 179
1. 你听说过Linux下面的iptables和Firewalld么?知不知道它们是什么,是用来干什么的? 答案 : iptables和Firewalld我都知道,并且我已经使用iptables好一段时间了。iptables主要由C语言写成,并且以GNU GPL许可证发布。它是从系统管理员的角度写的,最新的稳定版是iptables 1.4.21。iptables通常被用作类UNIX系统中的...
windows 7搞定mac地址绑定
weixin_34378767的博客
05-24 211
对于玩系统的老手都知道,防止arp***实际上不需要这个防火墙那个防火墙,一条命令将ip与mac地址绑定即可。 例如: arp -s 192.168.1.1 00-19-e0-c0-6f-0a 不过这句话在Windows7显得这么无助,会提示:ARP 项添加失败: 请求的操作需要提升。(英文版提示:The ARP entry addition failed: Acces...
MACOS 打开22端口
dddgggd的博客
01-14 6223
macos 22端口
linux防火墙pf,Mac下使用PF进行端口转发和防火墙配置(类似Linux的iptables)
weixin_39633134的博客
05-12 513
首先我们要开启系统的端口转发功能。本次开机生效:# IPv4 的转发$sudo sysctl -w net.inet.ip.forwarding=1net.inet.ip.forwarding:0 -> 1# IPv6 的转发$sudo sysctl -w net.inet6.ip6.forwarding=1net.inet6.ip6.forwarding:0 -> 1开机启动配置,需...
MAC - 开放指定端口
热门推荐
Time
07-14 8万+
适用OSX 10.10之前版本: sudo ipfw add 7000 allow tcp from any to any dst-port 70 参考资料: How can I open a port (not application) in the OS X 10.6 firewall?
linux防火墙禁用445端口,启用iptables防火墙,要求INPUT方向允许任意主机访问ICMP、TCP的21、22、80、139、445端口,INPUT其他默认禁止访问。...
weixin_36477752的博客
05-08 1164
如下三条命令就可以了:设置INPUT的默认策略iptables-PINPUTDROP开放INPUT的icmpiptables-IINPUT1-picmp-jACCEPT开放tcp上的21,22,80,139,445端口iptables-IINPUT1-ptcp-mmultiport--dports21,22,80,139,445-jACCEPT虚拟机上操作...
iptables限定只能连接指定的IP和MAC
jshagw的博客
05-28 3776
操作系统 CentOS6.4 x86_64 iptables限定只能连接指定的IP和MAC的目标是:主机连接外面的设备时,要指定IP和MAC,防止外面入侵交换机,将包转发到另外一台不同MAC的设备。 首先要理解iptables的state四种状态 NEW,ESTABLISHED,RELATED,INVALID。 NEW状态:主机连接目标主机,在目标主机上看到的第一个想要连接的包 ESTABLI...
js 匹配文件扩展名 正则表达式
最新发布
10-18
在 JavaScript 中,你可以使用正则表达式来匹配文件扩展名。文件扩展名通常紧跟在最后一个点号(".")之后。下面是一些常见的文件扩展匹配的正则表达式示例: 1. 匹配所有常见的文件扩展名: ```javascript const ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值