iptables对请求的URL作IP访问控制

最新推荐文章于 2024-05-12 21:06:52 发布
转载 最新推荐文章于 2024-05-12 21:06:52 发布 · 3.7k 阅读 · 3

本文介绍如何使用iptables进行路径级别的访问控制,通过示例展示如何仅允许特定IP访问指定路径,同时提供iptables命令参数解释,并给出针对视频网站的有效屏蔽方法。

服务器运行环境是Tomcat,现在要实现的目的是,只允许特定的IP访问某个目录,

一种方法是在tomcat配置文件server.conf中,使用RemoteAddrValve对虚拟主机做访问控制。

另外一种方法可以通过iptables规则。个人比较喜欢iptables

例如:禁止访问http://192.168.137.254:10000/managersns 这个路径,只允许192.168.137.101访问

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -s 192.168.137.101 -m string --string "/managersns" --algo bm -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -m string --string "/managersns" --algo bm -j DROP

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -s 192.168.137.101 -m string --string "/managersns" --algo bm -j ACCEPT

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -m string --string "/managersns" --algo bm -j DROP

以上规则是正对eth0网卡,可以跟踪自己需求修改。

参数说明:

-m string

使用string功能,string是iptables的一个module,也就是做字符串匹配的。

–string “xxxx”

定义字符串内容,可以是URL里任意字符,如果是需要block下载某些类型的文件或请求,这个有很大的发挥空间,可自由想象喔。

–algo bm

设置字符匹配的查询算法,一般默认使用bm算法效果就可以了,另外还可以设置kmp算法,那是一种更复杂的算法,详细内容可自行参见高等数学里的资料。(bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)

-j DROP

这在公司网络禁用视频网站是非常有效的,在网关服务器上设置:

iptables -A FORWARD -m string –-string “ku6.com” --algo bm -j DROP iptables -A FORWARD -m string –-string “tudou.com” –-algo bm -j DROP iptables -A FORWARD -m string –-string “ouou.com” –-algo bm -j DROP

iptables -A FORWARD -m string –-string “ku6.com” --algo bm -j DROP

iptables -A FORWARD -m string –-string “tudou.com” –-algo bm -j DROP

iptables -A FORWARD -m string –-string “ouou.com” –-algo bm -j DROP

其中各项参数的意义如下:

-A FORWARD

增加FORWARD链的规则,以上规则是针对启用了路由功能(即:echo 1 > /proc/sys/net/ipv4/ip_forward)

如果是直接访问,可使用的INPUT或OUTPUT。

设置符合此条件的包的处理方式,DROP即是丢弃,也是reject的意思。

iptables -A INPUT -m string --string "stringname" --algo bm -j DROP

推荐阅读:

