如何通过iptables配置URL过滤黑名单?

最新推荐文章于 2024-08-06 19:20:45 发布
最新推荐文章于 2024-08-06 19:20:45 发布
阅读量1.2k 收藏 15
点赞数 10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/138742311
版权

fffea01e0ac3632310531534e8b7dd29.gif

正文共:1555 字 16 图,预估阅读时间:2 分钟

我们前面曾经简单介绍过URL过滤功能URL过滤功能了解一下?,并且以H3C VFW为例简单配置了一下URL过滤功能。

首先回顾一下,URL过滤,英文全称为URL Filter,一般简称为URLF,从字面上理解,是指对用户访问的URL进行控制,对用户访问的Web资源执行允许或禁止操作。

d46d6cad78e6ba5d0ae0e93f389e4892.png

URL(Uniform Resource Locator,统一资源定位符)是互联网上标准资源的地址,用来完整、精确地描述互联网上的网页或者其他共享资源的地址。

在前面测试的时候,我们使用的是黑名单的方式,也就是默认放通所有,然后拒绝被匹配的请求。域名使用文本方式匹配域名中的关键字段,还区分了HTTP和HTTPS的服务区别。

前面我们也说过,URL过滤的原理上整体都是相似的,所以我前面又整理了一下iptables的用法iptables命令简介,还包括match扩展项iptables扩展项之match扩展和target扩展项iptables扩展项之target扩展的使用说明。今天我们就用iptables来简单测试一下URL的过滤效果。

首先我们确认一下域名字段,需要使用string模块通过某种模式匹配策略来匹配给定的字符串。模式匹配策略可选为bm(Boyer Moore)kmp(Knuth Pratt Morris),此部分的语法为:

-m string --string guotiejun.com --algo kmp
-m string --string guotiejun.com --algo bm

然后就是匹配协议,一般常用的是HTTP或者HTTPS。在iptables中,可以使用-p来匹配协议,但是这里的协议仅限于tcp、udp、udplite、icmp、icmpv6、esp、ah、sctp、mh或特殊关键字“all”中的一个。我们要匹配HTTP或者HTTPS,就要结合--sport或者--dport来指定端口或端口范围,这里就可以配置服务名称或端口号了,端口范围可以使用first:last格式来指定。此部分的语法为:

-p tcp --dport 443
-p tcp --dport 80
-p tcp --dport http
-p tcp --dport https

再就是动作类型,这部分适用于-j参数来匹配target扩展,一般常用的参数包括ACCEPT(接受)、DROP(丢弃)、RETURN(返回)和reject(AUDIT下,同DROP)。此部分的语法为:

-j ACCEPT
-j DROP
-j RETURN
-j AUDIT --type accept
-j AUDIT --type drop
-j AUDIT --type reject

最后就是确定规则下发到哪个链或者表了。-I命令用于在选定的链中插入一个或多个规则。如果没有通过-t选项指定转发表,则默认下发到filter表;也可以通过-t选项指定到nat、mangle、raw或者security表,不过一般都是配置到默认的filter表下面。

filter表下面包含预定义链INPUT(用于发往本地套接字的数据包)、FORWARD(用于通过设备路由的数据包)以及OUTPUT(用于本地生成的数据包),一般常用的就是FORWARD和OUTPUT。此部分的语法为:

-I FORWARD
-I OUTPUT
-t filter -I FORWARD
-t filter -I OUTPUT

如果有其他需求,也可以进行进一步的条件限制,比如通过-s选项限定源地址信息,通过-i选项指定接收数据包的接口名称,通过-o选项指定发送数据包的接口名称。

接下来,我们搭个环境测试一下。

298db390c9c0365f0236808668a0637a.png

结合前面介绍的文章如果把Linux主机作为路由器转发流量,性能可靠吗?,我们将一台CentOS主机作为客户机的网关设备,并在CentOS主机上配置URL过滤。

首先,我们尝试直接访问一个HTTP页面。

aaa052596465d3bd55d9cee403dd5ced.png

然后,我们组合前面的各部分配置,可以得到禁止访问guotiejun.com相关的HTTP的页面命令如下:

iptables -I FORWARD -p tcp --dport 80 -m string --string guotiejun.com --algo bm -j DROP

