Iptables小结

最新推荐文章于 2023-01-31 23:30:00 发布
最新推荐文章于 2023-01-31 23:30:00 发布
阅读量1.9k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: universal tech 文章标签: iptables 防火墙 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/EdisonChang/article/details/52372701
本文介绍了Iptables的基本概念及其在Linux系统中的作用,详细解释了Iptables的工作原理和配置方法。此外,还提供了在Android设备上使用Iptables进行网络访问控制的具体实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载请标明出处:http://blog.youkuaiyun.com/EdisonChang/article/details/52372701

这篇文章是对近期学习Iptables的一些小结,博文参考到一些网络上的资料,包括一些名称定义都是在各类文章中摘抄的,先推荐几篇文章。

iptables规则配置 增加、删除和修改命令
iptables详解
Linux防火墙iptables学习笔记(一)入门要领
Linux防火墙iptables学习笔记(二)参数指令
…..
Linux防火墙iptables学习笔记(五)linux+iptables构筑防火墙实例
Android基于Iptables的app网络访问控制讲解

相信感兴趣的朋友,通过ubuntuer 关于Linux 防火墙Iptables的这几篇文章的介绍,对Iptables也基本了解了。

Iptables是什么?

Iptables可以称为是linux中的防火墙,Iptables的前身叫Ipfirewall (内核1.x时代),到了内核2.x系列,软件更名为Ipchains,可以将规则组成一个列表,实现数据的访问控制功能。

他们都是工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做
netfilter.(网络过滤器)

作者一共在内核空间中选择了5个位置,
1.内核空间中:从一个网络接口进来,到另一个网络接口去的
2.数据包从内核流入用户空间的
3.数据包从用户空间流出的
4.进入/离开本机的外网接口
5.进入/离开本机的内网接口

这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发管卡)
4.OUTPUT(数据包出口)
5.POSTROUTING(路由后)
这是NetFilter规定的五个规则链,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链。

Iptables定义规则的方式
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理

其他的命令参数列表在 Linux防火墙iptables学习笔记(二)参数指令 中有很详细的介绍,感兴趣的朋友可以到文中阅读。

Android 应用中如何使用?
在root过的Android设备上,通过shell,可以创建或者修改Iptables命令链,所以利用Iptables 可以针对不同的app、不同的域名配置不同的网络访问控制策略(允许访问/禁止访问)。

举个栗子,譬如需要限制应用A(包名:com.example.A)访问网络,Iptables规则是通过uid来区分应用,所以首先获取应用A的uid。关于uid我在换肤系列的博文中也提到过,Android系统在安装apk时会为应用分配一个uid,uid在此设备上将唯一且不再变化。但不同设备的uid是不一样的,应用也可以通过在AndroidManifest.xml中通过android:shareUserId字段来和其他应用共享uid,一旦共享了uid即实现应用间的资源共享。

        try {
            PackageManager pm = getPackageManager();
            ApplicationInfo info = pm.getApplicationInfo("com.example.A", PackageManager.GET_ACTIVITIES);
            Log.d("test", "uid" + info.uid);
        } catch (NameNotFoundException e) {
            e.printStackTrace();
        }

接下去就是创建规则并关联到应用A,

String argsOut[], argsIn[];
                        argsOut = new String[]{"-A", "OUTPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        argsIn = new String[]{"-A", "INPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        exec("iptables", argsOut, 5000);
                        exec("iptables", argsIn, 5000);

添加完规则后,可以通过 iptables -L 查看规则是否创建成功。
以下的代码是实现iptables 规则查询,如果发现应用自己被DROP就删除IpTables规则,实现网络诊断恢复。

 private static String exec(String cmd, String args[], int timeOut) {
        try {
            String arg = "";
                if (args != null) {
                    for (String s : args) {
                        arg += " ";
                        arg += s;
                    }
                }
                return CommandOutput(cmd + arg);
        } catch (Throwable e) {
            throw new AndroidRuntimeException("Root service has not run");
        }
    }

    private static String CommandOutput(String cmd) throws Exception {
        Process p = Runtime.getRuntime().exec("su");
        DataOutputStream os = new DataOutputStream(p.getOutputStream());
        InputStream is = p.getInputStream();
        String result = null;
        os.writeBytes(cmd + "\n");
        int readed = 0;
        byte[] buff = new byte[4096];
        int count = 0;
        while (is.available() <= 0 && count < 4) {
            try {
                count++;
                Thread.sleep(2000);
            } catch (Exception ex) {
            }
        }

        while (is.available() > 0) {
            readed = is.read(buff);
            if (readed <= 0) break;
            String seg = new String(buff, 0, readed);
            result = seg;
        }
        os.writeBytes("exit\n");
        os.flush();
        return result;
    }

    public static void execIpTables() {
        PriorityThreadFactory.newThread(TAG, new Runnable() {
            @Override
            public void run() {
                String iptables;
                try {
                    LogUtils.i(TAG, "iptables -L");

