如何通过iptables配置URL过滤白名单?

最新推荐文章于 2024-05-23 15:39:03 发布
最新推荐文章于 2024-05-23 15:39:03 发布
阅读量1.1k 收藏 15
点赞数 11
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/138778055
版权

84176ef41c0179fa46ecb9d432e68697.gif

正文共:1111 字 18 图,预估阅读时间:1 分钟

我们刚刚测完了iptables配置URL黑名单过滤如何通过iptables配置URL过滤黑名单?,整体效果还算不错。但是,在很多时候,可能我们还会用到白名单,也就是默认拒绝所有请求,仅允许匹配白名单域名的请求通过。

首先,这个动作就比较简单,仅需要将DROP(丢弃)动作调整为ACCEPT(接受)就可以了。但是,我们还是要考虑一下这中间的数据处理逻辑问题。

接着上次的实验结果来看。

8d5f1fbcf95b6f9e406f2be7027c1df0.png

我们现在拒绝了所有访问guotiejun.com相关HTTP页面和HTTPS页面的请求,还拒绝了所有访问sdwan.guotiejun.com相关HTTPS页面的请求。那如果我们单独加一条放通访问https://i.guotiejun.com页面的规则会怎样呢?操作命令如下:

iptables -I FORWARD -p tcp --dport 443 -m string --string i.guotiejun.com --algo bm -j ACCEPT

452273aa9d7ee1a9f689eeddc6b11936.png

再次测试,发现访问成功。

5742f9a162ba9874764a36e1f4d5d187.png

查看规则匹配情况,也可以看到命中了ACCEPT的转发策略。

127302a1cb174f22fbc7e413930f35c8.png

首先判断是不是最长匹配的关系,我们将拒绝https://*guotiejun.com*的策略移动到允许https://i.guotiejun.com策略上面。

81d3ca2fb0a9dafd1b009aabd6842322.png

然后清空缓存,刷新页面。

8496ce273d080c576da5bf8b3eeb6b92.png

请求失败,无法访问。再看一下策略匹配情况。

df3b4f36138d7d77c5fe8394799899d9.png

可以发现,最上面的策略有报文命中,第二条策略没有被命中。这么看,策略是按照顺序依次匹配的,和匹配长度没有关系。

为了验证,我们先删除之前的策略,再重新配置几条策略。删除策略可以将前面插入命令中的-I参数修改为-D,例如:

iptables -D FORWARD -p tcp --dport 443 -m string --string i.guotiejun.com --algo bm -j ACCEPT
iptables -D FORWARD -p tcp --dport 443 -m string --string guotiejun.com --algo bm -j DROP

258ee978fc7259cdf3796aba3f1dcc1e.png

也可以使用-F命令,能够逐个删除指定表或链中的所有规则;如果没有指定任何链,则表中所有链的规则都将被删除。例如:

iptables -t filter -F FORWARD

6122c253b96e463be39bf4140677394d.png

然后我们依次配置4条规则,分别是拒绝所有HTTPS、接受https://i.guotiejun.com、拒绝https://*guotiejun.com*、接受https://sdwan.guotiejun.com。

iptables -I FORWARD -p tcp --dport 443 -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string i.guotiejun.com --algo bm -j ACCEPT
iptables -I FORWARD -p tcp --dport 443 -m string --string guotiejun.com --algo bm -j DROP
iptables -I FORWARD -p tcp --dport 443 -m string --string sdwan.guotiejun.com --algo bm -j ACCEPT

c4272dc2797f1d2dcd2adf2af90c6723.png

理论上讲,结果应该是只有最上面的https://sdwan.guotiejun.com可以访问,其他所有页面均被拒绝,接下来我们验证一下。

9dc562b19f7cf16217a52f3ee8009d69.png

但结果是所有的HTTPS页面均无法访问,我们查看一下策略匹配情况。

cb236460f5a3ab5b5f56a8042b23e35f.png

发现只有拒绝所有的策略被命中了,其他策略都没有命中,难道是不带target扩展的匹配方式不一样?我们将拒绝所有的命令也调整一下,所有的域名中肯定要带点号,我们就替换成如下命令:

