其他扩展匹配----linux

最新推荐文章于 2022-01-14 10:42:13 发布
最新推荐文章于 2022-01-14 10:42:13 发布
阅读量209 收藏
点赞数
分类专栏: IT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/patiencezzz/article/details/103158260
版权
其他扩展匹配

 问题
本案例要求熟悉针对MAC地址、多端口匹配、IP范围等扩展条件的防火墙规则设置,完成以下任务操作:

  1. 根据MAC地址封锁内网中指定的一些主机
  2. 通过一条防火墙规则开放多个TCP服务,提高规则编写效率
  3. 根据指定的IP地址范围设置封锁或放行规则
     方案
    采用三台RHEL6虚拟机svr5、gw1、pc120,如图-1所示。其中,虚拟机svr5作为局域网络的测试机,接入NAT网络(virbr0);虚拟机pc120作为Internet的测试机,接入隔离网络(virbr1);虚拟机gw1作为网关/路由器,配置eth0、eth1两块网卡,分别接入两个网络virbr0、virbr1。
    在这里插入图片描述
    图-1
    内网测试机svr5还需要将默认网关指向Linux网关的内网接口192.168.4.1:
    [root@svr5 ~]# route -n | grep UG
    0.0.0.0 192.168.4.1 0.0.0.0 UG 0 0 0 eth0
    网关gw1上开启路由转发:
    [root@gw1 ~]# vim /etc/sysctl.conf
    net.ipv4.ip_forward = 1
    [root@gw1 ~]# sysctl -p
    net.ipv4.ip_forward = 1
    … …
     步骤
    实现此案例需要按照如下步骤进行。
    步骤一:根据MAC地址封锁内网中指定的一些主机
    1)整理测试环境
    为外网测试机pc120添加到192.168.4.0/24网段的路由:
    [root@pc120 ~]# route add default gw 174.16.16.1
    [root@pc120 ~]# route -n | grep UG
    0.0.0.0 174.16.16.1 0.0.0.0 UG 0 0 0 eth0
    清理网关gw1的防火墙,恢复为零规则状态:
    [root@gw1 ~]# service iptables stop
    iptables:将链设置为政策 ACCEPT:raw filter [确定]
    iptables:清除防火墙规则: [确定]
    iptables:正在卸载模块: [确定]
    [root@gw1 ~]# iptables -nL
    Chain INPUT (policy ACCEPT)
    target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2)在内网机svr5测试ping外网机pc120,能够正常连通
[root@svr5 ~]# ping -c4 -W2 174.16.16.120
PING 174.16.16.120 (174.16.16.120) 56(84) bytes of data.
64 bytes from 174.16.16.120: icmp_seq=1 ttl=63 time=2.29 ms
64 bytes from 174.16.16.120: icmp_seq=2 ttl=63 time=0.764 ms
64 bytes from 174.16.16.120: icmp_seq=3 ttl=63 time=0.887 ms
64 bytes from 174.16.16.120: icmp_seq=4 ttl=63 time=1.12 ms

— 174.16.16.120 ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.764/1.268/2.299/0.608 ms
3)在gw1上添加MAC地址限制,禁止转发内网机svr5的ping数据包
获得主机svr5的MAC地址(00:0c:29:65:21:3c):
[root@gw1 ~]# ping -c2 192.168.4.5 &> /dev/null //做一次网络访问
[root@gw1 ~]# arp -an | grep 192.168.4.5 //从ARP缓存提取MAC
? (192.168.4.5) at 00:0c:29:65:21:3c [ether] on eth0
添加限制MAC地址的防火墙规则:
[root@gw1 ~]# iptables -A FORWARD -p icmp -m mac --mac-source 00:0c:29:65:21:3c -j DROP

[root@gw1 ~]# iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP icmp – 0.0.0.0/0 0.0.0.0/0 MAC 00:0C:29:65:21:3C
4)在内网机svr5再测试ping外网机pc120,将会被阻止
[root@svr5 ~]# ping -c4 -W2 174.16.16.120
PING 174.16.16.120 (174.16.16.120) 56(84) bytes of data.