                    String args[];
                    args = new String[]{"-L"};
                    iptables = exec("iptables", args, 10000);

                    int rules = 0;
                    int uid = android.os.Process.myUid();
                    rules = getDropRules(uid, iptables);
                    for (int j = 0; j < rules; j++) {
                        String argsOut[], argsIn[];
                        argsOut = new String[]{"-D", "OUTPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        argsIn = new String[]{"-D", "INPUT", "-m", "owner", "--uid-owner", String.valueOf(uid), "-j", "DROP"};
                        exec("iptables", argsOut, 5000);
                        exec("iptables", argsIn, 5000);
                    }

                    String arg2s[];
                    arg2s = new String[]{"--line-numbers", "-L", "OUTPUT"};
                    iptables = exec("iptables", arg2s, 10000);

                    List<Integer> lineNum = getDropRuleLines(uid, iptables);
                    for (int j = 0; j < lineNum.size(); j++) {
                        String argsOut[];
                        argsOut = new String[]{"-D", "OUTPUT", String.valueOf(lineNum.get(j))};
                        exec("iptables", argsOut, 5000);
                    }

                    String arg3s[];
                    arg3s = new String[]{"--line-numbers", "-L", "INPUT"};
                    iptables = exec("iptables", arg3s, 10000);

                    List<Integer> lineNum2 = getDropRuleLines(uid, iptables);
                    for (int j = 0; j < lineNum2.size(); j++) {
                        String argsOut[];
                        argsOut = new String[]{"-D", "INPUT", String.valueOf(lineNum2.get(j))};
                        exec("iptables", argsOut, 5000);
                    }

                } catch (Throwable e) {
                    e.printStackTrace();
                }
            }
        }).start();
    }

    private static int getDropRules(int uid, String iptables) {

        if (TextUtils.isEmpty(iptables)) {
            return 0;
        }

        String[] ipTableArray = iptables.split("\n");
        String uidFormat = String.format("u0_a" + uid % 1000);
        int count = 0;
        for (String ipTable : ipTableArray) {
            if (ipTable.startsWith("DROP") && ipTable.contains(uidFormat)) {
                ++count;
            }
        }
        LogUtils.i(TAG, "getDropRules uid = " + uid + " count = " + count);
        return count;
    }

    private static List<Integer> getDropRuleLines(int uid, String iptables) {

        List<Integer> lineNum = new ArrayList<>();
        if (TextUtils.isEmpty(iptables)) {
            return lineNum;
        }

        String[] ipTableArray = iptables.split("\n");
        String uidFormat = String.format("u0_a" + uid % 1000);
        for (int i = 0; i < ipTableArray.length; i++) {
            if (ipTableArray[i].contains("DROP") && ipTableArray[i].contains(uidFormat)) {
                String[] segment = ipTableArray[i].split(" ");
                try {
                    lineNum.add(Integer.valueOf(segment[0]));
                } catch (NumberFormatException e) {
                    lineNum.add(i);
                }
            }
        }
        LogUtils.i(TAG, "getDropRules uid = " + uid + " count = " + lineNum.size());
        return lineNum;
    }

