iptables学习笔记3-扩展模块

最新推荐文章于 2024-08-21 22:53:43 发布
原创 最新推荐文章于 2024-08-21 22:53:43 发布 · 606 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #iptables #网络

本文深入解析iptables中的扩展模块,如tcp、multiport和connlimit,详细介绍如何使用这些模块实现端口匹配、连续IP地址范围匹配及连接数限制等功能。

背景

在前面的 iptables 命令中,我们有使用到 -s 来匹配源地址,而且在指定 IP 地址时,可以指定多个地址或者一个网段,这可以用于明确源地址的情况下使用。但是当我们有其它需求,比如指定一个连续的 IP 地址范围指定多个端口对每个客户端进行连接数限制对每个客户端进行速度限制 等等,这些需求就会使用到 iptables 的扩展模块了。其实可以把扩展模块看成插件的概念,iptables 中使用 -m 选项指定扩模块。

常用扩展模块

  • tcp :端口匹配,可以匹配 tcp 连接中的标志位
  • multiport :指定多个非连续端口,支持 tcpudp 协议
  • iprange :连续 IP 地址范围
  • string :匹配数据包中的字符串
  • time :根据指定时间范围来进行匹配
  • connlimit :客户端到服务端的连接数限制
  • limit :限制报文的速率
  • udpudp 协议扩展
  • icmpicmp 协议扩展,多用于 ping 命令
  • state :对连接状态进行追踪

举例

上面简单介绍了一些常用的扩展模块,下面选取几个典型的模块来详细介绍(其它的模块可以参考这篇文章)。

tcp模块
iptables -t filter -I INPUT -p tcp -m tcp --dport 3306 -s 172.16.0.0/16 -j ACCEPT
iptables -t filter -A INPUT -p tcp -m tcp --dport 3306 -j DROP
  • -m :指定扩展模块
  • --dport :指定目的端口。端口格式可以为 80:3306 (表示80端口到3306端口)、 10050:(表示10050端口到65535带你看)

在插入 DROP 动作的时候千万要注意,一定用 -A 追加插入,如果用 -I,会把自己也挡在外面的

这里使用的 mysql 3306 端口做测试,插入上面2条规则之后,就只有 172.16.0.0/16 网段才能访问本机的mysql 服务了。
在这里插入图片描述

multiport模块
iptables -t filter -I INPUT -p tcp -m multiport --dports 3306,10050,10051,22 -s 172.16.0.0/16 -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --dports 3306,10050,10051,22 -j DROP
  • -m :指定扩展模块
  • --dports :指定端口。可以为非连续,用逗号分割

这里对 3306,10050,10051,22 端口做了限制,只允许 172.16.0.0/16 网段的地址访问。

在这里插入图片描述

这里 iptables 会把端口对应的服务名显示出来

connlimit模块
iptables -t filter -I INPUT -p tcp --dport 3306 -m connlimit --connlimit-above 100 -j REJECT
  • -m :指定模块
  • --connlimit-above :指定连接数量上限,这里为 100
  • --connlimit-mask :指定同一个网段的连接数上限,可以和 --connlimit-above 一起使用

对连接 3306 的每个客户端限制连接数上限为 100 ,如果超过 100 ,则拒绝连接
在这里插入图片描述

小结

我们例举了3个模块的使用方法,分别是:

