iptables基于域名的本机流量控制

最新推荐文章于 2024-02-02 12:45:24 发布
最新推荐文章于 2024-02-02 12:45:24 发布
阅读量1.6k 收藏
点赞数
文章标签: 服务器 linux iptables 域名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jack_he_li/article/details/122305191
版权

iptables+ipset根据域名配置流量控制

背景

公司内网服务器,上面跑了几个程序(爬虫,每天定时从几个域名上拉取数据),为了安全起见,配置了iptables,只放通了内网和本地回环地址,配置完成后几个程序就处于半死状态.

解决流程

将需要访问的域名按行放到文件中,然后起一个定时脚本去读取该文件,将该文件中的域名读取出来,使用nslookup命令找到其解析的ip地址,然后提取ip地址丢入到ipset中就ok了,本来网上查的用dnsmasq,但是没有调试通,很尴尬

一、iptables配置

iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -d 10.0.0.0/24 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -j DROP

只放通了内网和本地回环地址以及DNS的53端口,其余的全部drop掉了

二、ipset命令

安装: yum install ipset
安装服务:yum install ipset-service
启动:systemctl start ipset
自启:systemctl enable ipset
创建:ipset create white_domain hash:ip (white_domain这个名字和后面的几个地方要对应起来)
保存:ipset save white_domain  -f /root/white_domain.ipset

三、nslookup

安装: yum install bind-utils
基本用法: nslookup baidu.com
脚本: white_domain_ipset_iptables.sh 内容: 
#!/bin/bash
cat /etc/white_domain.conf | while read line
do
for ip in $(nslookup $line | tail -n+4 | grep "[0-9]\{1,3\}[.][0-9]\{1,3\}[.][0-9]\{1,3\}[.][0-9]\{1,3\}" | xargs -n1 | grep -v 'Address')
do
    ipset add -exist white_domain $ip
done
done

域名文件是/etc/white_domain.conf

四、iptables配置ipset

入网放通: iptables -I INPUT -m set --match-set white_domain src -j ACCEPT
出网放通: iptables -I OUTPUT -m set --match-set white_domain dst -j ACCEPT

