Iptables 扩展模块 string|time 模块

已于 2022-10-14 16:02:40 修改
阅读量2.3k 收藏
点赞数
分类专栏: Netfilter/IPtables 文章标签: 运维
于 2022-09-11 10:07:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/126802226
版权

string 模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。

  • --algo 【bm | kmp】∶字符匹配的查询算法
  • --string pattern∶字符匹配的字符串

比如要访问腾讯,那么我就要去匹配这个字符串,一请求我就给你拒绝掉。 

示例∶应用返回的报文中包含字符"hello",我们就丢弃当前报文,其余正常通过。

服务器上面有些站点,站点里面有些关键字video,用户在请求我的时候,请求里面携带video,那么就拒绝掉,这个应该在filter表中的output链上面做。

因为请求经过prerouting送input,input构建响应报文,构建了通过output出去,构建响应报文里面带的关键字有video,那么我要在output上将其关闭掉,这样你去请求video是永远没有办法访问的。

访问本机的video的时候拒绝掉,和穿过我访问video,配置手法是一样,只不过操作的链不一样,一个是output链,一个是forward链。(使用路由器,上面使用IP tables做路由策略,当用户请求时候必须经过路由器穿过去,如果访问jd.com就将其屏蔽掉)

在请求我的时候做不了任何的策略,但是在响应的时候可以做策略和规则的匹配。

示例∶应用返回的报文中包含字符"hello",我们就丢弃当前报文,其余正常通过。

[root@localhost ~]# iptables -t filter -I OUTPUT -p tcp -m string --algo kmp --string "video" -j DROP
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            STRING match  "video" ALGO name kmp TO 65535

---------------------------------------------------------------------------------------------------------------------------

路由器实现iptables做规则策略,当用户要请求的时候必须经过路由器穿过去,我要做些限制,如果要访问jd.com,那么就屏蔽掉,这个很明显在filter中做。首先进来的是prerouting,prerouting上做不了,因为它有可能不请求JD,有可能请求本机。所以prerouting就送给forward,那么就在forward上面做策略,如果符合JD那么就拒绝,到不了postingrouting上面去,那么这样就到不了服务器,这就是基于关键字做条件判断,如果符合预期则允许。

[root@localhost ~]# iptables -t filter -I OUTPUT -p tcp -m string --algo kmp --string "jd" -j DROP

 

 

time模块

time 模块,可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内,则符合匹配条件。

--timestart hh∶mm【∶ss】∶开始时间

--timestop hh∶mm【∶ss】∶结束时间

【!】--monthdays day【,day..】∶指定一个月的某一天

【!】--weekdays day【,day..】∶指定周一到周天

--kerneltz∶使用内核时区而不是uTc时间

示例∶拒绝每天8∶30~12∶30(00∶30~04∶30)、13∶30~18∶30(05∶30~10∶30),任何主机发送icmp协议

 

