Linux防火墙之iptables常用扩展匹配条件(一)

最新推荐文章于 2022-08-20 11:02:46 发布
最新推荐文章于 2022-08-20 11:02:46 发布
阅读量219 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/good575654643/article/details/104224805
版权

  上一篇博文讲了iptables的基本匹配条件和隐式匹配条件,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/12269717.html;今天在来说说iptabels的一些常用的显示扩展匹配条件,何谓显示扩展匹配条件呢?显示扩展匹配条件就是我们需要用到一些扩展的模块,用-m选项去指定动态加载它。要用iptabels的扩展匹配条件的前提是,我们的系统上要有对应的扩展模块。在Linux主机上/usr/lib64/xtables/这个目录用来存放iptables的模块的,这里面的模块以libip6t开头的,表示适用于ipv6,其余的是ipv4协议版本的模块。这个目录下的模块命名是这样的,libipt_或者libip6t_后面的名字如果全是大写,则该模块用于处理动作扩展模块,如果是小写就是匹配条件的扩展模块。对于这些模块的帮助信息,在centos上用man iptables命令就可以找到相应的模块说明和用法,以及模块的选项等等,在centos7上我们要查看扩展模块的用法帮助,需要用man iptables-extensions命令来查看;了解了iptables的扩展模块,我们接下来说说常用的几种扩展模块的使用和说明

  1、multiport扩展,这个扩展模块主要用于匹配多个源端口或目标端口,前面我们了解了tcp和udp他们都有两个隐式扩展来指定连续或单个源端口或目标端口,它不能同时指定多个离散的端口,multiport这个模块就可以以离散方式定义多端口匹配,当然它也支持连续的端口匹配,连续端口匹配同tcp/udp的连续端口匹配用法和写法一直,它也支持,连续和非连续端口的混合匹配,但这个模块最多匹配15个端口。这里的15个端口不同于我们理解的15个端口,这里的15个端口是说用逗号隔开的离散端口,也就是说连续的端口,在这里只算一个。

  [!] --source-ports,--sports port[,port|,port:port]...,这个选项表示匹配多个源端口

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 18 packets, 1292 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT -s 172.16.0.0/16 -d 192.168.0.99 -p tcp -m multiport --sports 20:50,80,3306,9000 -j ACCEPT 
[root@test ~]# iptables -A my_chain  -s 172.16.0.0/16 -d 192.168.0.99 -p tcp -m multiport ! --sports 53,123,323 -j DROP
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 24 packets, 1740 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       172.16.0.0/16        192.168.0.99         multiport sports 20:50,80,3306,9000

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 17 packets, 1580 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       172.16.0.0/16        192.168.0.99         multiport sports  !53,123,323
[root@test ~]#

  提示:--sports支持对指定端口取反,表示匹配除了指定端口以外的其他端口。

  [!] --destination-ports,--dports port[,port|,port:port]...,这个选项表示匹配多个目标端口

[root@test ~]# iptables -F  
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 8 packets, 528 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 5 packets, 620 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT -d 192.168.0.99 -p tcp -m multiport --dports 22,80,3306,41319 -j ACCEPT  
[root@test ~]# iptables -A INPUT -d 192.168.0.99 -p tcp -m multiport ! --dports 22,80,3306,41319 -j DROP
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  152 12112 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.0.99         multiport dports 22,80,3306,41319
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.0.99         multiport dports  !22,80,3306,41319

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 17 packets, 1580 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  [!] --ports port[,port|,port:port]...多个源或目标端口

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 18 packets, 1292 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT -d 192.168.0.99 -p tcp -m multiport --ports 22,3306,41319 -j ACCEPT
[root@test ~]# iptables -A INPUT -d 192.168.0.99 -p tcp -m multiport ! --ports 22,3306,41319 -j DROP
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  121  9468 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.0.99         multiport ports 22,3306,41319
    6   304 DROP       tcp  --  *      *       0.0.0.0/0            192.168.0.99         multiport ports  !22,3306,41319