iptables -I FORWARD -p tcp --dport 443 -m string --string . --algo bm -j DROP

3b904f82a5129d224d71bfe6749281fc.png

再次测试一下。

5ce4bd3a18106f9ef175aea426db4b9d.png

这就比较神奇了,第一条策略被命中了,但是页面还是无法打开。

4764fbbfd27d1cf2d461e8da7089351b.png

分析过程,可以看到状态是200,正常,但是无法加载资源。我们把最下面的策略移除试一下。

ab7cbb1c1fc1b95f8393c59586971e3a.png

这次就正常了,看来还是最后一条策略匹配的太过分了。那如果我们把默认规则调整为匹配.com呢?

iptables -I FORWARD -p tcp --dport 443 -m string --string .com --algo bm -j DROP

b026df14ffda6057d7cf43bab1c2e40d.png

现在测试就正常了,规则匹配也是正常的。

791d70e625599c45948a7275aa1595d6.png

那不是.com的域名怎么办呢?

还记得我们之前有一篇介绍过域名的文章吗域名.com是什么意思?95%的人都不知道吧??顶级域名主要包括.gov、.edu、.com、.mil、.org以及ISO-3166“国家名称表示代码”标准中标识国家/地区的英文两字母代码后缀。

不过5个顶级域名加上247个国家/地区代码,要添加252个规则,貌似有点多。不知道各位专家有没有什么好的解决方法?

9ba1571161ce676b13fc3fa874a083a9.gif

长按二维码
关注我们吧

e3dc3343c58612cd679b25e9eebfb563.jpeg

bc8109a67534ad61deccdb2271696915.png

如何通过iptables配置URL过滤黑名单?

iptables命令简介

iptables扩展项之target扩展

iptables扩展项之match扩展

听说最近时间不准了?是NTP出问题了吗?