  • tcptcp 扩展模块。--dport 指定目的端口; --sport 指定源端口
  • multiport :端口扩展模块。--dports 指定目的端口,可以多个不连续; --sports 指定源端口,可以多个不连续
  • connlimit :连接数限制模块。--connlimit-above 指定上限;--connlimit-mask 指定网段连接数上限
iptables笔记汇总
Python Golang
08-28 1239
一旦数据包满足了指定的匹配条件,数据包就会被ACCEPT,并且不会再去匹配当前链中的其他的规则或同一个表内的其他规则,但数据仍然需要通过其他表中的链。使用ping命令来检查对方主机是否在线,而向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。我把这种默认允许的叫做“黑名单模式”,有黑名单自然就有白名单模式,白名单模式,默认把INPUT链更改为DROP拒绝通过。向INPUT链中添加允许指定ip或者网段的22端口流量进入的策略规则。
python学习笔记6---数据解析
qq_32482091的博客
03-08 7086
xpath简介 xpath(XML Path Language)是一门在XML和HTML中查找信息的语言。 Xpath开发工具 1.Chrome插件Xpath Helper 点击浏览器右边三点—更多工具—扩展程序—chrome网上商店搜索该插件(需要翻墙,可能一次不能成功添加,多尝试即可) 2.Firefox插件Try Xpath 点击浏览器右边三横—附加组件—搜索插件—添加 Xpath语法 谓...
Linux里的防火墙(下):iptables扩展模块——l7-filter的安装与功能实现
shinfocom
08-21 501
如果在公司里做网络管理员,老板可能会让你屏蔽掉qq和xunlei,那么如果通过iptables来实现这些功能? 首先,要知道qq和xunlei都是特定的服务,它们在传送数据的时候,必然会由一些特征值在数据中,那么我们的iptables如果想要拦截这些数据,就需要知道它们的数据特征值。而l7-filter就是为了这个目的而存在。(当然,不止qq和xunlei,很多协议它都支持) iptabl...
iptables添加模块
Marking的专栏
11-23 3353
[转贴]这个文档很简单,只有“准备工作”和“安装步骤”两部分,在这里我要特别感谢ChinaUnix的“gouya”和“lyxmoo”,他们给了我很大帮助,也谢谢在此期间关心帮助过我的朋友们。准备工作需要一个内核源码,下载最新内核源码包或者使用系统自带的RPM包均可需要一个最新的patch-o-matic-ng,可以到官方网站下载最新的快照http://ftp.netfilter.org/pub/p
Linux防火墙】iptables基础用法及高级用法
L李钟意的博客
06-23 2358
其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。
iptables深入解析-应用层插件篇
icquu的博客
09-07 369
对于常规的iptables match或者target扩展肯定不能满足我们的需要,并且默认iptables也只识别到五元组,在深入识别已经很吃力了.显然在实际的需求面前,我们不会止步于此.下面就讲讲iptables功能扩展的插件,支持Layer7. 在Linux的防火墙体系Netfilter下有一个独立的模块L7 filter 。从字面上看Netfilter是对网络...
(十三)洞悉linux下的Netfilter&iptables:为防火墙增添功能模块【实战】
hanyingzhong的专栏
03-29 1149
(十三)洞悉linux下的Netfilter&iptables:为防火墙增添功能模块【实战】 2012-05-28 18:37:17 分类: LINUX 为netfilter/iptables增添新功能模块:ipp2p     一个防火墙功能模块包含两部分:内核空间的ko模块和用户空间的so模块。如下:     而且文件的命令都非常有讲究。例如我们有个模块名叫AAA,那
OpenStack学习笔记之六:Neutron网络操作
大龄IT民工
05-30 1791
flat:扁平网络,和VLAN相比,没有VLAN tag,类似于用hub将所有的设备连接,没有逻辑隔离宿主机中添加一张物理网卡修改网卡配置,创建OVS交换机所有的宿主机都需要添加相同的OVS创建云主机后,宿主机会为这个主机创建以下网卡,对应1.5节的第一张图。
《Cloud Native Data Center Networking》(云原生数据中心网络设计)读书笔记 -- 06容器网络
最新发布
梆子井欢喜坨的博客
08-21 1034
本章将回答以下问题。
OpenStack学习笔记之五:Neutron介绍
大龄IT民工
05-30 2309
OpenStack网络服务提供了一个API接口,允许用户在云上设置和定义网络连接和地址。这个网络服务的项目代码名称是Neutron。OpenStack网络处理虚拟设备的创建和管理网络基础设施,包括网络、交换机、子网以及由计算服务(nova)管理的设备路由器。高级服务,如防火墙或虚拟私人网络(VPN)。OpenStack网络由neutron-server,持久化存储数据库,和任意数量的插件代理组成,这些代理提供其他服务,如与本地linux联网接口机制、外部设备或SDN控制器。
