iptables的tcp扩展模块,multiport扩展模块

最新推荐文章于 2025-03-30 22:46:44 发布
最新推荐文章于 2025-03-30 22:46:44 发布
阅读量6.8k 收藏 5
点赞数 3
分类专栏: # linux
本文详细介绍如何在iptables中使用TCP扩展模块的--dport选项,精确匹配并控制目标端口为特定数值的网络流量,如拒绝SSH默认端口22的外来连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注意,与之前的选项不同,--dport前有两条"横杠",而且,使用--dport选项时,必须事先指定了使用哪种协议,即必须先使用-p选项,示例如下

上图中,我们就使用了扩展匹配条件--dport,指定了匹配报文的目标端口,如果外来报文的目标端口为本机的22号端口(ssh默认端口),则拒绝之。

而在使用--dport之前,我们使用-m选项,指定了对应的扩展模块为tcp,也就是说,如果想要使用--dport这个扩展匹配条件,则必须依靠某个扩折模块完成,上例中,这个扩展模块就是tcp扩展模块,最终,我们使用的是tcp扩展模块中的dport扩展匹配条件。 

扩展匹配条件被使用时,则需要依赖一些扩展模块,或者说,在使用扩展匹配条件之前,需要指定相应的扩展模块才行。

-m tcp表示使用tcp扩展模块,--dport表示tcp扩展模块中的一个扩展匹配条件,可用于匹配报文的目标端口。

注意,-p tcp与 -m tcp并不冲突,-p用于匹配报文的协议,-m 用于指定扩展模块的名称,正好,这个扩展模块也叫tcp。 

 

 

 

 

 

 

iptables扩展模块
qq_37369726的博客
03-18 1054
扩展模块一:multiport 作用:可以指定多个离散的源端口或者目标端口,也可以指定连续的端口 //离散的 iptables -I INPUT -s 192.168.247.170 -p tcp -m multiport --dports 22,36,80 -j DROP 80到88端口,这个功能tcp模块也能实现连续的 iptables -A INPUT -s 192.168.247.170...
iptables模块以及实操
felix的博客
12-28 425
iptables模块 拓展iptables的功能的。 -m : 指定模块 1、连续匹配多个端口(multiport) --dports : 指定多个端口(不同端口之间以逗号分割,连续的端口使用冒号分割)。 2、指定一段连续的ip地址范围(iprange) --src-range from[-to]: 源地址范围 --dst-range from[-to] 目标地址范...
IPtables 扩展模块 Multiport/IPRange
小楼一夜听春雨,深巷明朝卖杏花
09-06 2332
扩展匹配是实现更加高级的功能,扩展模块,这些模块在在IP tables中非常的多,之前--deport只能添加一个端口,或者说是一个连续的端口,mutiport可以添加不连续的端口。示例∶10.0.0.10 访问本机 20、21、80、443允许通过;示例: 允许10.0.0.10访问本机的20-22、21、80、443。-p不属于扩展模块的动作,所以不能放里面。之前是基本的匹配,现在可以看看扩展匹配。
iptables学习记录
最新发布
weixin_47830774的博客
03-30 384
即 Network Address Translation(网络地址转换)表,负责处理数据包中的地址转换,如源地址转换(SNAT)和目标地址转换(DNAT)。比如局域网内的网关服务器转发数据包到互联网时,就会用到此链规则。在数据包完成路由决策,即将离开本机时进行处理,常用于源地址转换(SNAT),如将局域网内不同 IP 转换为统一的公网 IP 发出。在数据包进入路由决策之前进行处理,当外部数据包进入本机时,首先会经过此链。处理本机发出的数据包,可在此设置规则控制本机发出的数据包的走向等。
iptables匹配multiport
redwingz的博客
04-17 4959
multiport匹配帮助信息如下。multiport有三个选项。其中,–source-port(简写–sports)用于指定源端口,多个源端口使用逗号分隔,当指定源端口范围时,使用分号表示区间(port:port)。 选项–destination-ports(简写为–dports)用于指定目的端口。选项–ports可匹配源或者目的端口multiport仅支持带有端口号的协议,如tcp,udp,udplite,dccp和sctp。 # iptables -m multiport -h multipor
iptables中的 -m tcp的意思
wsclinux的专栏
11-12 4491
-m tcp:是要装载 tcp模块 -p tcp:使用tcp的协议
iptables扩展
weixin_54246834的博客
03-21 638
iptables扩展匹配条件之’–tcp-flags’ 见名知义,”–tcp-flags”指的就是tcp头中的标志位,看来,在使用iptables时,我们可以通过此扩展匹配条件,去匹配tcp报文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。 既然说到了tcp头中的标志位,那么我们就来回顾一下tcp头的结构,如下图所示。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j3t9T1yk-1647876291917)(C:\Users\72983\Desktop\04
软件防火墙之iptables扩展模块
qq_38419276的博客
05-09 602
扩展模块的使用帮助: CentOS 7,8: man iptables-extensions CentOS 6: man iptables iptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块扩展机制,不需要手动加 载扩展模块 tcp 协议的扩展选项 [!] --source-port, --sport port[:port]:匹配报文源端口,可为端口连续范围 [!] --destination-port,--dport port[:port]:匹配报文目标端口,可为连续范围
Linux之iptables防火墙
weixin_67565536的博客
05-31 1426
引言:Linux系统中的防火墙--netfilter和,包括防火墙的结构和匹配流程,以及如何编写防火墙的规则。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用 iptables防火墙概述 Linux系统的防火墙: IP信息包过滤系统,它实际上由两个组件etfilnter和iptables组成。 主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙) netfilter/iptables:IP
iptables防火墙
weixin_44439515的博客
05-11 678
iptables防火墙 防火墙分类:硬件防火强(要钱的,获取那g bin)并且和我们没关系)。软件防火墙:iptables http:// blog.csdn.net/sdytlm/article/details/6544913 规则链: 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 INPUT:处理入站数据包 OUTPUT:处理出战数据...
iptables拓展模块——tcp-flags限制nmap
Serendipity
01-12 1396
3.iptables 扩展模块
Csdn129341的博客
02-04 269
--tcp-flags 用于匹配报文的tcp头的标志位 iptables-tfilter-IINPUT -ptcp-mtcp--dport22 --tcp-flags SYN,ACK,FIN,RST,URG,PSHSYN-jREJECT iptables-tfilter-IOUTPUT-ptcp-mtcp--sport...
iptables(6)扩展匹配条件--tcp-flags、icmp
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1027
--tcp-flags”指的就是tcp头中的标志位,在使用iptables时,我们可以通过此扩展匹配条件,去匹配tcp报文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。那我们来看下tcp的报头结构标志符(9比特长)ECN显式拥塞通知(Explicit Congestion Notification)是对TCP扩展,定义于 RFC 3540 (2003)。ECN允许拥塞控制的端对端通知而避免丢包。ECN为一项可选功能,如果底层网络设施支持,则可能被启用ECN的两个端点使用。
iptables 内置模块使用
liuhehe的博客
12-30 460
           