vCenter 7.0数据中心集群配置指南

vCenter 7.0数据中心集群资源池配置指南

iperf命令简介

iperf3命令简介

79.55 Gbps!已经初步测得VMWare ESXi 6.7的vSwitch转发性能

还得是华为,OpenEuler打流能到37 Gbps

羡慕!大佬的VPP能达到180G性能,而我的却只有13.5G

Danileaf_Guo
关注
利用iptables过滤URL目标请求的小技巧
Linux512的专栏
09-04 9976
最近发现越来越多的office里过多的在上班时间滥用视频网站,可能是由于脑残会的影响,但必竟是上班时间,不应该做与工作无关的事,也过多地影响了office的工作带宽。我在路由上测试了一条规则来block视频网站的访问请求,发现非常有效: iptables -A FORWARD  -m string –string “ku6.com” –algo bm -j DROP iptables -A F
如何通过iptables配置URL过滤黑名单?
衡水铁头哥的博客
05-11 1337
正文共:1555 字 16 图,预估阅读时间:2 分钟我们前面曾经简单介绍过URL过滤功能(URL过滤功能了解一下?),并且以H3C VFW为例简单配置了一下URL过滤功能。首先回顾一下,URL过滤,英文全称为URL Filter,一般简称为URLF,从字面上理解,是指对用户访问的URL进行控制,对用户访问的Web资源执行允许或禁止操作。URL(Uniform Resource Locator,统...
iptables 关于URL过滤
weixin_42191545的博客
11-02 4205
iptables 关于URL过滤 方法1: 1.首先可以利用nslookup 查看下URL的IP地址:例如我禁止www.baidu.com nslookup www.baidu.com 2.禁止转发源IP为103.235.46.39 同时禁止转发 目的IP为103.235.46.39 即可实现过滤URL的作用: iptables -t filter -I FORWARD -s 103.235.46.39 -j DROP iptables -t filter -I FORWARD 2 -d 103.235
使用 iptables实现IP网段的屏蔽(白名单
weixin_72098711的博客
11-13 950
将 IP 地址段 10.1.0.0/16 的所有访问流量拦截,从而有效的隔离这个 IP 段的所有网络请求。
基于iptables 实现 ip 黑名单、白名单
最新发布
nextvary的博客
05-23 1466
基于iptables 实现 ip 黑名单、白名单
iptables实现url白名单方式过滤,同时支持端口转发
07-15
要使用iptables实现URL白名单过滤并支持端口转发,可以结合使用iptables的`string`模块和`nat`表。下面是一个示例: 1. 首先,确保你的系统上已经安装了iptables和`string`模块。如果没有安装,可以使用适合你的...
wifidog添加白名单,域名白名单和mac白名单
q742758702的博客
04-25 1409
Wifidog域名白名单,域名过滤支持:wifodog源码中fw_iptables.c fw_iptables.c 中iptables_compile 函数修改: if (rule->mask != NULL) { char *mask=rule->mask; int mask_len=strlen(mask); int is_do...
Squid传统、透明代理操作配置与ACL限制示例含黑白名单
m0_75211541的博客
02-25 1410
squid作为应用层代理服务软件,主要提供缓存加速和应用层过滤控制的功能优点:①通过缓存的方式为用户提供Web访问加速、②对用户的Web访问进行过滤控制。
Squid 代理服务器
段小宝的博客
07-06 758
目录前言一、介绍 前言 Squid 代理服务器的功能: 缓存加速 web服务隐藏真实IP(安全性) 一、介绍
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1513
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
防火墙白名单设置方法_iptables_centos6
10-31
防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6
centOS7 下利用iptables配置IP地址白名单的方法
01-10
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能 #vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -N whitelist -A whitelist -s 1.2.3.0/24 -j ACCEPT -A whitelist -s 4.5.6.7 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j whitelist -A INPUT -m
iptables 拦载url过滤端口 及 iptables 使用
weixin_30508309的博客
11-14 549
1.iptabels 保存规则文件iptabels-save > /etc/iptabels.up.rules //路径2.-A 添加规则3.DROP 过滤4.ACCEPT 通过4.iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP //过滤80 端口5.iptables -A OUTPUT -p tcp -m stri...
iptables白名单模板_使用 iptables 简单配置 Linux 白名单
weixin_39824898的博客
01-17 466
1. 清除已有规则[root@local~]#iptables-F[root@local~]#iptables-X[root@local~]#iptables-Z2. 设置默认规则,其中参数 -P 代表默认规则,这里设置默认都不可访问[root@local~]#iptables-PINPUTDROP[root@local~]#iptables-POUTPUTD...
RTL8197/RTL8198D基于iptables实现网址过滤功能(通过域名获取IP)
wgl307293845的博客
07-13 661
需求 实现url过滤功能,需要支持设置开始结束时间,支持设置周一到周末配置 功能实现 配置介绍 利用iptables的string匹配规则,内核需要配置以下配置 CONFIG_NETFILTER_XT_MATCH_STRING=y CONFIG_NETFILTER_XT_MATCH_MAC=y CONFIG_NETFILTER_XT_MATCH_TIME=y 应用层需要配置iptables工具 iptables工具指令 # iptables -h i...
iptables添加IP段白名单
热门推荐
qq_21047625的博客
08-18 1万+
iptables添加IP段白名单
iptables白名单配置
weixin_34138139的博客
10-13 860
白名单配置总结1、 操作系统[root@localhost ~]# uname -r2.6.32-279.el6.x86_64[root@localhost ~]# cat /etc/redhat-release CentOS release 6.8 (Final)2、 第一种方法,间接法编辑防火墙规则配置文件 iptables vim /etc/...
iptables白名单
qq_42279718的博客
03-13 2985
iptables
iptables配置22端口白名单
SoulWwb的博客
09-09 3934
iptables配置22端口白名单 iptables是由上往下进行匹配 # 配置允许连接22端口的白名单,-s 指定源,可以只填ip iptables -A INPUT -s 192.168.228.0/24 -p tcp --dport 22 -j ACCEPT # 这条放最后,拒绝所有连接 iptables -A INPUT -p tcp --dport 22 -j DROP -A 参数是将这行规则放到最后,-I参数是将这行规则放到最前面,iptables是由上往下进行匹配,一旦符合,后面都不匹配
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值