iptables 之 REJECT 与 DROP 对比

最新推荐文章于 2024-04-28 13:16:41 发布
最新推荐文章于 2024-04-28 13:16:41 发布
阅读量3.2k 收藏 5
点赞数
分类专栏: Linux 文章标签: iptables nmap linux
原文链接:https://segmentfault.com/a/1190000012637947
版权

前言

在访问国外网站时,F12 看 console,下面两种错误很常见:

(1),Failed to load resource: net::ERR_CONNECTION_REFUSED
(2),Failed to load resource: net::ERR_CONNECTION_TIMEOUT
不考虑网络状况的情况下,一般是不同的 iptables 策略导致的。
本文简单分析不同 iptables 策略下不同的现象。

Netcat 监听端口

Linux 服务器配置防火墙策略时,对一些不希望对外开放的端口,一般会用 iptables 过滤掉。
例如服务器上使用 nc 命令监听如下端口(选择一个未使用的 5568 端口作为对比):

nc -l 4444
nc -l 5555
nc -l 5566
# 未使用的 5568 端口作为参照

然后用 iptables 过滤掉这些端口:

iptables -A INPUT -p tcp -m tcp --dport 4444 -j DROP 
iptables -A INPUT -p tcp -m tcp --dport 5555 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p tcp -m tcp --dport 5566 -j REJECT --reject-with tcp-reset
# 未被使用的 5568 端口作为参照

nmap 扫描端口

使用 nmap 分别扫描上面的 4 个端口,结果如下所示:

  1. 扫描 4444 端口(DROP),并使用 time 命令查看耗时,time nmap -p4444 127.0.0.1
    端口扫描结果 filtered, 耗时 2.2 秒
    nmap 扫描 4444 端口
  2. 扫描 5555 端口(REJECT unreachable),并使用 time 命令查看耗时,time nmap -p5555 127.0.0.1
    端口扫描结果 filtered, 耗时 0.2 秒
    nmap 扫描 5555 端口
  3. 扫描 5566 端口(REJECT tcp-reset),并使用 time 命令查看耗时,time nmap -p5566 127.0.0.1
    端口扫描结果 closed, 耗时 0.2 秒
    nmap 扫描 5566 端口
  4. 扫描 5568 端口,并使用 time 命令查看耗时,time nmap -p5568 127.0.0.1
    端口扫描结果 closed, 耗时 0.2 秒
    nmap 扫描 5568 端口

Tcpdump 抓包分析

使用下面命令发起 TCP 连接请求(nc 或者 telnet):

nc 127.0.0.1 4444
nc 127.0.0.1 5555
nc 127.0.0.1 5566
nc 127.0.0.1 5568

tcpdump 抓包结果如下:

  1. tcpdump -i lo port 4444
    过滤策略为 DROP,会不断重试发送 SYN 直到超时,占用了带宽资源

  2. tcpdump -i lo port 5555
    过滤策略为 reject with icmp-port-unreachable 的,发两次就停止

  3. tcpdump -i lo port 5566
    过滤策略为 reject with tcp_reset,发出 SYN 包,收到 reset

  4. tcpdump -i lo port 5568
    端口未使用的,发出 SYN 包,收到 reset

结论

-j REJECT –reject-with tcp-reset-j DROP好,干脆利落,节约时间,节约带宽。

版权

本文转自 iptables 之 REJECT 与 DROP 对比 - SegmentFault 思否 稍加排版编辑

sbdx
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables命令使用详解
a1809032425的博客
10-13 1万+
iptables命令使用详解 参考链接:iptables命令使用详解 - Vathe - 博客园 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw.     fi
libipt_REJECT.rar_iptables
09-14
Shared library add-on to iptables to add customized REJECT support.
iptables drop与reject 的区别
weixin_42808782的博客
04-08 9137
IPtablesdrop与reject的目的都是为了拒绝连接,过滤掉请求 但drop与reject 的拒绝“效果” 是不一样的,举例说明一下: 配置举例: 添加了三条规则,1个drop,两个rejectiptables -A INPUT -p tcp --dport 8088 -j DROP iptables -A INPUT 5 -p tcp --dport 80 -j REJECT --reject-with tcp-reset iptables -A INPUT -p tcp --dport
iptables 过滤过程理解(四表五链)
叮当猫的喵i
10-26 1185
链是规则的容器,一条链中可能包含着众多的规则,当一个数据包到达一个链时,iptables 就会从链中第一条规则开始匹配,如果满足该规则的条件,系统就会根据该条规则所定义的方法处理该数据包,否则将继续匹配下一条规则,如果该数据包不符合链中任一条规则,iptables 就会根据该链预先定义的默认策略来处理数据包。规则存储在内核空间的信息包过滤表中,数据包每经过一个链(关卡)时,系统会根据链中规则指定的匹配条件来尝试匹配,一旦匹配成功,则由规则后面指定的处理动作进行处理。它能改变 TCP 头中的 QoS 位。
iptables实践
夏至ゞ的博客
01-14 171
iptables四表五链,数据包流向;iptables命令适用实践。
iptables基本用法
翔云
03-30 848
iptables是一个很好用的数据包过滤工具,可以针对host,port等进行数据包拦截等操作。 本文主要介绍iptables的两个操作:drop和reject. 1.drop drop顾名思义,就是丢包,不回复任何数据。 设置策略: iptables -A OUTPUT -p tcp --dport 3306 -d 192.168.0.101 -j DROP 查看策略: [root@local...
防火墙管理之iptables
T3212379478的博客
06-02 1028
iptables是配置netfilter过滤功能的用户空间工具。netfilter才是防火墙真正的安全框架,netfilter位于内核空间。我们可以理解iptables为一种命令行工具。iptables处理数据包的定义方法有,放行(accept)、拒绝(reject)、丢弃(drop)等。netfilter才是真正的防火墙,它是内核的一部分,那它要起作用,就需要在内核中设置关卡,所有进出报文都要通过这些关卡,经过检查,符合放行条件的才能放行,反之阻止。
iptables防火墙
ynyysn的博客
02-17 1967
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
关于 iptables ACCEPT DROP REJECT 的相关说明
ideal-lingyun
01-02 564
关于 iptables ACCEPT DROP REJECT 的相关说明
firewalld,iptable
SZDTBFWL的博客
08-20 818
redhat7.0############ 火墙Firewalld概述 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
iptables做策略屏蔽QQ与MSN
09-15
QQ服务器端口为:8000;客户端端口为:4000(开启第二个QQ时为4001,依次类推);均为UDP.MSN端口数较多:1863为登陆所需要的端口以及3000-4000等等
iptables原理与实战.pptx
03-05
介绍了iptables的原理与使用方式,希望对大家有用。iptables是一个用来对包过滤规则进行管理的用户态程序; iptables最初由Rusty Russell开发,于1998年发布第一个版本; 基于netfilter框架实现,本质上是linux...
Linux|Awk 变量、数字表达式和赋值运算符
冷冻工厂
04-25 586
同样,数字 22 被赋予了变量 port_no,还可以把一个变量的值赋给另一个变量,就像最后一个例子中,将变量 computer_name 的值赋给了变量 server。例如,假设有一个名为 names.txt 的文件,该文件列出了一个应用程序的用户的名单,包括他们的名、姓和性别。要理解在 Awk 中数值表达式的运用,来看下面的例子,这个例子中用到了一个名为 domains.txt 的文件,这个文件列出了 Tecmint 所持有的所有域名。接下来,将探讨 Awk 的最后一个特性——赋值运算符。
linux 系统文件目录颜色及特殊权限对应的颜色
持 开源思想,撰 必胜所学,望 勤学者,无难处
04-25 292
特殊权限Set User ID,占属主的x位,仅对可执行的程序有意义,当其他用户执行带SUID标记的程序是,所有用户具有此程序的属主的身份和相应权限,例如:其user在此(若属主为root)创建文件或目录,属主依然是root,而不是user。特殊权限Set Group ID,占属组的x位,对可执行的程序和目录有效,例如:其user2在此目录(若属组为user1)创建文件或目录,属组依然是user1,而不是user2。可以用字符表示文件的类型(权限中的首字符)学识浅薄,有错还望纠正!那蓝色背景的又是什么?
Linux:浏览器访问网站的基本流程(优先级从先到后)
最新发布
fox_kang的博客
04-28 647
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
linux kernel内存泄漏检测工具之kmemleak
yanghao23的专栏
04-27 1049
3.1 原理简介kmemleak实现方法是一个插桩加扫描过程, 它提供一个kmemleak_alloc桩函数,这个函数会在内核slab、vmalloc、alloc_bootmem、pcpu_alloc等函数分配接口中被调用,每次调用时该函数均会创建一个kmemleak object记录分配内存的相关信息比如内存地址,大小,调用栈等,并将这个object加入到一个rbtree里面;当内核释放内存时,也会调用kmemleak_free删除对应object
linux 编译binutil 遇到问题
123
04-26 201
linux 编译binutil
[Linux_IMX6ULL驱动开发]-设备树简述
levi的博客
04-24 928
这个属性有一点重要的作用是,假如我这里有两块板子,板子A以及板子B,同时使用了一个公板的设备树节点XXX.dtsi(dtsi表示可以被设备树使用#include包含),此时我的板子A不需要使用到公板的uart节点,那么我们直接在板子A的设备树中,使用&uart来引用此节点,再把状态设置为disable即可。设备树的属性如果不是自定的,那么可以直接获取,比如说reg属性,就是MEM资源,interrupts属性,就是IRQ资源,这些都是可以直接调用函数platform_get_resource获取。
iptables命令行代码
09-03
iptables是一种在Linux系统中用来配置防火墙规则的命令行工具。下面是一个使用iptables命令行代码的例子: 1. 查看当前的规则列表:iptables -L 2. 清空所有规则:iptables -F 3. 允许特定IP地址访问某个端口:iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j ACCEPT 4. 拒绝特定IP地址访问某个端口:iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j REJECT 5. 允许特定端口的所有IP地址访问:iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT 6. 允许本地回环访问:iptables -A INPUT -i lo -j ACCEPT 7. 禁止所有其他入站连接:iptables -P INPUT DROP 8. 允许所有已建立的和相关的入站连接:iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 9. 设置SNAT以更改源IP地址:iptables -t nat -A POSTROUTING -s <源IP地址> -j SNAT --to-source <目标IP地址> 10. 设置DNAT以更改目标IP地址:iptables -t nat -A PREROUTING -d <目标IP地址> -j DNAT --to-destination <源IP地址> 上述示例只是iptables的一小部分功能,iptables还有很多其他的参数和选项,可以根据具体需求灵活调整。使用iptables时,需要谨慎操作,以防止意外阻塞合法的网络流量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值