177606bc9204272866fa8d643066566a.png

这里我们也可以看到匹配TCP80端口被自动识别成了HTTP协议。配置过后再次测试页面的访问情况。

fb94b24ea41eee8a627f7e754a6b37be.png

可以看到页面已经无法访问了。在CentOS上查看报文匹配情况,可以看到共匹配到了47个报文,共29328字节。

e7c71fee708ae6b2db37fd64ab3c97fc.png

现在过滤的是HTTP报文,我们再试一下HTTPS页面是否访问正常。

c3bd26157d3db9c6ccfcc5cc476ad962.png

可以看到,当前的HTTPS页面访问不受影响。我们再加一条禁止访问sdwan.guotiejun.com的HTTPS页面的命令:

iptables -I FORWARD -p tcp --dport https -m string --string sdwan.guotiejun.com --algo bm -j DROP

47149e9a51289576418393ce61a46d20.png

再次测试页面的访问情况。

4ad11db7ceb649b290b1615cbaeda23b.png

可以看到页面已经无法访问了。在CentOS上查看报文匹配情况,可以看到共匹配到了76个报文,共43802字节。

eb34d435c669aacae515e27d15c23231.png

现在所有带有guotiejun.com的HTTP页面都无法访问了,带有sdwan.guotiejun.com的HTTPS页面也无法访问了,其他的带有guotiejun.com的HTTPS页面访问应该是不受影响的。测试一下访问个人黄页。

106b99211e0b263a41794074e7fecc0a.png

如果要禁用所有带有guotiejun.com的HTTPS页面,用以下命令就可以了。

iptables -I FORWARD -p tcp --dport 443 -m string --string guotiejun.com --algo bm -j DROP

692369405640b391d8bc5798c2bb2a9d.png

然后,所有的页面就都不能访问了。

473a1e7ad3e535c76e569df416d5c408.png

最后,我们再以百度和必应为例,测试一下这个方法对公共站点是否生效。配置命令如下:

iptables -I FORWARD -p tcp --dport 443 -m string --string baidu.com --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string bing.com --algo bm -j DROP

badfb1c6e9c011ababac692db4c2b450.png

测试一下访问情况,可以看到虽然域名可以正常解析、也可以ping通,但是HTTPS页面是无法访问到的。

1af08420684d93c25c9691d0c03e6024.png

iptables的报文统计情况如下:

4c4559b4eeedce1979e3756c309955ce.png

可以看到,有成功转发的报文统计,还有每条拒绝规则对应的报文统计,一目了然。

怎么样,用iptables做URL黑名单过滤,你学会了吗?

