iptables 字符串模块检查

最新推荐文章于 2024-06-21 16:32:34 发布
最新推荐文章于 2024-06-21 16:32:34 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoguangwu/article/details/89681820
版权

能够检查Linux内核是否支持字符串匹配扩展的一种简单方式,是尝试创建一个针对根本不存在IP地址的iptables字符串匹配规则,使得她不会影响任何整的网络通信,如下所示

sudo iptables -I INPUT 1 -i lo -d 127.0.0.2 -m string --string "teststring " --algo bm -j ACCEPT

--algo bm  : 使用bm字符串搜索算法。

如果上面的命令返回错误iptables: no chain/target/match by that name (iptables: 没有该名字的链/目标/匹配),那么内核不支持该扩展功能。需要在内核配置文件中启动CONFIG_NETFILTER_XT_MATCH_STIRNG选项,重新编译内核,然后启动到新的额内核。如果上面的命令成功了,表示内核支持iptables字符串匹配,可以删除这个测试规则了:

sudo iptables -D INPUT 1

guoguangwu
关注
专栏目录
iptables模块以及实操
felix的博客
12-28 405
iptables模块 拓展iptables的功能的。 -m : 指定模块 1、连续匹配多个端口(multiport) --dports : 指定多个端口(不同端口之间以逗号分割,连续的端口使用冒号分割)。 2、指定一段连续的ip地址范围(iprange) --src-range from[-to]: 源地址范围 --dst-range from[-to] 目标地址范...
软件防火墙之iptables扩展模块
qq_38419276的博客
05-09 552
扩展模块的使用帮助: CentOS 7,8: man iptables-extensions CentOS 6: man iptables iptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加 载扩展模块 tcp 协议的扩展选项 [!] --source-port, --sport port[:port]:匹配报文源端口,可为端口连续范围 [!] --destination-port,--dport port[:port]:匹配报文目标端口,可为连续范围
Iptables 扩展模块 string|time 模块
小楼一夜听春雨,深巷明朝卖杏花
09-11 2407
所以prerouting就送给forward,那么就在forward上面做策略,如果符合JD那么就拒绝,到不了postingrouting上面去,那么这样就到不了服务器,这就是基于关键字做条件判断,如果符合预期则允许。因为请求经过prerouting送input,input构建响应报文,构建了通过output出去,构建响应报文里面带的关键字有video,那么我要在output上将其关闭掉,这样你去请求video是永远没有办法访问的。在请求我的时候做不了任何的策略,但是在响应的时候可以做策略和规则的匹配。
Iptables防火墙string模块扩展匹配规则
江晓龙的博客
07-08 1475
String模块的作用是来匹配请求报文中指定的字符串,经常应用于拦截用户访问某些网站的场景,将防火墙当做路由器使用,例如上班时间不允许用户访问淘宝网站等等场景。String模块的常用参数:可以在参数前面加!号表示去反。案例:当用户请求的数据报文中包含taobao.com,则拒绝通行,其余的正常放行。1)首先来准备含有taobao.com数据报文的WEB网站。 2)编写防火墙规则,拒绝数据包中包含taobao.com内容的数据包。 3)查看设置的防火墙规则。 4)测试效果,发现hahaha的页面可以正常访问,
netfilter/iptables模块功能中文介绍
weixin_33733810的博客
09-11 157
功能介绍(每个info和help本是英文的,为方便阅读我把它翻译成中文,由于水平有限,如果有误请有经验者来信指正)获取最新patch-o-matic-ng的地址:[url]ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/[/url][root@kindgeorge src] wget[url]ftp://ftp....
iptables匹配string
redwingz的博客
05-15 3329
string匹配帮助信息如下。其中模式匹配算法可指定bm(Boyer-Moore)或者kmp(Knuth-Pratt-Morris)。选项icase表示在匹配时忽略大小写。 # iptables -m string -h string match options: --from Offset to start searching from --to Offset to stop searching --algo
iptables高级过滤规则:利用字符串匹配进行域名过滤
iptables是一种基于Linux内核模块Netfilter的防火墙管理工具,能够实现网络数据包的过滤、转发、修改等功能。通过配置iptables规则,可以控制数据包在Linux系统中的流动,有效地提高网络安全性。 ## 1.
