iptables时区_iptables阻止端口80和443上的一些流量什么时候不应该?

最新推荐文章于 2024-07-19 15:39:00 发布
最新推荐文章于 2024-07-19 15:39:00 发布
阅读量1.1k 收藏
点赞数
文章标签: iptables时区
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36075067/article/details/111967704
版权

我正在管理的Web服务器显示目标端口443上IPv4地址的奇怪iptables拒绝,尽管明确允许HTTPS流量.端口80也允许在同一规则中,但该站点仅支持HTTPS,并且80立即被nginx重定向到443.

事情是:浏览网站的工作原理.你可以加载所有页面,所有资源都很好等等.但是这里显然有些不妥,这可能会损害页面加载性能.

以下是分别在端口443和80中记录在/var/log/iptables_deny.log中的错误示例.从日志文件中的tail -f判断,这些可以单独或突发.绝大多数是443端口:

iptables denied: IN=eth0 OUT= MAC=f2:3c:91:26:1e:1f:84:78:ac:0d:8f:41:08:00 SRC=(redacted IP) DST=(redacted IP) LEN=40 TOS=0x08 PREC=0x00 TTL=53 ID=61266 DF PROTO=TCP SPT=49264 DPT=443 WINDOW=0 RES=0x00 RST URGP=0

iptables denied: IN=eth0 OUT= MAC=f2:3c:91:26:1e:1f:84:78:ac:0d:8f:41:08:00 SRC=(redacted IP) DST=(redacted IP) LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=11186 DF PROTO=TCP SPT=58445 DPT=443 WINDOW=254 RES=0x00 ACK FIN URGP=0

iptables denied: IN=eth0 OUT= MAC=f2:3c:91:26:1e:1f:84:78:ac:0d:8f:41:08:00 SRC=(redacted IP) DST=(redacted IP) LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=16941 DF PROTO=TCP SPT=16278 DPT=80 WINDOW=255 RES=0x00 ACK FIN URGP=0

快速grepping表示拒绝中的数据包类型至少可以是ACK,ACK FIN,ACK RST,ACK PSH和RST.也许是其他人,但他们并没有引起我的注意.

下面是iptables -nvL的输出.基本模式(允许所有相关和先建立,后来允许80和443上的所有新流量)应该是基于我读过的所有内容. LOG& DROP规则是INPUT链中的最后一个规则,因为它们应该是.

Chain INPUT (policy ACCEPT 1 packets, 391 bytes)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

8893 770K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

0 0 ACCEPT tcp -- * * (redacted IP) 0.0.0.0/0 ctstate NEW tcp dpt:22

0 0 ACCEPT tcp -- * * (redacted IP) 0.0.0.0/0 ctstate NEW tcp dpt:22

0 0 ACCEPT tcp -- * * (redacted IP) 0.0.0.0/0 ctstate NEW tcp dpt:22

0 0 ACCEPT tcp -- * * (redacted IP) 0.0.0.0/0 ctstate NEW tcp dpt:22

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8

63 3840 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW multiport dports 80,443

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:139

0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:445

1 40 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 15/min burst 5 LOG flags 0 level 7 prefix "iptables denied: "

1 40 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1 packets, 65 bytes)

pkts bytes target prot opt in out source destination

7311 19M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

实际相关规则,如果它们在输出之后有任何用途:

-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT

很明显,这不是恶意流量,总的来说.我从几个不同的IP地址浏览了网站,虽然网站加载看似很好,但我的IP也出现在拒绝日志中,没有任何我能辨别的模式,并且浏览器中没有任何用户可见的错误情况.

有什么想法背后可能是什么?