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 25 packets, 3120 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  提示:--ports表示匹配到的端口不管是源还是目标,只要是指定的端口都能匹配得到,然后做出相应的处理动作

  2、iprange扩展,此扩展模块主要用于匹配连续的ip地址范围

  [!] --src-range from[-to]  此选项表示匹配源ip地址范围

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 25 packets, 1832 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 19 packets, 1832 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT -p tcp -m iprange --src-range 192.168.0.200-192.168.0.245 -j ACCEPT 
[root@test ~]# iptables -A INPUT -p tcp -m iprange ! --src-range 192.168.0.200-192.168.0.245 -j DROP   
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  144 12000 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.0.200-192.168.0.245
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range ! 192.168.0.200-192.168.0.245

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 15 packets, 1396 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  [!] --dst-range from[-to],此选项表示匹配目标地址范围

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 29 packets, 2096 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 20 packets, 1856 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A OUTPUT -p tcp -m iprange --dst-range 192.168.0.100-192.168.0.245 -j ACCEPT
[root@test ~]# iptables -A OUTPUT -p tcp -m iprange ! --dst-range 192.168.0.100-192.168.0.245 -j DROP
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 103 packets, 7240 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  175 16212 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            destination IP range 192.168.0.100-192.168.0.245
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            destination IP range ! 192.168.0.100-192.168.0.245

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  3、mac扩展,该模块用于匹配主机的MAC地址,适用于PREROUTING和FORWARD,INPUT链上

  [!] --mac-source XX:XX:XX:XX:XX:XX,此选项表示匹配源MAC地址

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 19 packets, 1332 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT -p tcp -m mac --mac-source 00:24:81:68:ce:45 -j ACCEPT
[root@test ~]# iptables -A INPUT -s 192.168.0.151 -p tcp -j DROP
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 65 packets, 16202 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   18  1480 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            MAC 00:24:81:68:CE:45
    0     0 DROP       tcp  --  *      *       192.168.0.151        0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 70 packets, 19646 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  4、string扩展,此模块主要对报文中的应用层数据做字符串模式匹配检测

  --algo {bm|kmp} ,指定字符串匹配检测算法,这个必须指定

  --from offset:从第几个字节开始匹配

  --to offset :到底几个字节结束

  [!] --string pattern 指定要检测到字符串模式

  [!] --hex-string pattern 知道那个要检测字符串模式,16进制格式

  示例:入站报文有loganalyzer的字眼的报文,给予丢弃

  在没有设置规则的是可以正常访问的

   添加如下规则

[root@test ~]# iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "loganalyzer" -j DROP
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 35 packets, 2328 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    8  1840 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 STRING match  "loganalyzer" ALGO name bm TO 65535

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 28 packets, 3200 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

   提示:可以看到添加了规则后,我们客户端就不能再访问我们的网站了,这个就是通过过滤字符串来实现控制用户的访问

  5、time扩展,此模块根据将报文到达的时间与指定的时间范围进行匹配

  --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]  指定开始日期

  --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]  指定结束日期

  --timestart hh:mm[:ss]  指定开始时间

  --timestop hh:mm[:ss]   指定结束时间

  [!] --monthdays day[,day...] 指定每个月的几号

  [!] --weekdays day[,day...]  指定星期几,1 – 7 分别表示星期一到星期日

  --kerneltz:使用内核配置的时区而非默认的UTC,CentOS7系统默认为UTC;注意: centos6 不支持kerneltz ,--localtz指定本地时区(默认)

  通常情况我们用--mouthdays 和--timestart 、--timestop结合或者--weekdays day 和--timestart 、--timestop来结合使用很少和--datastart 、datastop使用;最后我们还有指定为使用的时区,如果我们不指定,它默认使用的是UTC时区,在centos6 上需要用--localtz来指定时区