Iptables防火墙multiport模块扩展匹配规则
江晓龙的博客
07-08 1705
在前面做端口匹配的时候都是通过参数来指定一个端口或者连续的一组端口,如果我们想同时对多个不连续的端口添加防火墙规则,那么参数就无法实现了。基于这种情况,防火墙提供了参数指定扩展模块,通过参数就可以同时指定多个不连续的端口号,一条防火墙规则最大支持同时添加15个不同的端口号。1)编写防火墙规则在INPUT链的filter表中添加对应的规则。 2)查看添加的规则允许192.168.20.21主机访问本机的20,21,22,80,443端口,其余所有主机都不允许访问本机的20,21,80,443端口。 3)测试效
iptable
weixin_48236860的博客
06-27 2629
表中包含链。如果报文需要转发,那么报文则不会经过input链发往用户空间,而是直接在内核空间中经过forward链和postrouting链转发出去的。 通过服务器上的每个数据包,都会依次经过三个不同的机制,首先是PREROUTING(DNAT),再到路由表,最后到POSTROUTING(SNAT),如下图所示 知识总结12:iptables三表五链详解及面试题_eternals fiere的博客-CSDN博客............
关于iptables -m选项以及规则的理解
weixin_34268843的博客
11-21 1881
关于iptables的详细状态可以查看http://os.51cto.com/art/201108/285209.htm 时常在服务器的防火墙上看到有这些规则, 2 106K 8294K ACCEPT all --0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED,我觉得有必要搞下这个iptables了 下面就来...
防火墙——iptables防火墙(四表五链、防火墙配置方法、匹配规则详解)
weixin_69543697的博客
07-18 2734
iptables四表五链
08-linux网络管理-iptables扩展模块
架构+开发+运维
01-30 1146
1. 概述 2. icmp 模块 2.1 示例(禁止本机ping其它主机) 2.2 示例(其他主机ping本机) 2.3 --icmp-type 说明 3. iprange模块 4. multiport 模块 5. state 模块 6. limit模块 7. connlimit 7.1 语法 7.2 完整示例( 限同一IP最大连接数为2) 8. time模块 9. comment模块 10. mark模块
iptables怎么用扩展模块xt_TRACE
08-07
iptables使用扩展模块xt_TRACE主要涉及规则的匹配和目标设置。xt_TRACE主要用于记录网络流量信息,例如IP地址、端口、数据包大小等。下面是如何在iptables规则中应用xt_TRACE的一个基本示例: 1. 首先,你需要安装xt_TRACE模块。如果你使用的是基于iptables的firewalld,它通常已经包含了这个模块。如果没有,可以通过`yum install firewalld`(对于Fedora/CentOS)或`apt-get install ufw`(对于Debian/Ubuntu)来安装。 2. 定义规则时,在`-j`选项后面指定xt_TRACE作为目标。例如,如果你想追踪所有从192.168.1.0/24网段发出的数据包,你可以这样写: ```bash sudo iptables -A INPUT -s 192.168.1.0/24 -j XT_TRACE:trace_name,log_level=7 ``` 这里的`XT_TRACE:trace_name`是你自定义的跟踪名称,`log_level=7`表示记录详细信息。你可以调整`log_level`参数来改变记录的详细程度,范围通常是1到7,其中1记录最少信息,7记录最多信息。 3. 启动并启用跟踪规则。在配置文件(`/etc/sysconfig/iptables` 或 `/etc/firewalld/zones/public/ipv4/rules.d`)中保存更改后,执行`sudo service iptables save` 或 `sudo firewall-cmd --reload`来应用新规则。 请注意,实际操作可能因Linux发行版和个人防火墙配置的不同而有所差异。在某些情况下,你可能还需要在内核中加载xt_TRACE模块,或者通过编译kernel使其支持该模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值