Iptables小结

最新推荐文章于 2024-05-14 16:23:43 发布
原创 最新推荐文章于 2024-05-14 16:23:43 发布 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables #防火墙 #网络 #linux

本文介绍了Iptables的基本概念及其在Linux系统中的作用,详细解释了Iptables的工作原理和配置方法。此外,还提供了在Android设备上使用Iptables进行网络访问控制的具体实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载请标明出处:http://blog.youkuaiyun.com/EdisonChang/article/details/52372701

这篇文章是对近期学习Iptables的一些小结,博文参考到一些网络上的资料,包括一些名称定义都是在各类文章中摘抄的,先推荐几篇文章。

iptables规则配置 增加、删除和修改命令
iptables详解
Linux防火墙iptables学习笔记(一)入门要领
Linux防火墙iptables学习笔记(二)参数指令
…..
Linux防火墙iptables学习笔记(五)linux+iptables构筑防火墙实例
Android基于Iptables的app网络访问控制讲解

相信感兴趣的朋友,通过ubuntuer 关于Linux 防火墙Iptables的这几篇文章的介绍,对Iptables也基本了解了。

Iptables是什么?

Iptables可以称为是linux中的防火墙,Iptables的前身叫Ipfirewall (内核1.x时代),到了内核2.x系列,软件更名为Ipchains,可以将规则组成一个列表,实现数据的访问控制功能。

他们都是工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做
netfilter.(网络过滤器)

作者一共在内核空间中选择了5个位置,
1.内核空间中:从一个网络接口进来,到另一个网络接口去的
2.数据包从内核流入用户空间的
3.数据包从用户空间流出的
4.进入/离开本机的外网接口
5.进入/离开本机的内网接口

这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发管卡)
4.OUTPUT(数据包出口)
5.POSTROUTING(路由后)
这是NetFilter规定的五个规则链,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链。

Iptables定义规则的方式
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理

其他的命令参数列表在 Linux防火墙iptables学习笔记(二)参数指令 中有很详细的介绍,感兴趣的朋友可以到文中阅读。

Android 应用中如何使用?
在root过的Android设备上,通过shell,可以创建或者修改Iptables命令链,所以利用Iptables 可以针对不同的app、不同的域名配置不同的网络访问控制策略(允许访问/禁止访问)。

举个栗子,譬如需要限制应用A(包名:com.example.A)访问网络,Iptables规则是通过uid来区分应用,所以首先获取应用A的uid。关于uid我在换肤系列的博文中也提到过,Android系统在安装apk时会为应用分配一个uid,uid在此设备上将唯一且不再变化。但不同设备的uid是不一样的,应用也可以通过在AndroidManifest.xml中通过android:shareUserId字段来和其他应用共享uid,一旦共享了uid即实现应用间的资源共享。

        try {
            PackageManager pm = getPackageManager();
            ApplicationInfo info = pm.getApplicationInfo("com.example.A", PackageManager.GET_ACTIVITIES);
            Log.d("test", "uid" + info.uid);
        } catch (NameNotFoundException e) {
            e.printStackTrace();
        }

接下去就是创建规则并关联到应用A,

String argsOut[], argsIn[];
                        argsOut = new String[]{"-A", "OUTPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        argsIn = new String[]{"-A", "INPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        exec("iptables", argsOut, 5000);
                        exec("iptables", argsIn, 5000);

添加完规则后,可以通过 iptables -L 查看规则是否创建成功。
以下的代码是实现iptables 规则查询,如果发现应用自己被DROP就删除IpTables规则,实现网络诊断恢复。

 private static String exec(String cmd, String args[], int timeOut) {
        try {
            String arg = "";
                if (args != null) {
                    for (String s : args) {
                        arg += " ";
                        arg += s;
                    }
                }
                return CommandOutput(cmd + arg);
        } catch (Throwable e) {
            throw new AndroidRuntimeException("Root service has not run");
        }
    }

    private static String CommandOutput(String cmd) throws Exception {
        Process p = Runtime.getRuntime().exec("su");
        DataOutputStream os = new DataOutputStream(p.getOutputStream());
        InputStream is = p.getInputStream();
        String result = null;
        os.writeBytes(cmd + "\n");
        int readed = 0;
        byte[] buff = new byte[4096];
        int count = 0;
        while (is.available() <= 0 && count < 4) {
            try {
                count++;
                Thread.sleep(2000);
            } catch (Exception ex) {
            }
        }

        while (is.available() > 0) {
            readed = is.read(buff);
            if (readed <= 0) break;
            String seg = new String(buff, 0, readed);
            result = seg;
        }
        os.writeBytes("exit\n");
        os.flush();
        return result;
    }

    public static void execIpTables() {
        PriorityThreadFactory.newThread(TAG, new Runnable() {
            @Override
            public void run() {
                String iptables;
                try {
                    LogUtils.i(TAG, "iptables -L");