  示例:允许任何客户端在晚上的20:00:00 到20:50:00 通过telnet 来访问我们服务器

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 19 packets, 1332 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT -p tcp --dport 23 -m time --timestart 20:00:00 --timestop 20:50:00 --kerneltz -j ACCEPT
[root@test ~]# iptables -A INPUT -p tcp --dport 23 -j DROP
[root@test ~]# iptables -A OUTPUT -p tcp --sport 23 -m time --timestart 20:00:00 --timestop 20:50:00 --kerneltz -j ACCEPT
[root@test ~]# iptables -A OUTPUT -p tcp --sport 23 -j DROP          
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 19 packets, 1332 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23 TIME from 20:00:00 to 20:50:00
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:23 TIME from 20:00:00 to 20:50:00
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:23

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  测试:在允许的时间内通过Telnet访问服务器

    提示:可以看到在允许的时间访问服务器上没有问题,我们等会不再允许的时间范围内在访问下,看看是不是可以正常访问呢

    提示:可以看到不再允许的时间范围呢 是不可以访问的

  通过time模块我们可以做到在某个时间允许或拒绝客户端的访问,时间可以用上面的三种时间组合来确定一个范围,也可以同其他扩展模块联合使用,比如我们又要控制时间,又要控制部分源ip 来访问我们服务器,我们可以用-m指定iprange 的范围,iptables里的一条规则匹配条件都是取并集,也就说一条规则是否匹配到报文,要看这条规则里的匹配条件是否对数据包都匹配,换句话说就是一个数据要通过某一条规则,那么这个数据包需要满足我们给定规则的所有条件。

   示例2:允许192.168.0.10-192.168.0.200 的服务器在21:00:00到21:20:00 允许通过Telnet访问我们服务器

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 20 packets, 1372 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT  -p tcp --dport 23 -m iprange --src-range 192.168.0.10-192.168.0.200 -m time --timestart 21:00:00 --timestop 21:20:00 --kerneltz -j ACCEPT
[root@test ~]# iptables -A INPUT -p tcp --dport 23 -j DROP
[root@test ~]# iptables -A OUTPUT  -p tcp --sport 23 -m iprange --dst-range 192.168.0.10-192.168.0.200 -m time --timestart 21:00:00 --timestop 21:20:00 --kerneltz -j ACCEPT  
[root@test ~]# iptables -A OUTPUT -p tcp --dport 23 -j DROP     
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 14 packets, 924 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23 source IP range 192.168.0.10-192.168.0.200 TIME from 21:00:00 to 21:20:00
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 11 packets, 1908 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:23 destination IP range 192.168.0.10-192.168.0.200 TIME from 21:00:00 to 21:20:00
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  测试:不在允许范围的主机和在允许范围的主机都在允许时间是否能访问服务器?

    提示:可以看到虽然都是在允许的时间,在允许范围的主机是可以访问的,不再允许范围的主机上不能访问的。

  测试:允许的主机和不允许的主机,都在不在允许的时间是否可以访问服务器?

    提示:可以看到都不在允许的时间,它俩是都不能访问的,所以要满足在允许的时间内的同时还要满足是允许的主机才可以,它俩条件必须是交集。

  6、connlimit扩展,此模块可根据每客户端IP做并发连接数数量匹配,可防止CC(Challenge Collapsar挑战黑洞)攻击

  --connlimit-upto #:连接的数量小于等于#时匹配

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 14 packets, 1004 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 11 packets, 996 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT -p tcp --dport 23 -m connlimit --connlimit-upto 2 -j ACCEPT
[root@test ~]# iptables -A INPUT -p tcp --dport 23 -j DROP
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 23 packets, 1668 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23 #conn src/32 <= 2
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:23

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 17 packets, 1548 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  提示:以上规则表示,同一客户端连接我本机服务器上的23号端口(Telnet服务),如果连接数小于等于2 允许连接。