富士康质检员张全蛋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables(5)常用扩展模块iprange、stringtime、connlimit、limit
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1485
之前我们已经介绍过扩展模块的简单使用,比如使用-m tcp/udp ,-m multiport参数通过--dports,--sports可以设置连续和非连续的端口范围。那么我们如何匹配其他的一些参数呢,比如源地址范围,目的地址范围,时间范围等,这就是我们这篇文章介绍的内容。
iptables匹配string
redwingz的博客
05-15 3187
string匹配帮助信息如下。其中模式匹配算法可指定bm(Boyer-Moore)或者kmp(Knuth-Pratt-Morris)。选项icase表示在匹配时忽略大小写。 # iptables -m string -h string match options: --from Offset to start searching from --to Offset to stop searching --algo
Iptables防火墙string模块扩展匹配规则
江晓龙的博客
07-08 1434
String模块的作用是来匹配请求报文中指定的字符串,经常应用于拦截用户访问某些网站的场景,将防火墙当做路由器使用,例如上班时间不允许用户访问淘宝网站等等场景。String模块的常用参数:可以在参数前面加!号表示去反。案例:当用户请求的数据报文中包含taobao.com,则拒绝通行,其余的正常放行。1)首先来准备含有taobao.com数据报文的WEB网站。 2)编写防火墙规则,拒绝数据包中包含taobao.com内容的数据包。 3)查看设置的防火墙规则。 4)测试效果,发现hahaha的页面可以正常访问,
Linux安全管理】iptables模块的使用与FORWARD转发
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-09 2977
iptables模块的使用 FORWARD转发
iptables添加规则无效
q1009020096的博客
04-07 5890
查看目前个链路防火墙规则: iptables -L -n 在Centos6中使用iptables作为防火墙,默认情况防火墙拒绝所有来源的输入。 注意:列表的中顺序代表防火墙规则执行的顺序,按顺序依次执行。 若现在我需要暴露30000端口,使用如下规则: iptables -A INPUT -p tcp --dport 30000 -j ACCEPT -A 表示 add 添加新规则,添加的规则会追加到列表的最后, INPUT 表表示数据进入时生效。 -p 协议,tcp ---dport 目标端口 -
Linux下CoreSeek及PHP扩展模块的安装
10-27
然后解压sphinx扩展模块的源码包,并进入解压后的目录。使用phpize工具准备编译环境,然后配置编译选项,确保指定正确的CoreSeek和PHP路径。编译安装后,需要修改php.ini文件,添加extension=sphinx.so指令以启用...
CentOS 6.3下给PHP添加mssql扩展模块教程
09-10
本教程将介绍如何在CentOS 6.3上为PHP添加mssql扩展模块,具体采用的是通过freetds编译安装的方式。 首先,FreeTDS是一个开源的TDS协议客户端,它允许Linux系统与使用相同协议的MSSQL和Sybase数据库进行通信。在这...
iptables 模块
03-18
New netfilter match 描述了 iptables -m 中一些常用的模块功能,参数,配置实例,例如: ah-esp condition conntrack fuzzy iplimit ipv4options length nth pkttype u32 等,基本全部模块
Linux不编译2.6内核直接给iptables模块
03-04
Linux 不编译 2.6 内核直接给 iptables模块 Linux 中不编译 2.6 内核直接给 iptables模块的方法是指在不重新编译 Linux 2.6 内核的情况下,直接给 iptables 添加模块的过程。这个过程可以实现无需重新编译...
iptables 字符串模块检查
guoguangwu的专栏
04-29 1444
能够检查Linux内核是否支持字符串匹配扩展的一种简单方式,是尝试创建一个针对根本不存在IP地址的iptables字符串匹配规则,使得她不会影响任何整的网络通信,如下所示 sudo iptables -I INPUT 1 -i lo -d 127.0.0.2 -m string --string "teststring " --algo bm -j ACCEPT --algo bm :...
防火墙iptables
m0_71593537的博客
08-20 1032
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包和netfilter的适配性好#查看有没有安装 iptables --version。
新手小白初步理解、学习、安装、运用iptables
qq_64658112的博客
08-02 401
iptableslinux斜体自带管理的防火墙工具,它具有数据包过滤、数据包转发、地址转换、基于MAC地址过滤、基于状态的过滤、包速率限制等安全功能。注意如果中间出现一些报错,可能是缺少一些依赖包,可根据系统提示来安装对应的依赖包!Raw表:用于处理数据包的链接状态,对于未建立连接的数据包进行处理。Mangle表:用于修改数据包的头部信息,比如TTL、TOS等。NAT表:用于等数据包进行地址转换,实现网络地址转换功能。步骤三:打开终端,去到放置iptables压缩包的目录下,解压该压缩包。
iptablesiptables表、链、规则 、匹配模式、扩展模块、连接追踪模块(一)
u011029104的专栏
01-30 411
默认情况当禁止ping后,其他主机无法ping通本主机,本主机也无法ping通其他主机,现需要本主机可以ping通其他主机,而其他主机依然无法ping同本主机。3.请求从本机发出:local Process(本机) --> OUTPUT --> POSTROUTING。1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)
iptables深度总结--基础篇_iptables input output forward(2)
m0_63102527的博客
04-07 638
string pattern 要检测的字符串模式–hex-string pattern要检测字符串模式,16进制格式 示例: iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string - -algo bm --string “google" -j REJECT6. time扩展 根据将报文到达的时间与指定的时间范围进行匹配–datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期。
Linux防火墙】iptables基础用法及高级用法
L李钟意的博客
06-23 2063
其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。
Linux网络服务之iptables防火墙工具
这是博客的简介的简介
08-20 836
I P T A B L E S
Linux利用iptables屏蔽某些域名
fall_hat的博客
06-28 8451
以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名。 iptables -A OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP # 添加屏蔽规则 iptables -D OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP # 删除屏蔽规则,上面添加的代码是什么样,那么删除的代码就是把 -A 改成 -D
iptables怎么用扩展模块xt_TRACE
最新发布
08-07
iptables使用扩展模块xt_TRACE主要涉及规则的匹配和目标设置。xt_TRACE主要用于记录网络流量信息,例如IP地址、端口、数据包大小等。下面是如何在iptables规则中应用xt_TRACE的一个基本示例: 1. 首先,你需要安装xt_TRACE模块。如果你使用的是基于iptables的firewalld,它通常已经包含了这个模块。如果没有,可以通过`yum install firewalld`(对于Fedora/CentOS)或`apt-get install ufw`(对于Debian/Ubuntu)来安装。 2. 定义规则时,在`-j`选项后面指定xt_TRACE作为目标。例如,如果你想追踪所有从192.168.1.0/24网段发出的数据包,你可以这样写: ```bash sudo iptables -A INPUT -s 192.168.1.0/24 -j XT_TRACE:trace_name,log_level=7 ``` 这里的`XT_TRACE:trace_name`是你自定义的跟踪名称,`log_level=7`表示记录详细信息。你可以调整`log_level`参数来改变记录的详细程度,范围通常是1到7,其中1记录最少信息,7记录最多信息。 3. 启动并启用跟踪规则。在配置文件(`/etc/sysconfig/iptables` 或 `/etc/firewalld/zones/public/ipv4/rules.d`)中保存更改后,执行`sudo service iptables save` 或 `sudo firewall-cmd --reload`来应用新规则。 请注意,实际操作可能因Linux发行版和个人防火墙配置的不同而有所差异。在某些情况下,你可能还需要在内核中加载xt_TRACE模块,或者通过编译kernel使其支持该模块
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值