                    String args[];
                    args = new String[]{"-L"};
                    iptables = exec("iptables", args, 10000);

                    int rules = 0;
                    int uid = android.os.Process.myUid();
                    rules = getDropRules(uid, iptables);
                    for (int j = 0; j < rules; j++) {
                        String argsOut[], argsIn[];
                        argsOut = new String[]{"-D", "OUTPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        argsIn = new String[]{"-D", "INPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        exec("iptables", argsOut, 5000);
                        exec("iptables", argsIn, 5000);
                    }

                    String arg2s[];
                    arg2s = new String[]{"--line-numbers", "-L", "OUTPUT"};
                    iptables = exec("iptables", arg2s, 10000);

                    List<Integer> lineNum = getDropRuleLines(uid, iptables);
                    for (int j = 0; j < lineNum.size(); j++) {
                        String argsOut[];
                        argsOut = new String[]{"-D", "OUTPUT", String.valueOf(lineNum.get(j))};
                        exec("iptables", argsOut, 5000);
                    }

                    String arg3s[];
                    arg3s = new String[]{"--line-numbers", "-L", "INPUT"};
                    iptables = exec("iptables", arg3s, 10000);

                    List<Integer> lineNum2 = getDropRuleLines(uid, iptables);
                    for (int j = 0; j < lineNum2.size(); j++) {
                        String argsOut[];
                        argsOut = new String[]{"-D", "INPUT", String.valueOf(lineNum2.get(j))};
                        exec("iptables", argsOut, 5000);
                    }

                } catch (Throwable e) {
                    e.printStackTrace();
                }
            }
        }).start();
    }

    private static int getDropRules(int uid, String iptables) {

        if (TextUtils.isEmpty(iptables)) {
            return 0;
        }

        String[] ipTableArray = iptables.split("\n");
        String uidFormat = String.format("u0_a" + uid % 1000);
        int count = 0;
        for (String ipTable : ipTableArray) {
            if (ipTable.startsWith("DROP") && ipTable.contains(uidFormat)) {
                ++count;
            }
        }
        LogUtils.i(TAG, "getDropRules uid = " + uid + " count = " + count);
        return count;
    }

    private static List<Integer> getDropRuleLines(int uid, String iptables) {

        List<Integer> lineNum = new ArrayList<>();
        if (TextUtils.isEmpty(iptables)) {
            return lineNum;
        }

        String[] ipTableArray = iptables.split("\n");
        String uidFormat = String.format("u0_a" + uid % 1000);
        for (int i = 0; i < ipTableArray.length; i++) {
            if (ipTableArray[i].contains("DROP") && ipTableArray[i].contains(uidFormat)) {
                String[] segment = ipTableArray[i].split(" ");
                try {
                    lineNum.add(Integer.valueOf(segment[0]));
                } catch (NumberFormatException e) {
                    lineNum.add(i);
                }
            }
        }
        LogUtils.i(TAG, "getDropRules uid = " + uid + " count = " + lineNum.size());
        return lineNum;
    }