3.iptables 扩展模块
Csdn129341的博客
02-04 295
--tcp-flags 用于匹配报文的tcp头的标志位 iptables-tfilter-IINPUT -ptcp-mtcp--dport22 --tcp-flags SYN,ACK,FIN,RST,URG,PSHSYN-jREJECT iptables-tfilter-IOUTPUT-ptcp-mtcp--sport...
Linux-------iptables防火墙管理工具
Z_Grant的博客
07-26 1062
文章目录一,基础概念1.1防火墙的一些名词解释(针对iptables)1.2防火墙管理工具1.3 防火墙工作流程1.4 iptables防火墙构成1.5 iptables中基本的参数 一,基础概念 1.1防火墙的一些名词解释(针对iptables) 相较于内网,外部公网环境更加恶劣,罪恶丛生。在公网与内网之间充当保护屏障的防火墙,虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流...
iptables防火墙
2301_82109773的博客
05-22 1244
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。iptables防火墙 是Linux系统防火墙的一种 CentOS7以前的默认防火墙。
iptables模块以及实操
felix的博客
12-28 470
iptables模块 拓展iptables的功能的。 -m : 指定模块 1、连续匹配多个端口(multiport) --dports : 指定多个端口(不同端口之间以逗号分割,连续的端口使用冒号分割)。 2、指定一段连续的ip地址范围(iprange) --src-range from[-to]: 源地址范围 --dst-range from[-to] 目标地址范...
Linux防火墙之iptables常用扩展匹配条件(一)
终极冥帝
02-08 610
  上一篇博文讲了iptables的基本匹配条件和隐式匹配条件,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/12269717.html;今天在来说说iptabels的一些常用的显示扩展匹配条件,何谓显示扩展匹配条件呢?显示扩展匹配条件就是我们需要用到一些扩展的模块,用-m选项去指定动态加载它。要用iptabels的扩展匹配条件的前提是,我们的系统...
Linux------iptables防火墙常用命令
weixin_48190875的博客
08-26 1673
iptables的表、链结构 规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 默认包括5种规则链 INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING链: 在进行路由选择后处理数据包 PREROUTING链:在进行路由选择前处理数据包 规则表 表的作用:容纳各种规则链 表的划分依据:防火墙规则的作用相似 默认包括4个规则表 raw表:确定是否对该数据包进行状
iptables(四)iptables匹配条件总结之一
aa43795381的博客
01-25 361
经过前文的总结,我们已经能够熟练的管理规则了,但是我们使用过的"匹配条件"少得可怜,之前的示例中,我们只使用过一种匹配条件,就是将"源地址"作为匹配条件。 那么这篇文章中,我们就来了解一下更多的匹配条件,以及匹配条件的更多用法。 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中。 ...
iptables基础(一)
weixin_33946020的博客
04-05 467
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
iptables详解(4):iptables匹配条件总结之一
servepeople的博客
02-22 563
经过前文的总结,我们已经能够熟练的管理规则了,但是我们使用过的"匹配条件"少得可怜,之前的示例中,我们只使用过一种匹配条件,就是将"源地址"作为匹配条件。 那么这篇文章中,我们就来了解一下更多的匹配条件,以及匹配条件的更多用法。 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中。 匹配条件的更多用法 还是从...
大数据与运维学习笔记:Phoenix、Spark、Greenplum实战
“mynotes:平时的笔记”这一资料集合是一个综合性较强的技术学习笔记库,涵盖了大数据技术栈、系统运维、开发工具以及相关框架的基础知识整理。从标题和描述可以看出,这份笔记是作者在长期学习与实践中积累下来的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值