测试:同一主机开三个窗口对服务器,看看第三个连接是否可以连接

   提示:可以看到当192.168.0.151 的第三个连接是被服务器拒绝了 

  --connlimit-above #:连接的数量大于#时匹配

[root@test ~]# iptables -F
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 20 packets, 1372 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]# iptables -A INPUT  -d 192.168.0.99 -p tcp --dport 23 -m connlimit --connlimit-above 2 -j DROP 
[root@test ~]# iptables -nvL
Chain INPUT (policy ACCEPT 23 packets, 1596 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.0.99         tcp dpt:23 #conn src/32 > 2

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 15 packets, 1396 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain my_chain (0 references)
 pkts bytes target     prot opt in     out     source               destination         
[root@test ~]#

  提示:我们把上面的规则更改为同一主机连接数大于2时 就丢弃,其他连接走默认同意放行连接,也就是说只要同一ip 连接数大于2 就拒绝

  测试:同一主机开三个窗口对服务器,看看第三个连接是否可以连接

    提示:可以看到同一主机连接大于2时就拒绝链接了

    提示:在同一主机连接数大于2时 用另外的主机去连接是不受影响的

  从以上测试看,connlimit模块可以控制单台客户端的并发连接数,并且不对其他客户端产生影响,通常情况--connlimit-upto 和--connlimit-above 和默认策略结合使用,如果默认策略是允许所有不匹配的报文,那么我就用--connlimit-above 来控制连接上限,然后再拒绝。如果默认策略是拒绝所有不匹配的报文那么我们就用--connlimit-upto来允许连接数小于等于某个数来控制连接请求。