iptables防火墙及SNAT和DNAT
微光
07-15 454
每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
防火墙iptables
qq_64333664的博客
09-16 262
❉入站数据(来自外界的数据包,且目标地址是防火墙本机) : PREROUTING --> INPUT --> 本机的应用程序 ❉出站数据(从防火墙本机向外部地址发送的数据包) :本机的应用程序–> OUTPUT --> POSTROUTING。查看已有的防火墙规则时,使用管理选项“-L”,结合“--line-numbers”选项还可显示各条规则在链内的顺序号。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
iptables
wangzhenyu177的博客
11-04 2001
0 目录目录 netfilter机制 1 各链的生效时机重要 2 流入报文的流程 3 转发报文的流程 4 流出报文的流程 iptables表链 1 iptables各表 2 iptables各表定义规则的链 3 各表各链规则生效的优先级 4 自定义链 iptables格式及子命令 1 子命令 11 列出各规则 常见匹配条件 1 基本匹配 2 隐式扩展匹配 21 tcp子选项 22 icmp子选项 3
iptablesiptables表、链、规则 、匹配模式、扩展模块、连接追踪模块(一)
u011029104的专栏
01-30 588
默认情况当禁止ping后,其他主机无法ping通本主机,本主机也无法ping通其他主机,现需要本主机可以ping通其他主机,而其他主机依然无法ping同本主机。3.请求从本机发出:local Process(本机) --> OUTPUT --> POSTROUTING。1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)
iptables(5)常用扩展模块iprange、string、time、connlimit、limit
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1877
之前我们已经介绍过扩展模块的简单使用,比如使用-m tcp/udp ,-m multiport参数通过--dports,--sports可以设置连续和非连续的端口范围。那么我们如何匹配其他的一些参数呢,比如源地址范围,目的地址范围,时间范围等,这就是我们这篇文章介绍的内容。
iptables常用模块介绍
weixin_34308389的博客
03-17 436
2019独角兽企业重金招聘Python工程师标准>>> ...
IPTables实现字符串模式匹配
weixin_34129145的博客
06-12 321
自1995年ipfwadm开始进入1.2.1的核心,Linux的防火墙实现有很长的时间了。Ipfwadm实现了标准的tcp/ip包过滤功能,比如过滤源地址与目的地址以及端口过滤。早在1999年第一个稳定的2.2.0核心中防火墙的实现被ipchains替代了,ipchains的新功能包括支持规则链,碎片包控制,较好的网络地址翻译功能(NAT)以及其他一些有用的改进。我们需要明白...
iptables扩展模块
qq_37369726的博客
03-18 1012
扩展模块一:multiport 作用:可以指定多个离散的源端口或者目标端口,也可以指定连续的端口 //离散的 iptables -I INPUT -s 192.168.247.170 -p tcp -m multiport --dports 22,36,80 -j DROP 80到88端口,这个功能tcp模块也能实现连续的 iptables -A INPUT -s 192.168.247.170...
iptables语法
tangshiweibbs的专栏
05-02 270
 iptables [-t table] {-A|-D} chain rule-specification  -A:向某个链中追加一个规则。  -D:删除某个链中的规则。 iptables [-t table] -I chain [rulenum] rule-specification  -I:向某个链中插入规则,如果不指定行号则默认插入到顺序第一行。 iptables [-t t
Linux脚本无法识别特别符号,Linux-Shell脚本无法识别heredoc分隔符
weixin_39738251的博客
05-02 493
我正在尝试在Linux中编写一个非常简单的shell脚本.我想实现的方案是:在内部创建用户帐户并为其提供密码(为此,不允许与用户进行任何交互).成功后,只需向用户显示成功消息即可.其余的都不应该显示.在RHEL上,这很简单,因为passwd命令接受–stdin选项,该选项帮助我通过Pipe传递输入.我将标准输出重定向到日志文件中. [不共享该代码,因为它有点简单,并且在StackExcahnge上...
怎么安装iptables的limit模块
最新发布
09-11
在Linux系统中,iptables的limit模块用于控制连接频率,以防止过多的请求导致服务器压力过大。...如果上述方法仍然无法解决问题,可能需要检查你的Linux发行版是否提供了单独安装iptables模块的工具或方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值