定时任务配置

由于不清楚域名到底多久换一次ip地址,所以我创建定时任务,每隔一分钟执行一次脚本,将最新域名对应的ip地址放入到iptables中

crontab -e
*/1 * * * * /white_domain_ipset_iptables.sh

总结

不太清楚是不是有其它的解决方案,如果有欢迎交流(dnsmasq除外,这个没弄出来).
目前不清楚有什么问题,如果有人发现问题了,欢迎留言…

像风一样飞翔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables拦截域名_iptables基于域名的访问控制
weixin_39958631的博客
12-20 1596
安装dnsmasq[root@route-a ~]# wget http://www.thekelleys.org.uk/dnsmasq/dnsmasq-2.70.tar.gz[root@route-a ~]# tar zxvf dnsmasq-2.70.tar.gz[root@route-a ~]# cd dnsmasq-2.70[root@route-a ~]# make install查看d...
iptables拦截域名_Linux利用iptables屏蔽某些域名
weixin_39534002的博客
12-20 4159
一般 iptables 自带的都有 string 模块,这个模块的作用就是匹配字符串,匹配到泛域名的URL,然后就把数据包丢弃,就实现了屏蔽泛域名的功能。比如可以限制SS访问youtube.com 以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名iptables -A OUTPUT -m string --string "youtube.com" --algo bm -...
Linux防火墙——iptables以及firewalld的使用介绍
树下一少年的博客
01-22 2285
本文基于Linux上CentOS 7版本配合iptablesiptables-services、firewalld等服务进行演示 Linux防火墙——iptables以及firewalld的使用介绍 一.防火墙概念以及Netfilter机制介绍 二..iptables原理 三.firewalld(区域)简介 含端口转发
iptables 实现域名过滤
u011326325的博客
10-09 7583
1.需求 过滤指定的域名、网站:如www.baidu.com, www.bilibili.com 2.实现方案 方案1:字符串过滤 iptables -A FOWARD -m string --algo kmp --string “bilibili.com” -j DROP 1.需求 过滤指定的域名、网站:如www.baidu.com, www.bilibili.com 2.实现方案 方案1:字符串过滤 iptables -A FOWARD -m string --algo kmp --s
针对域名iptables
热门推荐
农民工
07-28 1万+
前景: 很偶然,由于业务需求,需要对现有的一台核心设备做安全防护,然后第一念头就想到了iptables,接着全网统计ip段,各种INPUT链各种添加规则,很兴奋的就上了线。 第一天运行正常,没有发现异常。 第二天,开始有调用方反馈自己调用接口未成功,第一想法就是iptables应该是有问题的,在和研发人员一路排查的时候,发现所有的调用都拥塞了,out的数据都没有问题,但是返回的数据全部拒掉了
android iptables解析dns forward_iptables基于域名的访问控制 访问限定网站
weixin_39847437的博客
11-27 822
需求分析:在实际的生产环境中,比如超市、商场、便利店等,POS机相关的支付或者牵扯到金钱相关的设备,是不允许上网的。连接用于达到支付的目的。但是局域网内的网络设备只能放行某些ip,提供服务的厂商至提供域名的服务.这样就需要这些POS设备访问指定的域名来完成支付,其他的域名屏蔽掉,不允许它访问。解决方案:dnsmasq+ipset+iptablesiptables一般只能对ip的访问控制,如果做域名...
iptables命令-- 服务器访问控制
weixin_45172742的博客
02-02 228
iptablesLinux 操作系统中用于配置 IPv4 数据包过滤规则的工具。它可以用于设置、查看和修改防火墙规则,以控制网络流量。
Linux利用iptables屏蔽某些域名
fall_hat的博客
06-28 8387
以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名iptables -A OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP # 添加屏蔽规则 iptables -D OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP # 删除屏蔽规则,上面添加的代码是什么样,那么删除的代码就是把 -A 改成 -D
基于域名路由策略.zip
07-17
在IT行业中,网络路由策略是网络通信的核心...总之,基于域名的路由策略提供了一种灵活的方式来控制网络流量,可以根据业务需求进行精细化的路由决策。然而,这也增加了系统的复杂性,因此在实施时需要谨慎规划和维护。
详解Linux iptables 命令
09-15
它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的配置,使得系统能够根据需要构建安全的防火墙策略。 首先,iptables的工作原理是这样的:它与...
藏经阁-基于kubernetes的互联网ingress实践.pdf
08-30
在eBay的实践中,Kube-proxy是通过iptables rules来实现的,负责管理Service和Pod之间的流量。 9. Ingress Controller的架构: Ingress Controller的架构主要包括Ingress Controller、Kube-proxy、Load Balancer ...
Froxlor是一个基于Web的系统管理软件
08-07
5. **防火墙和IP管理**:通过内置的防火墙规则编辑器(如iptables),可以轻松管理IP地址和端口,实现访问控制。 6. **SSL证书管理**:协助申请、安装和更新SSL证书,提升网站的安全性。 7. **备份和恢复**:提供...
linux服务器远程控制系统(wdcp)安装参考.pdf
02-12
7. **防火墙规则**:通过Web界面设置iptables防火墙规则,控制进出流量。 wdcp通过提供直观的图形界面,使得复杂的Linux服务器管理和运维工作变得简单易行,降低了Linux服务器的使用门槛,让更多的用户能够轻松地...
dns 等服务的配置
06-15
1. **xinetd与TCP Wrappers**:xinetd是一个超级守护进程,管理多个网络服务,而TCP Wrappers提供基于主机的访问控制。 2. **/etc/hosts.allow和/etc/hosts.deny**:这两个文件定义了哪些IP或网络可以连接到服务,...
多种操作平台上Linux IP Masquerade的实现方法.pdf
09-07
DNS服务器的设置也非常重要,通常会使用ISP提供的DNS服务器IP,同时也可以添加Linux主机使用的DNS服务器,以便进行域名解析。 对于Windows 95/98的配置,用户需通过控制面板的“网络”选项进行设置。首先,选择网络...
iptables重定向自己主机发出的流量
围城
08-05 1722
20200805 - 引言 前几天有这样一个需求,在分析一个ELF样本(mirai变种)的时候,因为想看它的payload,但是因为他只有在成功收到raw socket扫描的回应之后,才会有后续的效果。为了达到这个目的,需要能够重定向本机的流量。 解决方案 运行ELF样本的环境是由docker运行的centos7容器,如果想使用iptables的话,必须给予一定的权限,所以启动容器的时的命令如下。 docker run -it --privileged centos:7 本次的需求是,将本机的所有流量打往
iptables拦截域名_IPTABLES过滤域名
weixin_39658619的博客
12-20 2752
iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROPiptables -I OUTPUT -p udp -m string --string "qq.com" --algo bm -j DROPCommon Applications and Useful Example Rules1) To prevent ...
iptables防火墙的配置管理
lilygg的博客
12-14 387
1.启用iptables ##1.先关闭firewalld火墙 [root@localhost Desktop]# systemctl stop firewalld [root@localhost Desktop]# systemctl disable firewalld ##冻结firewalld(注意:mask表示冻结,unmask表示解冻) [root@localhost Desktop]#...
通过iptables 禁止访问域名方法整合
qq_30499345的博客
02-09 4022
更新2 新方法: 由于使用ipset来禁域名,老是会误ban,这里想到了一个新方法。 iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to [本机dns] iptables -t nat -A PREROUTING -p tcp --dport 53 -j DNAT --to [本机dns] 所有53端口的包转到路由器自身的dns服务器,其中-t nat 网络地址转换表,-A append,DNAT 目标地址转换. 然后修改dn
iptables 重定向到本机
最新发布
07-03
iptablesLinux 系统中用于网络包过滤和路由管理的工具,它可以用来配置防火墙规则,控制进出系统的网络流量。如果你想要将某个 IP 地址或端口的数据包重定向到本地机器(即本机),你可以创建一个 DNAT ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值