Iptables是一个非常重要的工具,对其初步了解已经足够体会到它的强大,源码下载。文章就先写到这里,欢迎指正。

Iptables之recent模块小结
weixin_33768481的博客
11-23 2540
  Iptables的recent模块用于限制一段时间内的连接数, 是谨防大量请求攻击的必杀绝技! 善加利用该模块可充分保证服务器安全。 recent常用参数--name      设定列表名称,即设置跟踪数据库的文件名. 默认DEFAULT;--rsource   源地址,此为默认。 只进行数据库中信息的匹配,并不会对已存在的数据做任何变更操作;--rdest       目的地址;--seco...
iptables
xiaogaoxiaoyuan的博客
01-14 1199
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptables详解(1):iptables概念
zhangge3663的博客
09-27 250
防火墙相关概念 此处先描述一些相关概念。 从逻辑上讲。防火墙可以大体分为主机防火墙网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙外(集体),主机防火墙内(个人)。 从物理上讲,防火请可以分为硬件防火墙和软件防火墙。 硬件防火墙...
linux iptable应用手册,LINUX iptable应用手册(六)
weixin_34580939的博客
05-14 175
LINUXiptable应用手册(六)(2008-04-03 13:21:16)标签:iptablelinuxmac位址组态nfmark杂谈第六篇实际的日志讯息会被记录在哪个档案,取决于当时系统的syslog.conf组态是如何设定的。对于iptables的讯息而言,右于它是位于Linux核心的机制,所以.如果你使用- -log-level info选项,你应该寻找kern.=info path...
IPTABLES中文手册
在水一方
10-19 1412
IPTABLES中文手册概述这是一篇以介绍在Linux操作系统平台上构建防火墙系统(Netfilter/Iptables)为主的科技文档,旨在帮助使用者在较短的时间内掌握管理和配置要领,为企业的网络安全提供相关的安全保障。本文是《Linux安全应用——构建以防火墙为核心的安全管理系统》一文的姐妹篇,如果把那篇文章看成是What is it?那么,本文则以技术细节为主,即How to do?关于为什
busybox简介及使用
lwsogood的专栏
12-13 787
 1,busybox简介busybox是一个集成了一百多个最常用linux命令和工具的软件,他甚至还集成了一个http服务器和一个telnet服务器,而所有这一切功能却只有区区1M左右的大小.我们平时用的那些linux命令就好比是分立式的电子元件,而busybox就好比是一个集成电路,把常用的工具和命令集成压缩在一个可执行文件里,功能基本不变,而大小却小很多倍,在嵌入式linux应用中,busyb
嵌入式linux BusyBox tftp使用
07-20
如何在嵌入式单板上使用BusyBox带的简单tftp程序和调试计算机之间进行文件传输
Linux知识点小结
01-10
1 我的Linux需求 这里讨论的是我对线上的Linux机器的需求,所以只讨论稳定发行版,且是比较保守的版本。比如CentOS 7的xfs不予讨论,并不是说xfs不好,而是以目前我的Linux水平需要更新很多xfs的知识,驾驭需要时间...
linux服务器中的远程访问问题小结
01-20
在php程序中运用fopen或者socket的时候,报一下错误: ...将防火墙关闭掉,重启apache就可以了: 【root】#service iptables off 【root】#/et
MySQL数据库管理常用命令小结
12-15
使用`sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT`添加规则,并执行`sudo service iptables save`保存规则。 3. **root用户密码管理**: - **设置密码**:使用`mysqladmin -uroot password 'password'`...
iptables学习
weixin_30363981的博客
01-16 86
droidwall.sh #!/system/bin/sh IPTABLES=iptables BUSYBOX=busybox GREP=grep ECHO=echo # Try to find busybox if /data/data/com.example.my_android_wall/app_bin/busybox_g1 --help >/dev/null 2&g...
iptable中文学习文档
HexBug
09-12 1822
iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用iptables
linux(centos7)常用命令及iptables命令
孟志翔android博客-2020~fight!
06-14 692
管理方面1、passwd 用于修改用户密码、过期时间、认证信息,格式为passwd[选项][用户名],root用户可直接修改他人或自己的密码不用验证原密码。-l 锁定用户,禁止其登录。-u解除锁定,允许用户登录。-e强制用户在下次登录时修改密码。-S显示用户的密码是否被说的,以及密码所采用的加密算法名称。2、cat /etc/redhat-release 查看红帽系统版本号(仅限红帽)3、cat /etc/passwd 查看用户名及uid,gid。例如:yase:x:1000:1000:yase:/home
iptables策略详解
qk的专栏
03-18 1028
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
[实战笔记] 获取应用的pid、uid、packageName、进程名
tahliaL
08-02 8278
目录 pid 1.通过api调用获取:[需要在应用内调用] uid 1. 通过api调用获取:[需要在应用内调用] 2.通过反射调用:Process.getUidForPid(int pid); 进程名(/包名) 1. 通过api调用获取:Application.getProcessName(); [需要在应用内调用] 2.通过反射调用:ActivityThread.currentProcessName(); [需要在应用内调用] 3. 通过AMS获取 4.根据pid通过反射调用:P..
iptables 在 Android 抓包中的妙用
有价值炮灰
01-31 1394
本文主要介绍了 iptables 规则的配置方法,并且实现了一种在 Android 中全局 HTTP(S) 抓包的方案,同时借助owner拓展实现应用维度的进一步过滤,从而避免手机中其他应用的干扰。相比于传统的 HTTP 代理抓包方案,该方法的优势是可以实现全局抓包,应用无法通过禁用代理等方法绕过;
Android iptables命令详解
Jimmy的专栏
07-25 3034
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则Iptables有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。......
韩顺平教授的Linux完整课件:基础与小结
在探讨韩顺平Linux PPT的相关知识点之前,需要明确Linux是一种广泛使用的开源操作...此外,为了适应一周内学习的节奏,PPT中可能还会包含学习进度提示、每日小结和重点复习内容,以帮助学员有效组织和管理学习内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值