— 174.16.16.120 ping statistics —
4 packets transmitted, 0 received, 100% packet loss, time 5000ms
步骤二:通过一条防火墙规则开放多个TCP服务,提高规则编写效率
1)在外网测试机pc120上开放多个端口
允许访问本机的SSH、FTP(配置的被动端口范围为16501:16800)、邮件、网站服务:
[root@pc120 ~]# iptables -A INPUT -p tcp -m multiport --dport 20:22,25,80,110,143,16501:16800 -j ACCEPT
拒绝对其他TCP端口的访问时,可以对上一条规则利用!取反,操作改为REJECT(方便查看效果):
[root@pc120 ~]# iptables -A INPUT -p tcp -m multiport ! --dport 20:22,25,80,110,143,16501:16800 -j REJECT
确认规则结果:
[root@pc120 ~]# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 multiport dports 20:22,25,80,110,143,16501:16800
REJECT tcp – 0.0.0.0/0 0.0.0.0/0 multiport dports ! 20:22,25,80,110,143,16501:16800 reject-with icmp-port-unreachable
2) 测试外网机pc120上的Web服务
将主机pc120上的httpd服务端口改为81:
[root@pc120 ~]# vim /etc/httpd/conf/httpd.conf
Listen 81 //修改监听端口
… …
[root@pc120 ~]# service httpd restart //重启服务
… …
[root@pc120 ~]# netstat -anpt | grep httpd //确认监听状态
tcp 0 0 :::81 ::😗 LISTEN 8425/httpd
由于pc120的防火墙规则并未开放81端口,因此从其他主机(比如gw1)访问此Web服务将会失败:
[root@gw1 ~]# elinks --dump http://174.16.16.120:81
ELinks: 拒绝连接
将主机pc120上的httpd服务端口重新改为80:
[root@pc120 ~]# vim /etc/httpd/conf/httpd.conf
Listen 80 //修改监听端口
… …
[root@pc120 ~]# service httpd restart //重启服务
… …
[root@pc120 ~]# netstat -anpt | grep httpd //确认监听状态
tcp 0 0 :::80 ::: * LISTEN 8499/httpd
从网关gw1可成功访问pc120上的Web网页:
[root@gw1 ~]# elinks --dump http://174.16.16.120
Test Page 120.
步骤三:根据指定的IP地址范围设置封锁或放行规则
1)在外网机pc120上添加IP范围封锁
在INPUT链的最前面插入一条规则,禁止IP地址位于174.16.16.240~172.16.16.254范围的主机访问本机的Web服务:
[root@pc120 ~]# iptables -I INPUT -p tcp --dport 80 -m iprange --src-range 174.16.16.240-174.16.16.1 -j REJECT

[root@pc120 ~]# iptables -nL INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 source IP range 174.16.16.240-174.16.16.1 reject-with icmp-port-unreachable
2 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 multiport dports 20:22,25,80,110,143,16501:16800
3 REJECT tcp – 0.0.0.0/0 0.0.0.0/0 multiport dports ! 20:22,25,80,110,143,16501:16800 reject-with icmp-port-unreachable
[root@pc120 ~]#
2)测试从网关gw1上访问pc120的Web服务,将会失败(地址受限)
[root@gw1 ~]# elinks --dump http://174.16.16.120
ELinks: 拒绝连接
3)测试从内网机svr5上访问pc120的Web服务,可成功浏览(地址未受限)
[root@svr5 ~]# elinks --dump http://174.16.16.120
Test Page 120.

