由android防火墙规则添加分析iptables -a -i 区别

已于 2024-05-22 19:27:58 修改
阅读量250 收藏 4
点赞数 9
文章标签: android 网络
于 2024-05-22 19:22:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamfly130/article/details/139127539
版权

iptables -a -i 区别
在iptables中,-A和-I的区别主要体现在规则的插入位置和匹配优先级上:12

iptables -A:这个选项用于在规则链的末尾附加一条新的规则。当防火墙进行包匹配时,它会按照规则链中规则的顺序,从上到下依次检查每一条规则,直到找到与数据包匹配的规则并执行相应的操作。因此,使用-A添加的规则会位于现有规则之后,这意味着它只会影响那些没有在其他规则中匹配到的数据包。

iptables -I:这个选项用于将一条新的规则插入到规则链的特定位置。如果-I后面没有指定具体的规则链位置,那么它默认会将新规则插入到规则链的开头。这意味着使用-I添加的规则具有最高的匹配优先级,它会在其他所有规则之前被检查。

总结来说,-A和-I的主要区别在于它们将规则添加到规则链的不同位置,从而影响匹配的顺序和优先级。使用-A添加的规则会位于规则链的末尾,而使用-I添加的规则则会位于规则链的开头,具有最高的匹配优先级。

int FirewallController::setUidRule(ChildChain chain, int uid, FirewallRule rule) {
    const char* op;
    const char* target;
    FirewallType firewallType = getFirewallType(chain);
    if (firewallType == WHITELIST) {
        target = "RETURN";
        // When adding, insert RETURN rules at the front, before the catch-all DROP at the end.
        op = (rule == ALLOW)? "-I" : "-D";
    } else { // BLACKLIST mode
        target = "DROP";
        // When adding, append DROP rules at the end, after the RETURN rule that matches TCP RSTs.
        op = (rule == DENY)? "-A" : "-D";
    }

    std::vector<std::string> chainNames;
    switch(chain) {
        case DOZABLE:
            chainNames = { LOCAL_DOZABLE };
            break;
        case STANDBY:
            chainNames = { LOCAL_STANDBY };
            break;
        case POWERSAVE:
            chainNames = { LOCAL_POWERSAVE };
            break;
        case NONE:
            chainNames = { LOCAL_INPUT, LOCAL_OUTPUT };
            break;
        default:
            ALOGW("Unknown child chain: %d", chain);
            return -EINVAL;
    }
    if (mUseBpfOwnerMatch) {
        return gCtls->trafficCtrl.changeUidOwnerRule(chain, uid, rule, firewallType);
    }

    std::string command = "*filter\n";
    for (const std::string& chainName : chainNames) {
        StringAppendF(&command, "%s  %s -m owner --uid-owner %d -j %s\n",
                      op, chainName.c_str(), uid, target);
    }
    StringAppendF(&command, "COMMIT\n");

    return (execIptablesRestore(V4V6, command) == 0) ? 0 : -EREMOTEIO;

进而分析如下android防火墙黑白名单添加uid规则时,
白名单
iptables-restore < *filter \n
-I fw_INPUT \n
-m owner --uid-owner uid -j RETURN \n
COMMIT \n
黑名单添加uid 规则时:
iptables-restore < *filter \n
-A fw_INPUT \n
-m owner --uid-owner uid -j DROP\n
COMMIT \n

因为白名单默认DROP,所以添加白名单时,被允许的应用匹配后,直接return不执行后面的DROP规则,所以RETURN规则要在DROP规则前,所以用-I。
而黑名单默认accept,所以添加白名单,被允许的应用数据匹配后,执行DROP,为了不影响其他应用,DROP要放在后面,所以用-A。特别是若已经存在return的规则,这样之前的return规则匹配后可以返回父链,不用判断DROP规则,提高效率。