柳编
关注
iptables实践
夏至ゞ的博客
01-14 189
iptables四表五链,数据包流向;iptables命令适用实践。
Linux防火墙之iptables详解
qq_50685659的博客
05-15 6677
防火墙分类 从逻辑上分类 主机防火墙:针对单个主机防护 网络防火墙:出于网络入口或边缘,针对网络入口防护,服务于防火墙背后的本地局域网 从物理上分类 软件防火墙 硬件防火墙 iptables包过滤防火墙 (在用户空间) netfilter(真正意义上防火墙)在内核空间的 内核空间:也叫内核态,操作系统占据的内核区域 用户空间:也叫用户态,用户进程所在的内存区域 iptables四表五链 防火墙是按照规则办事的,我们就来说说规则 (rules) ,规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据
小米1S iptables禁止443端口
weixin_30387339的博客
02-03 235
shell@android:/system/bin # ./iptables -A INPUT -p tcp --dport 443 -j DROP./iptables -A INPUT -p tcp --dport 443 -j DROPshell@android:/system/bin # ./iptables -A OUTPUT -p tcp --sport 443 -j DROP./ip...
Linux通过防火墙iptables禁止指定IP访问服务器
toontong的专栏
03-22 5465
修改vim /etc/sysconfig/iptables #禁止104IP访问80端口服务:-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -s 10.20.135.104 -j DROP #开放所有-A RH-Firewall-1-INPUT -m state --st
修改iptables规则以开放端口访问
最新发布
R1ks0n的博客
07-19 380
这里第一行语句会关闭192.168.10.0/24这个IP段所有设备对本服务器的443端口访问权限,第二行语句是开放192.168.10.211/32对本服务器的443端口访问权限。,是Linux系统下的一个命令行工具,‌用于配置网络数据包的过滤规则。‌它允许用户定义如何处理进入或离开系统的网络数据包,‌包括但不限于允许或拒绝特定的网络连接、‌端口访问等。需要注意,iptables的规则链按顺序生效,即先添加的规则会先被处理,‌如果后续添加的规则与之前的规则冲突,‌则后续规则不会生效。
linux 端口4005,开启iptables防火墙,规则放行了80端口访问80端口失败
weixin_33438788的博客
04-30 450
解决方案使用 service iptables status查看放行的端口并记录使用iptables -F清除防火墙规则,然后输入iptables-save > /etc/sysconfig/iptables保存在然后重启防火墙service iptables restart在试试访问80端口试试,可以了是吧,还没完了,添加之前你记录的放行端口(下面是例子,自己修改)iptables -I...
k8s集群报错:dial tcp 10.96.0.1:443: connect: no route to host
Explore
11-28 1万+
问题表征: kube-system coredns-66bff467f8-6gtp8 0/1 Running 2 29d 100.86.78.200 km1 <none> <none> kube-system coredns-66bff467f8-gf6x4 0/1 Running 2 29d 100
linux 防火墙设置、访问ip限制、iptables命令
frgzs的博客
10-10 5973
ip访问限制 限制所有 iptables -P INPUT DROP; 加白名单 iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT 端口访问限制 限制端口80,https443 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP iptables -A INPUT -s
关于iptables与firewalld的详细总结和配置汇总
echo-DaoKe
03-04 1257
iptables由四个表和五个链以及一些规则组成四个表table:filter、nat、mangle、rawfilter表:过滤规则表,根据预定义的规则过滤符合条件的数据包nat表:network address translation 地址转换规则表mangle:修改数据标记位规则表Raw:关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度优先级由高到低的顺序为:raw--&gt;mang...
Iptables入门
run
08-22 928
IPTABLES入门防火墙是什么?防火墙是通过制定一些有顺序的规则,用来管理进入到特定网络范围内数据封包的一种机制。防火墙从实现方法可以分为硬件防火墙和软件防火墙。硬件防火墙 是由厂商设计好的硬件设备,能够在硬件层面上实现解包封包,但离不开软件的辅助。而软件防火墙 由纯软件逻辑实现。本文所论述的防火墙是由内核空间的 netfilter 来读取,并实现让防火墙工作,而放进的地方必须要是特定的位置,
Linux上的iptables命令
qq_44867764的博客
04-13 377
iptables命令 类型: man iptables iptables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification i...
iptables 开启80端口
落白
05-13 1万+
拿到新的linux服务器,当我们部署好web运行环境和程序时,却发现访问被拒绝,http请求无响应,那么就可能是linux的iptables限制了访问。 你可以确认一下,输入命令service iptables status,查看防火墙工作状态,如果是开启的,输入service iptables stop关闭防火墙,此时在电脑中 上访问程序url,如果能打开网站,则说明问题就是iptables
iptables防火墙
yuansheng730的博客
06-23 336
iptables防火墙 一. iptables简介: iptables是四表伍链 四表: filter表 nat表 raw表 mangle表 伍链: INPUT OUTPUT FORWARD PREROUTING POSTROUTING 每个表的介绍 1) filter表 防火墙: 屏蔽或准许 端口 ip 实现功能: 封IP 端口 禁ping 限制速度和并发 **filter**表 强调:主要和主机自身相关,真正负责主机防火墙功能的(过滤流入流出主机的数据包) filte
记一次K8S网络问题排查过程,kube-proxy的ipvs模式转发失败,修改iptables模式
一个还不成熟、正在努力成长的博客小站。
06-18 6504
两个节点的k8s集群环境,master 和 node在添加calico服务的时候,master节点正常,node节点上的calico的pod一直异常,10.233.64.1:443 timeout,启动不起来。 calico-node服务需要连接Master节点的kube-apiserver服务,由于网络不通导致连接失败,服务也就启动失败,问题转化成K8S网络问题排查。 ......
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4651
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5335
本文介绍Linux的iptables命令的用法。
iptables禁止访问1端口80端口
weixin_35751194的博客
01-17 2083
iptables -A INPUT -p tcp --dport 1 -j DROP iptables -A INPUT -p tcp --dport 80 -j DROP 这是在 Linux 系统上使用 iptables 禁止访问 1 端口80 端口的命令。其中 -A INPUT 表示添加规则到 INPUT 链,-p tcp 表示使用 TCP 协议,--dport 表示目标端口,-j DRO...
iptables阻止服务器被攻击
weixin_33743703的博客
06-13 143
下列规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动:  # iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP  也可以很轻易地阻止所有流向攻击者IP地址的数据包,该命令稍有不同:  # iptables -t filter -A OUTPUT -d 123.456.789.0/24...
配置防火墙,开启80端口、3306端口 & iptables 使用详解
热门推荐
HarryChenj的专栏
11-12 6万+
vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两条规
WebLogic搭建全攻略:端口配置、SSH优化与问题解决
在开启防火墙时,要允许WebLogic相关端口,例如80和22,通过修改`/etc/sysconfig/iptables`文件添加相应规则。 字符集的设定也很重要,特别是对于中文支持。检查系统当前字符集(`echo $LANG`),如需改为zh_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值