赵文超z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
其他扩展匹配
Linux的成长历程
05-24 256
1.其他扩展匹配 问题 本案例要求熟悉针对MAC地址、多端口匹配、IP范围等扩展条件的防火墙规则设置,完成以下任务操作: 1)根据MAC地址封锁内网中指定的一些主机 2)通过一条防火墙规则开放多个TCP服务,提高规则编写效率 3)根据指定的IP地址范围设置封锁或放行规则 方案 采用三台RHEL6虚拟机svr5、gw1、pc120,如图-1所示。其中,虚拟机svr5作为局域网络的测试机,接入NA...
防火墙扩展规则: 根据MAC地址封锁主机 在一条规则中开放多个TCP服务 根据IP范围设置封锁规则
彭淦淦的博客
04-23 1151
3.1 问题 本案例要求熟悉使用iptables的扩展规则,实现更丰富的过滤功能,完成以下任务: 根据MAC地址封锁主机 在一条规则中开放多个TCP服务 根据IP范围设置封锁规则 3.2 方案 iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下: iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作 3.3 步...
局域网防火墙(只允许邦定了MAC地址的电脑访问本机)
10-28
使用防火墙后,在局域网中就只有邦定了MAC地址的电脑可以访问这能电脑了,本软件只针对内网,请开机就运行,修改CONFIG.INI后就再次运行防火墙修改内存中的邦定列表。
shell之匹配模式和扩展匹配模式
冬木
12-31 507
首先说一下什么是匹配模式,然后再介绍扩展匹配模式。 匹配模式这个概念就算不知道,但是也都会使用这个功能找到匹配的文件。 例如 ls ab*,找到所有以ab开头的文件。这就是利用了*可以匹配任意字符串,包括空串。 匹配模式是man bash中的pattern matching,星号的含义在上面讲了。 ?用来匹配任意单个字符,例如a?c可以匹配到abc,adc,不能匹配空字符,所有不能匹配ac […] 用来匹配中括号中的一个字符,例如a[bc]d,可以匹配abd和acd 如果想匹配* ?[]呢,需要用反斜杠进行
Linux多个端口组合,iptables使用multiport 添加多个不连续端口
weixin_35998457的博客
05-04 5226
使用multiport可以添加多个不连接的端口,最多可以添加15组,如下:iptables -A INPUT -p tcp -m multiport --dports 21:25,135:139 -j DROPiptables -A INPUT -p tcp -m multiport --dports 110,80,25,445,1863,5222 -j ACCEPTiptables -A INP...
linux-优化和扩展zshsyntaxhighlighting
08-13
4. **共享和反馈**:如果你创建了一个有用的扩展或优化,记得分享给社区,这样其他用户也能受益。同时,如果你遇到问题或有改进的建议,可以在项目GitHub页面上提交issue或pull request。 总的来说,优化和扩展`zsh...
JDK17-Linux-Arm64
最新发布
08-05
1. **密封类(Sealed Classes)**:这是一个新的语言特性,允许类的作者限制哪些其他类可以扩展或实现特定的类或接口,增强了类型安全性和代码可维护性。 2. **记录类(Records)**:记录类是自动实现equals(), ...
linux-vimgalore中文翻译
08-13
**Linux开发-其它:Vim从零到英雄——Vim入门到精通** Vim,全称Vi IMproved,是一款强大的文本编辑器,广泛应用于Linux系统中。它以其高效的操作方式和高度可定制性赢得了程序员和系统管理员的青睐。"Vim从入门到...
linux-Bash学习指南
08-13
在IT行业中,Linux操作系统是开发者和系统管理员的重要工具,而Bash(Bourne-Again SHell)作为Linux默认的命令行解释器,是与操作系统交互的基础。本指南旨在深入探讨Bash,帮助读者掌握其核心概念、常用命令以及...
linux-Evil是Emacs的可扩展vi层
08-13
Linux开发领域中,Emacs是一款强大的文本编辑器,它以其高度可定制性和丰富的功能而闻名。而 Evil 是一个为 Emacs 设计的插件,它的全称是“Emacs Vi Layer”,顾名思义,它是将 Vim 编辑器的操作模式移植到 Emacs ...