e60706b6a94ebc1ba9633a64603c9abd.gif

长按二维码
关注我们吧

6e541c6bb0f555c3d8d9c9c621c6f567.jpeg

e258d90a0c4ad2259efb992ab4aafd60.png

iperf命令简介

iptables扩展项之match扩展

iptables扩展项之target扩展

H3C防火墙RBM主备模式+静态路由方案验证

Debian通过NetworkManager配置双网卡

NetworkManager管理工具nmcli命令简介

79.55 Gbps!已经初步测得VMWare ESXi 6.7的vSwitch转发性能

还得是华为,OpenEuler打流能到37 Gbps

羡慕!大佬的VPP能达到180G性能,而我的却只有13.5G

Windows Server2012 R2搭建NFS服务器

CentOS 7搭建NFS服务器

Danileaf_Guo
关注
  • 10
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
RTL8197/RTL8198D基于iptables实现网址过滤功能(通过域名获取IP)
wgl307293845的博客
07-13 626
需求 实现url过滤功能,需要支持设置开始结束时间,支持设置周一到周末配置 功能实现 配置介绍 利用iptables的string匹配规则,内核需要配置以下配置 CONFIG_NETFILTER_XT_MATCH_STRING=y CONFIG_NETFILTER_XT_MATCH_MAC=y CONFIG_NETFILTER_XT_MATCH_TIME=y 应用层需要配置iptables工具 iptables工具指令 # iptables -h i...
Android12.0 系统限制上网系列之iptables用IOemNetd实现app上网黑名单的实现
安卓兼职framework和app工程师的博客
09-20 523
在12.0的系统rom定制化开发中,对于系统限制网络的使用,在system中netd网络这块的产品需要中,会要求设置屏蔽某个app上网的功能, liunx中iptables命令也是比较重要的,接下来就来在IOemNetd这块实现app上网黑名单的的相关功能,就是在 系统中只能不允许某个app上网,就是除了这个app,其他的app都能上网,最后在framework自定义服务中实现接口调用
利用iptables过滤URL目标请求的小技巧
Linux512的专栏
09-04 9936
最近发现越来越多的office里过多的在上班时间滥用视频网站,可能是由于脑残会的影响,但必竟是上班时间,不应该做与工作无关的事,也过多地影响了office的工作带宽。我在路由上测试了一条规则来block视频网站的访问请求,发现非常有效: iptables -A FORWARD  -m string –string “ku6.com” –algo bm -j DROP iptables -A F
【第15章】Spring Cloud之Gateway网关过滤器(URL黑名单)
最新发布
zjg
08-06 968
上一章我们通过,路由断言根据请求IP地址的黑名单功能,作用范围比较大。这一章,我们通过网关过滤器来实现特定请求url黑名单功能,作用范围进一步细化到接口。上一章我们使用的是提供者服务,这里就使用消费者服务,配置看起来会更加直观。
iptables 关于URL过滤
weixin_42191545的博客
11-02 4120
iptables 关于URL过滤 方法1: 1.首先可以利用nslookup 查看下URL的IP地址:例如我禁止www.baidu.com nslookup www.baidu.com 2.禁止转发源IP为103.235.46.39 同时禁止转发 目的IP为103.235.46.39 即可实现过滤URL的作用: iptables -t filter -I FORWARD -s 103.235.46.39 -j DROP iptables -t filter -I FORWARD 2 -d 103.235
如何通过iptables配置URL过滤白名单?
衡水铁头哥的博客
05-12 1050
正文共:1111 字 18 图,预估阅读时间:1 分钟我们刚刚测完了iptables配置URL黑名单过滤(如何通过iptables配置URL过滤黑名单?),整体效果还算不错。但是,在很多时候,可能我们还会用到白名单,也就是默认拒绝所有请求,仅允许匹配白名单域名的请求通过。首先,这个动作就比较简单,仅需要将DROP(丢弃)动作调整为ACCEPT(接受)就可以了。但是,我们还是要考虑一下这中间的数据处...
iptables 拦载url过滤端口 及 iptables 使用
weixin_30508309的博客
11-14 539
1.iptabels 保存规则文件iptabels-save > /etc/iptabels.up.rules //路径2.-A 添加规则3.DROP 过滤4.ACCEPT 通过4.iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP //过滤80 端口5.iptables -A OUTPUT -p tcp -m stri...
iptables设置黑白名单
一杯米酒
09-19 835
一般情况服务访问可以通过网关控制,很久没有用iptables了。(linux默认用firewalld,没有iptables,习惯iptables就需要重装了)systemctl status firewalld 防火墙状态检查一下。systemctl disable firewalld 禁用防火墙。systemctl stop firewalld 关闭防火墙。然后 yum install iptables。后续若需修改,修改文件即可。
Squid代理服务器应用--传统代理&透明代理&ACL通过黑名单限制目标网站&Squid日志分析Sarg&反向代理工具
weixin_39608791的博客
09-08 1441
文章目录Squid代理服务器应用一、概览1、Web代理的工作机制2、CDN原理3、代理的基本类型4、使用代理的好处二、实验实验一、传统代理1、实验准备2、解压并安装squid工具(squid)3、创建软链接并创建程序用户并加权限(squid)4、编辑配置文件(squid)5、测试文件内容并启动服务(squid)6、编辑启动文件(squid)7、编辑配置文件(squid)8、编辑配置文件(squid)9、关闭防火墙(web)10、安装apache服务并启动(web)11、测试服务(win10)12、查看apa