Iptables是一个非常重要的工具,对其初步了解已经足够体会到它的强大,源码下载。文章就先写到这里,欢迎指正。

Iptables之recent模块小结
weixin_33768481的博客
11-23 2535
  Iptables的recent模块用于限制一段时间内的连接数, 是谨防大量请求攻击的必杀绝技! 善加利用该模块可充分保证服务器安全。 recent常用参数--name      设定列表名称,即设置跟踪数据库的文件名. 默认DEFAULT;--rsource   源地址,此为默认。 只进行数据库中信息的匹配,并不会对已存在的数据做任何变更操作;--rdest       目的地址;--seco...
iptables
xiaogaoxiaoyuan的博客
01-14 1195
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
嵌入式linux BusyBox tftp使用
07-20
如何在嵌入式单板上使用BusyBox带的简单tftp程序和调试计算机之间进行文件传输
iptables详解(1):iptables概念
zhangge3663的博客
09-27 249
防火墙相关概念 此处先描述一些相关概念。 从逻辑上讲。防火墙可以大体分为主机防火墙网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙外(集体),主机防火墙内(个人)。 从物理上讲,防火请可以分为硬件防火墙和软件防火墙。 硬件防火墙...
linux iptable应用手册,LINUX iptable应用手册(六)
weixin_34580939的博客
05-14 174
LINUXiptable应用手册(六)(2008-04-03 13:21:16)标签:iptablelinuxmac位址组态nfmark杂谈第六篇实际的日志讯息会被记录在哪个档案,取决于当时系统的syslog.conf组态是如何设定的。对于iptables的讯息而言,右于它是位于Linux核心的机制,所以.如果你使用- -log-level info选项,你应该寻找kern.=info path...
IPTABLES中文手册
在水一方
10-19 1411
IPTABLES中文手册概述这是一篇以介绍在Linux操作系统平台上构建防火墙系统(Netfilter/Iptables)为主的科技文档,旨在帮助使用者在较短的时间内掌握管理和配置要领,为企业的网络安全提供相关的安全保障。本文是《Linux安全应用——构建以防火墙为核心的安全管理系统》一文的姐妹篇,如果把那篇文章看成是What is it?那么,本文则以技术细节为主,即How to do?关于为什
busybox简介及使用
lwsogood的专栏
12-13 783
 1,busybox简介busybox是一个集成了一百多个最常用linux命令和工具的软件,他甚至还集成了一个http服务器和一个telnet服务器,而所有这一切功能却只有区区1M左右的大小.我们平时用的那些linux命令就好比是分立式的电子元件,而busybox就好比是一个集成电路,把常用的工具和命令集成压缩在一个可执行文件里,功能基本不变,而大小却小很多倍,在嵌入式linux应用中,busyb
Linux知识点小结
01-10
1 我的Linux需求 这里讨论的是我对线上的Linux机器的需求,所以只讨论稳定发行版,且是比较保守的版本。比如CentOS 7的xfs不予讨论,并不是说xfs不好,而是以目前我的Linux水平需要更新很多xfs的知识,驾驭需要时间...
linux服务器中的远程访问问题小结
01-20
在php程序中运用fopen或者socket的时候,报一下错误: ...将防火墙关闭掉,重启apache就可以了: 【root】#service iptables off 【root】#/et
MySQL数据库管理常用命令小结
12-15
使用`sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT`添加规则,并执行`sudo service iptables save`保存规则。 3. **root用户密码管理**: - **设置密码**:使用`mysqladmin -uroot password 'password'`...
iptables配置
11-19
iptables配置
iptables学习
weixin_30363981的博客
01-16 81
droidwall.sh #!/system/bin/sh IPTABLES=iptables BUSYBOX=busybox GREP=grep ECHO=echo # Try to find busybox if /data/data/com.example.my_android_wall/app_bin/busybox_g1 --help >/dev/null 2&g...
iptables策略详解
qk的专栏
03-18 1024
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
linux限制ip访问工具,Linux下通过iptables配置工具限制ip访问服务器
weixin_30871695的博客
05-09 950
参数 -m owner --uid-owner范例 iptables -A OUTPUT -m owner --uid-owner 500说明用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。参数 -m owner --gid-owner范例 iptables -A O...
iptables常用命令、比对、处理动作
vestinfo的专栏
09-03 1277
常用指令: 命令 -A, --append范例 iptables -A INPUT ...说明 新增规则到某个规则链中,该规则将会成为规则链中的最后一条规则。命令 -D, --delete范例 iptables -D INPUT --dport 80 -j DROPiptables -D INPUT 1说明 从某个规则链中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。命令 -R,
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables防火墙详解
虎哥LoveDroid
02-16 2095
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux 防火墙通常包含两部分,分别为 iptables 和 netfilter。iptablesLinux 管理防火墙规则的命令行工具,处于用户空间。
Android Iptables 客制化方法及基本使用
最新发布
刘之帅
05-14 1574
Iptables 的基本使用,以及 Android 客制化方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值