dream清欢
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables 命令大全 iptables -A -L -D等【转】
weixin_30861459的博客
02-11 6105
原文链接http://blog.163.com/xychenbaihu@yeah/blog/static/132229655201212705752493/ iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:n...
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
iptables 运行逻辑及-I -A 参数解析
weixin_34037515的博客
12-21 1156
  刚开始接触Iptables 就对-I  和 -A 参数很疑惑,-I 插入一条或多条规则 ,-A 是追加一条或多条规则。 都是加一条规则,究竟这两个有什么不同呢? 实验: 拿了两台机器,一台发PING包,一台被PING。 两台机器使用 iptables -nvL INPUT 查看,iptables 是空的 然后在被PING的机器加入 iptables -A INPUT -p icmp...
关于iptabels的-A与-I参数
小啊宇的博客
01-12 4508
iptables-参数-A和-I iptables -L -n --line-number 列出链所有的规则 最直观的讲解-A与-I的重要性 -A添加规则的参数,是添加规则在现有的后面 -I添加规则的参数,是添加规则在现有的前面 如果是互不干涉的规则端口使用-A没关系不会受影响 假设node01节点的机器,我不想让他的ssh链接开放并且限制指定的主机连接 实验主机 三台都是均为虚拟机,主机的内网IP为192.168.1.250 IP 备注 ssh端口均为22 192.168..
iptable
qiulu12345的专栏
08-02 451
1. 查看规则 iptable -L -n2. 添加规则iptables -A OUTPUT -d 192.168.144.124 -p tcp --dport 20289 -j REJECT 添加一个阻止到192.168.144.124:20289 的数据流 iptables -A OUTPUT -s 192.168.144.124 -p tcp --sport 20289 -j
iptables中 -A 和 -I 参数的区别
ss810540895的博客
10-20 5329
在使用iptables添加规则的过程中,看到-A和-I参数都是添加规则,刚开始容易混淆,然后就专门试了一下,原来差异在这里。删除上述4、5、6、7号规则,然后是-I。
afwall:AFWall +(Android防火墙+)-基于iptablesAndroid防火墙
02-05
AFWall +(Android防火墙+)描述Android Firewall +(AFWall +)是适用于Android的高级iptables编辑器(GUI)。 它提供了对允许哪些Android应用访问网络的细粒度控制。 有关更多信息和社区讨论基础,请访问官方或...
centos6-iptables-1.4.7-16.el6.x86-64
08-09
centos6-iptables-1.4.7-16.el6.x86-64
iptables-services-1.4.21-17.el7.x86_64.rpm 下载
06-18
centos7 iptables-services-1.4.21-17.el7.x86_64.rpm 安装包 下载
iptables-devel-1.4.21-33.el7.x86_64.rpm
05-08
替换系统自带防火墙应用,直接rpm -ivh安装即可 需要先查找并卸载系统自带的firewalld iptables配置 vi /etc/sysconfig/iptables
iptable 命令使用介绍
qq_44913712的博客
08-24 998
然后,`-A POSTROUTING` 选项添加了一条规则,该规则会将从内部私有网络 `192.168.1.0/24` 发出的数据包进行源地址的 NAT 转换,以使这些数据包能够正确地返回到公共网络接口 `eth0`。`-A POSTROUTING` 是 `iptables` 命令中的一个选项,用于在网络数据包从防火墙通过后,离开网络接口之前进行处理。源地址的 NAT 转换是一种网络技术,允许多个内部设备通过一个公共IP地址与外部网络通信,从而解决IP地址不足的问题,并提供更好的网络安全性。
iptables防火墙(一)
qq_45088125的博客
05-11 616
文章目录引言一、Linux防火墙基础1、iptables概述1.1 netfilter/iptables区别1.2 包过滤的工作层次 引言 在 Internet 中,企业通过各种应用系统来为用户提供各种服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等,那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢,接下来,我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables,以及 CentOS 7 系统中的防火墙 firewalld 一、Linux
iptables 基本指令
魔幻之翼的坚持
06-05 794
iptables 中的指令,均需区分大小写。ipchains 和 iptables 在语法上的主要的差异,注意如下∶1. 在 ipchains 中,诸如 input 链,是使用小写的 chains 名,在 iptables 中,要改用大写 INPUT。2. 在 iptables 中,要指定规则是欲作用在那一个规则表上(使用 -t 来指定,如 -t nat),若不指定,则预设是作用在 filter
iptables详解
wdt3385的专栏
12-25 4769
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
iptables基础(一)
weixin_33946020的博客
04-05 356
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
服务器安全之iptables iptables
linuxlsq的博客
09-21 3437
服务器安全之iptables 感谢老男孩老师为我们讲解iptables  优化之路 iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低
iptables-参数-A和-I
xxpr_ybgg的博客
10-22 429
iptables -L -n --line-number 列出链所有的规则删除指定的第4行规则iptables -D INPUT 4[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
IPtables
a1308422754的博客
04-08 223
文章目录常用命令添加防火墙规则 禁止ip的端口访问清除防火墙规则设置禁止访问的区别 "REJECT"和"DROP" 常用命令 添加防火墙规则 禁止ip的端口访问 # 添加防火墙规则 禁止ip的端口访问 解决方法: 禁止特定ip访问8501端口的命令0:iptables -I INPUT -s 192.168.0.232 -ptcp --dport 8501 -j DROP 允许特定ip访问8501端口的命令1:iptables -D INPUT -s 192.168.0.232 -ptcp --dport
iptables -I INPUT , iptables -A INPUT
最新发布
05-09
iptables 是 Linux 操作系统上的防火墙工具,可以通过修改 iptables 规则来管理网络流量,包括允许或者阻止某些特定的数据包流经系统。其中,iptables -I INPUT 用于在 INPUT 链的开头插入一条规则,而 iptables -A INPUT 用于在 INPUT 链的末尾添加一条规则。 具体来说,iptables -I INPUT 会将指定的规则插入到 INPUT 链的第一条,也就是最高优先级的位置。这意味着,当有数据包进入系统时,iptables 会首先匹配该规则,如果该规则匹配成功,则根据该规则所指定的动作(比如允许或者阻止)来处理该数据包。 而 iptables -A INPUT 则会在 INPUT 链的末尾添加一条规则。这意味着,当有数据包进入系统时,iptables 会按照规则列表从上到下逐一匹配规则,如果有一条规则匹配成功,则根据该规则所指定的动作来处理该数据包,而后面的规则将不再匹配。 需要注意的是,添加 iptables 规则需要具有管理员权限。此外,对于涉及到网络安全方面的问题,建议仅在了解相关知识并且经过充分测试后再进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值