基于黑名单的防火墙技术:封堵潜在威胁
其工作原理包括基于规则的数据包过滤、网络地址转换(NAT)、虚拟专用网络(VPN)支持等。 ## 1.2 防火墙在网络安全中的重要性 在当今信息时代,网络安全问题日益突出,防火墙作为网络安全的第一道防线,扮演着至...
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
热门推荐
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
openwrt路由器怎么使用iptables进行域名过滤?
10-01
openwrt路由器怎么使用iptables进行域名过滤?域名过滤主要是怕孩子玩游戏或者上不好的网站,所以将一些网址关键字段给封了,这样即使电脑有网也没办法登陆哪些被封的网站,下面我们来看看设置方法
iptables-ipset-blacklists:使用 iptables ipset 阻止已知黑名单中的 IP 地址的脚本。 轻松添加新的黑名单来源。 包括白名单覆盖
06-07
iptables-ipset-黑名单 有很多工具和服务可以很好地识别滥用者、垃圾邮件发送者和黑客。 他们提供黑名单中的坏 IP 列表。 通过阻止这些不良 IP 访问您的网站和服务器,您可以在很大程度上保护它们并防止大量无用的流量记录在您的日志中。 它还有助于防止大量噪音,以便您的 snort、ossec、logwatcher、mod-security、psad 等工具可以做一些真正的工作来查找对您的服务器的合法和定向攻击。 注意:如果您使用超过 0.9 的负载,一些托管公司将关闭您的 VPS 服务器。 所以我们推荐使用cpulimit来调用 blacklists.sh cpulimit -l 20 /usr/local/bin/blacklists.sh 需要 iptables ipset 安装 设置您的个人白名单和黑名单(可选) /var/lib/blacklists/{whi
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
Linux配置FTP服务
The current road is different, love needs to distinguish between right and wrong
11-24 5589
简介 一般来讲,人们将计算机联网的首要目的就是获取资料,而文件传输是一种非常重要的获取资料的方式。今天的互联网是由几千万台个人计算机、工作站、服务器、小型机、大型机、巨型机等具有不同型号、不同架构的物理设备共同组成的,而且即便是个人计算机,也可能会装有Windows、Linux、UNIX、Mac等不同的操作系统。为了能够在如此复杂多样的设备之间解决问题解决文件传输问题,文件传输协议(FTP)应运而生。 FTP是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用20、21号端口,其中端口2
iptables详解(9):iptables的黑白名单机制
aa43795381的博客
01-31 206
注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中。 前文中一直在强调一个概念:报文在经过iptables的链时,会匹配链中的规则,遇到匹配的规则时,就执行对应的动作,如果链中的规则都无法匹配到当前报文,则使用链的默认策略(默认动作),链的默认策略通常设置为ACCEPT或者DROP。 ...
iptables 实现域名过滤
u011326325的博客
10-09 7824
1.需求 过滤指定的域名、网站:如www.baidu.com, www.bilibili.com 2.实现方案 方案1:字符串过滤 iptables -A FOWARD -m string --algo kmp --string “bilibili.com” -j DROP 1.需求 过滤指定的域名、网站:如www.baidu.com, www.bilibili.com 2.实现方案 方案1:字符串过滤 iptables -A FOWARD -m string --algo kmp --s
iptables网络过滤
dreamer_hahaha
06-14 452
1.什么是iptables    IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 ...
URL过滤
m0_66993332的博客
05-08 1275
URL过滤及相关应用
iptables实现url过滤
07-15
要使用iptables实现URL过滤,可以使用iptables的`string`模块来匹配HTTP请求中的URL。下面是一个使用iptables进行URL过滤的示例: 1. 首先,确保你的系统上已经安装了iptables和`string`模块。如果没有安装,可以使用适合你的Linux发行版的包管理器进行安装。 2. 创建一个新的iptables链,用于处理HTTP请求: ```shell iptables -N URL_FILTER ``` 3. 在新链中添加规则,匹配URL的关键字,并将匹配的请求转发到特定的目标(例如,拒绝连接或重定向到其他页面): ```shell iptables -A URL_FILTER -m string --string "example.com" --algo bm -j REJECT ``` 上述规则将匹配所有包含"example.com"的URL,并拒绝与该URL相关的连接。 4. 将新链与输入流量关联,以便所有进入系统的HTTP请求都经过URL过滤: ```shell iptables -A INPUT -p tcp --dport 80 -j URL_FILTER ``` 这将将所有TCP端口80上的请求转发到URL过滤链。 请注意,上述示例只是一个简单的演示,实际情况可能更加复杂。你可以根据自己的需求和情况进行定制。此外,iptables只能过滤TCP流量,并且在处理大量规则时可能会影响性能。因此,对于更复杂的URL过滤需求,可能需要考虑使用专门的代理服务器或防火墙软件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值