关于Linux防火墙'iptables'的面试问答
weixin_33701617的博客
02-09 162
1. 你听说过Linux下面的iptables和Firewalld么?知不知道它们是什么,是用来干什么的? 答案 : iptables和Firewalld我都知道,并且我已经使用iptables好一段时间了。iptables主要由C语言写成,并且以GNU GPL许可证发布。它是从系统管理员的角度写的,最新的稳定版是iptables 1.4.21。iptables通常被用作类UNIX系统中的...
windows 7搞定mac地址绑定
weixin_34378767的博客
05-24 186
对于玩系统的老手都知道,防止arp***实际上不需要这个防火墙那个防火墙,一条命令将ip与mac地址绑定即可。 例如: arp -s 192.168.1.1 00-19-e0-c0-6f-0a 不过这句话在Windows7显得这么无助,会提示:ARP 项添加失败: 请求的操作需要提升。(英文版提示:The ARP entry addition failed: Acces...
MACOS 打开22端口
dddgggd的博客
01-14 5854
macos 22端口
linux防火墙pf,Mac下使用PF进行端口转发和防火墙配置(类似Linux的iptables)
weixin_39633134的博客
05-12 432
首先我们要开启系统的端口转发功能。本次开机生效:# IPv4 的转发$sudo sysctl -w net.inet.ip.forwarding=1net.inet.ip.forwarding:0 -> 1# IPv6 的转发$sudo sysctl -w net.inet6.ip6.forwarding=1net.inet6.ip6.forwarding:0 -> 1开机启动配置,需...
MAC - 开放指定端口
热门推荐
Time
07-14 8万+
适用OSX 10.10之前版本: sudo ipfw add 7000 allow tcp from any to any dst-port 70 参考资料: How can I open a port (not application) in the OS X 10.6 firewall?
linux防火墙禁用445端口,启用iptables防火墙,要求INPUT方向允许任意主机访问ICMP、TCP的21、22、80、139、445端口,INPUT其他默认禁止访问。...
weixin_36477752的博客
05-08 1092
如下三条命令就可以了:设置INPUT的默认策略iptables-PINPUTDROP开放INPUT的icmpiptables-IINPUT1-picmp-jACCEPT开放tcp上的21,22,80,139,445端口iptables-IINPUT1-ptcp-mmultiport--dports21,22,80,139,445-jACCEPT虚拟机上操作...
iptables限定只能连接指定的IP和MAC
jshagw的博客
05-28 3462
操作系统 CentOS6.4 x86_64 iptables限定只能连接指定的IP和MAC的目标是:主机连接外面的设备时,要指定IP和MAC,防止外面入侵交换机,将包转发到另外一台不同MAC的设备。 首先要理解iptables的state四种状态 NEW,ESTABLISHED,RELATED,INVALID。 NEW状态:主机连接目标主机,在目标主机上看到的第一个想要连接的包 ESTABLI...
高质量server 之深刻体验--单元测试+接口测试+压力测试
n8765的专栏
03-14 2450
曾惊奇的发现,某复杂的包括n个server节点的系统没有任何单元测试代码,没有svr client,压力 测试更谈不上了,所有的测试竟然完全依赖于windows客户端;开发流程倒是简单到粗暴--每个人负责一到两 个svr,每个先写自己的代码,写完之后,启动,然后等他人联调,往往等一个人是不够的,是要等所有的人 都写好后,特别是客户端的开发;好,代码写完了,联调,客户端
【机器学习】libsvm python开发环境搭建与测试
hustxiaoxian的专栏
09-27 1833
机器学习 模式识别 python libsvm
Linux Shell编程与Qt程序设计基础
Linux Shell编程和Qt程序设计是两种不同的技术领域,但它们可以结合起来,扩展应用程序的功能。本资源提供了Linux Shell编程和Qt程序设计的相关知识点,旨在帮助开发者更好地理解和应用这两种技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值