漫步星辰575654643
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables模块以及实操
felix的博客
12-28 378
iptables模块 拓展iptables的功能的。 -m : 指定模块 1、连续匹配多个端口(multiport) --dports : 指定多个端口(不同端口之间以逗号分割,连续的端口使用冒号分割)。 2、指定一段连续的ip地址范围(iprange) --src-range from[-to]: 源地址范围 --dst-range from[-to] 目标地址范...
Linux防火墙iptables
keisena的博客
11-23 247
前言 iptables位于/sbin/iptables,用来管理防火墙规则的工具,被称为Linux防火墙的"用户态" Linux包过滤防火墙 netfilter ​ 位于Linux内核中的包过滤功能体系 ​ 称为Linux防火墙的"内核态" iptables ​ 位于/sbin/iptables,用来管理防火墙规则的工具 ​ 称为Linux防火墙的"用户态" 包过滤的工作层次 ​ 主要是网络层,针对IP数据包 ​ 体现在对包内的IP地址、端口等信息的处理上 iptables的表、链结构 规则链 规则的作用:
Linux防火墙iptables基础用法及高级用法
L李钟意的博客
06-23 2038
其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。
Linux 防火墙端口开放 屏蔽,IP开放屏蔽,协议开关 详解Linux 防火墙
zero
11-01 1783
目录 Linux 防火墙的概述 IPtables概述 Linux防火墙 IPtables IPtables 表的概念 与链的概念 IPtables 应用 操作方法 对匹配的值进行的处理动作表 限制端口 限制IP地址 限制IP地址段 限制协议 根据报文内容的限制 centos7 的改动 最近使用到了 IPtables 开放Linux 端口 ,但是遇到了坑,索性把Linux ...
Linux主机防火墙构建iptables的使用
weixin_43834422的博客
09-14 1046
2.1.1.选题说明 本课设主要使用 Linuxiptables 软件完成两类主机防火墙的设计和实现工作,包括了iptables包过滤,iptables状态检测,iptables NAT转换。 2.1.2系统功能 (1) 使用 iptables 实现主机路由包过滤,实现对协议、服务端口和网络接口入、出方向的可控。 (2) 使用 iptables 实现对新建的网络会话进行状态检测,对已建的网络会话进行状态检测,设置默认策略为 DROP,添加规则开放 FTP 服务和 WWW服务,并允许远程用户上传文件至
网络安全课程设计之D防火墙——Iptables.docx
09-17
iptables 常用的通用匹配条件扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配条件扩展匹配条件定义 iptables ...
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用。通过学习本节课程,学生将...
Linux防火墙.pdf
04-12
Linux防火墙》创造性地将防火墙技术和入侵检测技术相结合,充分展示开源软件的威力。书中全面阐述了iptables防火墙,并详细讨论了如何应用psad、fwsnort、fwknop 3个开源软件最大限度地发挥iptables检测和防御攻击...
基于Linux内核扩展模块的P2P流量控制.pdf
09-06
文献中提到的IPP2P模块是Linux内核中一个对P2P流量感知的组件,它可以与Iptables防火墙和tc带宽限制工具配合,识别并控制BT、EDonkey等P2P协议的流量。作者提出的扩展匹配选项可以增强IPP2P的功能,使其能够更精确地...
linux中ipset命令的使用方法详解
01-11
iptables是在linux内核里配置防火墙规则的用户空间工具,它实际上是netfilter框架的一部分.可能因为iptables是netfilter框架里最常见的部分,所以这个框架通常被称为iptables,iptableslinux从2.4版本引入的防火墙...
IPTables实现字符串模式匹配
weixin_34129145的博客
06-12 302
自1995年ipfwadm开始进入1.2.1的核心,Linux防火墙实现有很长的时间了。Ipfwadm实现了标准的tcp/ip包过滤功能,比如过滤源地址与目的地址以及端口过滤。早在1999年第一个稳定的2.2.0核心中防火墙的实现被ipchains替代了,ipchains的新功能包括支持规则链,碎片包控制,较好的网络地址翻译功能(NAT)以及其他一些有用的改进。我们需要明白...
Android iptables命令详解
Jimmy的专栏
07-25 2538
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则Iptables有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。......
iptables
cp_dvd的博客
08-20 1385
指定多个源端口[!# 指定多个目标端口[!..#多个源或目标端[!][root@rock1 ~]# iptables -A INPUT -s 10.0.0.151/16 -d 10.0.0.150 -p tcp -m multiport --dports 20:30,80 -j ACCEPT (追加,INPUT,源,目标,指定协议,-m指定命令,指定端口号,接受 )
iptables工具__过滤包—命令(-A、-I、-D、-R、-L等)、参数(-p、-s、-d、--sport、--dport、-i、-o等)、动作-j (ACCEPT、DROP、REJECT、RED
tanyjin的博客
04-25 1431
iptables 指令 语法:          iptables [-t table] command [match] [-j target/jump]          -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,           当未指定规则表时,则一律视为是 filter。 各个规则表的功能如下:  
linux iptables防火墙最详细讲解
weixin_46407419的博客
12-27 281
架构图 防火墙 1. 什么是防火墙: 防止其他用户恶意访问 2. 防火墙种类 硬件防火墙 :F5 软件防火墙iptables firewalld 安全组 iptables 用户 ---> 调用iptables ---> ip_tables内核模式 ---> Netfilter(系统安全构架) ---> 过滤请求 什么是包过滤防火墙 什么是包: ...
Linux_配置iptables 设置端口可访问
迎难而上
09-21 7096
由于博主直接关闭iptables,导致了服务器的宕机。 (病毒所致) 经过这件事后,博主学会了要把端口加入到iptables 示例: #samba #新增入站规则 -A INPUT -p tcp -m multiport --dports 139,445 -j ACCEPT -A INPUT -p udp -m multiport --dports 137,138 -j
iptables命令全解(二)
Not Found 404
08-06 1197
上一章:iptables命令全解(一) time扩展 根据将报文到达的时间与指定的时间范围进行匹配 选项 说明 --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 开始日期 --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 结束时间 --timestart hh:mm[:ss] 开始时间 --times...
Linux防火墙iptables
最新发布
09-14
Linux防火墙iptables是一种专为Linux操作系统设计的高度灵活的防火墙工具。它对于Linux的技术爱好者和系统管理员来说非常有用。下面是一些配置和使用iptables的常见步骤: 1. 首先,如果你使用的是CentOS 7操作系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值