iptables扩展模块

最新推荐文章于 2022-10-20 14:29:34 发布
最新推荐文章于 2022-10-20 14:29:34 发布
阅读量913 收藏 3
点赞数
分类专栏: 运维linux 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37369726/article/details/104940203
版权

扩展模块一:multiport
作用:可以指定多个离散的源端口或者目标端口,也可以指定连续的端口

//离散的
iptables -I INPUT -s 192.168.247.170 -p tcp -m multiport --dports 22,36,80 -j DROP

80到88端口,这个功能tcp模块也能实现连续的
iptables -A INPUT -s 192.168.247.170 -p tcp -m multiport --dports 22,80:88 -j DROP

模块二:iprange
作用:可以指定连续的ip。

//--src-range
iptables -A INPUT -p tcp -m iprange --src-range 192.168.247.150-192.168.247.170 -j ACCEPT

//--dst-range
iptables -A INPUT -p tcp -m iprange --dst-range 192.168.247.180-192.168.247.190 -j ACCEPT

模块三:string
作用:如果报文中包含对应的字符串,则匹配。

//假如我在网站admin目录下配置了Auth访问认证功能,要拒绝凡是含有Auth字符串的ip访问:
iptables -I INPUT -m string --algo bm --string "Auth" -j REJECT

//--algo指定匹配的算法,有bm和kmp

模块三:time
作用:指定时间内,匹配

//比如限制公司员工早上10点到11点不能浏览网页
iptables -I OUTPUT -p tcp -m multiport --dports 80,443 -m time --timestart 10:00:00 --timestop 11:00:00 -j REJECT

//timestart开始时间,timestop结束时间

//周六日不能看网页
iptables -I OUTPUT -p tcp --dport 80 -m time --weekdays 6,7 -j REJECT

模块四:connlimit
作用:限制每个ip连接到server端的数量,不用指定ip,默认对单ip的并发连接数限制

//限制同一个ip的ssh登入数量
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

//--connlimit-above 连接数量

限制某个网段的链接数量

//限制子网掩码为27的网段只能连接10台
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 --connlimit-mask 27 -j REJECT

模块五:limit
作用:限速,限制报文到达的速度

//限制1分钟10个,也就是6秒放行一个
iptables -I INPUT -p icmp -m limit --limit 10/minute -j ACCEPT
iptables -A INPUT -p icmp -j REJECT

注意,该模块有一个默认参数--limit-burst,默认值为5。该参数的意思相当于银行柜台的数量,当前5个包来的时候,柜台都是空的,所有前五个包都会放行,后面的人需要排队。

模块六:tcp模块
tcp模块除了匹配添加–dport,–sport之外还有其他的匹配参数:

–tcp-flags:tcp协议中的标志位。这个和tcp的三次握手有关,第一次握手客户端发送请求会发送一个seq序列号,此时服务端收到之后打开一看seq为1。然后服务端恢复客户端,会发送ack确认号和seq序列号,客户端收到之后打开一看ack=1,seq=1,然后客户端再恢复一个seq给服务端,seq=1。

通过上面的过程可以匹配标志位。

//匹配第一次握手的报文
iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECT

//ALL SYN表示只有SYN为1

//匹配第二次
iptables -I INPUT -p tcp -m tcp --dport 22 --tcp-flags ALL SYN,ACK -j REJECT

模块七:ICMP
ICMP:互联网控制报文协议。icmp报文类型比较多,这里之说用的最多的一种ping。

//禁止别人ping我们的主机,我们可以ping别人的
iptables -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT

--icmp-type:表示icmp的类型为8,code为0。

模块七:state
常用:

//自动处理响应报文
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
运维饺子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux多个端口组合,iptables使用multiport 添加多个不连续端口
weixin_35998457的博客
05-04 5197
使用multiport可以添加多个不连接的端口,最多可以添加15组,如下:iptables -A INPUT -p tcp -m multiport --dports 21:25,135:139 -j DROPiptables -A INPUT -p tcp -m multiport --dports 110,80,25,445,1863,5222 -j ACCEPTiptables -A INP...
IPtables 扩展模块 Multiport/IPRange
小楼一夜听春雨,深巷明朝卖杏花
09-06 2141
扩展匹配是实现更加高级的功能,扩展模块,这些模块在在IP tables中非常的多,之前--deport只能添加一个端口,或者说是一个连续的端口,mutiport可以添加不连续的端口。示例∶10.0.0.10 访问本机 20、21、80、443允许通过;示例: 允许10.0.0.10访问本机的20-22、21、80、443。-p不属于扩展模块的动作,所以不能放里面。之前是基本的匹配,现在可以看看扩展匹配。
iptables详解(8):iptables扩展模块之state扩展
ss810540895的博客
10-20 451
如果某些与你敌对的人,利用这些端口”主动”连接到你的主机,你肯定会不爽的吧,一般都是我们主动请求80端口,80端口回应我们,但是一般不会出现80端口主动请求我们的情况吧。那么我们仔细的思考一下,造成上述问题的”根源”在哪里,我们为了让”提供服务方”能够正常的”响应”我们的请求,于是在主机上开放了对应的端口,开放这些端口的同时,也出现了问题,别人利用这些开放的端口,”主动”的攻击我们,他们发送过来的报文并不是为了响应我们,而是为了主动攻击我们,好了,我们似乎找到了问题所在?似乎总是有一些不完美的地方。
iptables扩展
weixin_54246834的博客
03-21 583
iptables扩展匹配条件之’–tcp-flags’ 见名知义,”–tcp-flags”指的就是tcp头中的标志位,看来,在使用iptables时,我们可以通过此扩展匹配条件,去匹配tcp报文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。 既然说到了tcp头中的标志位,那么我们就来回顾一下tcp头的结构,如下图所示。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j3t9T1yk-1647876291917)(C:\Users\72983\Desktop\04
Linux下CoreSeek及PHP扩展模块的安装
12-19
本人安装CoreSeek的系统为Centos6.0 CoreSeek版本: coreseek 3.2.14:点击下载 ...LAMP安装教程:https://www.jb51.net/article/31379.htm (安装之前大家可以先关闭Selinx及Iptables防火墙具体操作也可以
Linux内核Netfilter功能扩展模块-patch-o-matic-ng
03-28
Linux内核Netfilter功能扩展模块,可以创建更强大的防火墙规则
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
扩展 Netfilter-iptables 目标选项时,论文使用 Patch-o-matic 结构,通过扩展模块实现对网络核心堆栈的分析和研究。Patch-o-matic 结构是一种类似于插件的机制,可以动态加载和卸载模块,从而实现 Netfilter-...
xt_dscp.rar_iptables dscp
09-24
标题中的“xt_dscp.rar_iptables dscp”暗示了我们正在讨论的是Linux系统中iptables防火墙的一个扩展模块,用于匹配DCCP(差错控制和拥塞控制协议)协议头。DSCP(Differentiated Services Code Point)是IP头部的一...
iptables-1.8.5.tar.xz
09-24
使用gcc进行交叉编译后的可执行程序和lib库文件。arm64,使用的是aarch64_linux_gnu_gcc交叉编译,同时需要内核模块打开才能支持扩展功能。
iptables 的简单使用
weixin_61313270的博客
01-06 1427
iptables简单介绍与举例
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables基础(一)
weixin_33946020的博客
04-05 362
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
Linux里的防火墙(下):iptables扩展模块——l7-filter的安装与功能实现
shinfocom
08-21 403
如果在公司里做网络管理员,老板可能会让你屏蔽掉qq和xunlei,那么如果通过iptables来实现这些功能? 首先,要知道qq和xunlei都是特定的服务,它们在传送数据的时候,必然会由一些特征值在数据中,那么我们的iptables如果想要拦截这些数据,就需要知道它们的数据特征值。而l7-filter就是为了这个目的而存在。(当然,不止qq和xunlei,很多协议它都支持) iptabl...
linux中iptables配置文件及命令详解详解
weixin_30690833的博客
09-14 1969
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
linux之iptables防火墙
weixin_55609813的博客
05-25 286
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
Linux杂记 Iptables介绍
bug_maker
04-21 426
Iptables:网络防火墙系统,用于生成防火墙规则,并且将规则附加在netfilter上面的一个工具; netfilter:是内核中一个使iptables生效的Frame,使规则生效的一个框架,是用来实现报文过滤功能的 总结一下,也就是说Iptables是用来定义规则的,规则只有在netfiter上面才能够生效的; IP报文的知识 IP报文首部: IP Version:4 bit表示I...
iptables CONNMARK
最新发布
09-22
iptables的CONNMARK模块是一个用于连接标记(connection marking)的扩展功能。它可以用来在iptables规则中对连接进行标记,以便后续的规则能够根据这些标记进行匹配和处理。 CONNMARK模块提供了以下几个主要的匹配条件和目标动作: 1. `--set-mark`:将连接标记设置为指定的值。 2. `--save-mark`:将连接标记保存到packet mark字段中。 3. `--restore-mark`:从packet mark字段中恢复连接标记。 4. `--save-ip`:将连接标记保存到packet的源或目的IP地址中。 5. `--save-pkttype`:将连接标记保存到packet类型字段中。 使用CONNMARK模块的示例规则如下: ```shell # 设置连接标记为1 iptables -t mangle -A PREROUTING -i eth0 -m connmark ! --mark 0 -j CONNMARK --set-mark 1 # 根据连接标记进行匹配 iptables -A INPUT -m connmark --mark 1 -j LOG --log-prefix "Marked Connection: " # 将连接标记保存到packet mark字段中 iptables -t mangle -A POSTROUTING -m connmark --mark 1 -j CONNMARK --save-mark # 从packet mark字段中恢复连接标记 iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j CONNMARK --restore-mark # 将连接标记保存到packet的源IP地址中 iptables -t mangle -A POSTROUTING -m connmark --mark 1 -j CONNMARK --save-ip-src # 将连接标记保存到packet的目的IP地址中 iptables -t mangle -A POSTROUTING -m connmark --mark 1 -j CONNMARK --save-ip-dst # 将连接标记保存到packet类型字段中 iptables -t mangle -A POSTROUTING -m connmark --mark 1 -j CONNMARK --save-pkttype ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值