iptables—包过滤(网络层)防火墙 http://www.linuxidc.com/Linux/2013-08/88423.htm

Linux防火墙iptables详细教程 http://www.linuxidc.com/Linux/2013-07/87045.htm

iptables+L7+Squid实现完善的软件防火墙 http://www.linuxidc.com/Linux/2013-05/84802.htm

iptables的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm

Linux下防火墙iptables用法规则详解 http://www.linuxidc.com/Linux/2012-08/67952.htm

Nmap&Zmap特征识别,绕过IDS探测,网络扫描探测工具的分析与识别(Zmap | Angry IP Scanner | Masscan),如何使用 iptables 防止端口扫描?
代码讲故事
07-17 1万+
Nmap&Zmap特征识别,绕过IDS探测,网络扫描探测工具的分析与识别(Zmap | Angry IP Scanner | Masscan),如何使用 iptables 防止端口扫描? 网络扫描探测通常是发起网络入侵的第一步,攻击者可以利用扫描探测工具获取网络中的主机系统、TCP/UDP 端口的开放情况、子域名、网站指纹、WAF、CDN、中间件类别等重要信息,识别出存在安全漏洞的主机或系统,从而发起有针对性的网络入侵行为。此外,一些扫描工具同时具备漏洞利用的能力。
Android下基于Iptables的一种app网络访问控制方案(一)
@甘道夫@的专栏
12-04 1万+
1.什么是Iptable? 百度百科对于Iptables有详细的介绍。简单地说,Iptables是Linux内核提供的一套IP信息包过滤系统,对外由Iptables命令提供设置过滤规则的入口。 Android是基于Linux的操系统,支持Iptables。执行Iptables命令需要root权限。   2.如何配置Iptables命令链? 假设一个安卓系统网络访问管理体系,需要针对不同
Android定制实现上网限制
02-24 2万+
随着智能手机和平板的普及,现在的孩子几乎人手一部手机或平板,我们常常能看到一些孩子时常抱着手机玩游戏或是浏览网页,一玩就是一整天,家长们不免会担心自己的孩子是不是会浏览不适合他们看的网页?是不是玩的时间太长,导致他们对其他的事情(比如运动、学习和沟通等)丧失兴趣,或者对身体发育造成不良影响。所以,有必要对孩子们用的这些移动智能设备做些上网限制,主要就是上网时间和允许浏览的网站的限制。
iptables 关于URL过滤
weixin_42191545的博客
11-02 4509
iptables 关于URL过滤 方法1: 1.首先可以利用nslookup 查看下URLIP地址:例如我禁止www.baidu.com nslookup www.baidu.com 2.禁止转发源IP为103.235.46.39 同时禁止转发 目的IP为103.235.46.39 即可实现过滤URL用: iptables -t filter -I FORWARD -s 103.235.46.39 -j DROP iptables -t filter -I FORWARD 2 -d 103.235
iptables 拦载url 和 过滤端口 及 iptables 使用
weixin_30508309的博客
11-14 598
1.iptabels 保存规则文件iptabels-save > /etc/iptabels.up.rules //路径2.-A 添加规则3.DROP 过滤4.ACCEPT 通过4.iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DROP //过滤80 端口5.iptables -A OUTPUT -p tcp -m stri...
利用iptables过滤URL目标请求的小技巧
Linux512的专栏
09-04 1万+
最近发现越来越多的office里过多的在上班时间滥用视频网站,可能是由于脑残会的影响,但必竟是上班时间,不应该做与工无关的事,也过多地影响了office的工带宽。我在路由上测试了一条规则来block视频网站的访问请求,发现非常有效: iptables -A FORWARD  -m string –string “ku6.com” –algo bm -j DROP iptables -A F
使用Shell检查tomcat下异常访问IP并实施屏蔽操
最新发布
11-22
默认情况下,Tomcat服务器会在logs目录下生成一个名为`access_log.*`的日志文件,其中记录了所有的访问请求信息,包括客户端的IP地址、访问时间、请求的方法、访问URL以及返回的状态码等。通过对这些日志文件进行...
iptables/ip6tables数据包根过滤数据包笔记
superbfly的专栏
04-01 1492
Iptables下length模块可对数据包的长度进行匹配。 length使用参数: -m length --length num #匹配指定大小的数据 -m length ! --length num #匹配非指定大小数据 -m length --length num: #匹配大于或等于 -m length --length :92 #匹配小于或等于 -m length --length num:num #匹配指定区间 示例: iptables -I INPUT -p icmp -m length --
iptables 禁止访问全部URL,开放部分URL
weixin_56793045的博客
11-19 2844
iptables 禁止访问全部URL,开放部分URL 1、禁止访问所有URL iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --dport 443 -j DROP #禁止访问所有https iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --dport 80 -j DROP #禁止访问所有http service iptables save #保存规则永久有效 2、开放指定URL iptables -I OUTPUT -p tcp
如何通过iptables配置URL过滤黑名单?
衡水铁头哥的博客
05-11 2038
正文共:1555 字 16 图,预估阅读时间:2 分钟我们前面曾经简单介绍过URL过滤功能(URL过滤功能了解一下?),并且以H3C VFW为例简单配置了一下URL过滤功能。首先回顾一下,URL过滤,英文全称为URL Filter,一般简称为URLF,从字面上理解,是指对用户访问URL进行控制,对用户访问的Web资源执行允许或禁止操URL(Uniform Resource Locator,统...
如何通过iptables配置URL过滤白名单?
衡水铁头哥的博客
05-12 1505
正文共:1111 字 18 图,预估阅读时间:1 分钟我们刚刚测完了iptables配置URL黑名单过滤(如何通过iptables配置URL过滤黑名单?),整体效果还算不错。但是,在很多时候,可能我们还会用到白名单,也就是默认拒绝所有请求,仅允许匹配白名单域名的请求通过。首先,这个动就比较简单,仅需要将DROP(丢弃)动调整为ACCEPT(接受)就可以了。但是,我们还是要考虑一下这中间的数据处...
iptables防火墙只允许指定ip连接指定端口、访问指定网站
热门推荐
记事本
08-02 5万+
iptables防火墙只允许指定ip连接指定端口、访问指定网站
android iptables 禁止链接,用iptables设置 android网络防火墙白名单失效 <b><a title="个人悬赏" href="javascript:;">1...
weixin_32479897的博客
05-31 629
我用iptables命令设置网络白名单,命令如下:iptables -A OUTPUT -d www.zhihu.com -j ACCEPTiptables -A OUTPUT -j REJECT短时间内会失效,1分钟到十分钟不等,有知道原因的吗?失效后执行iptables-save显示的默认设置为:iptables-saveGenerated by iptables-save v1.4.20 o...
iptables小小总结
PER_son的博客
12-28 670
iptables [-t 要操的表]                       [要操的链]            [规则号码]            [匹配条件]            [-j 匹配到以后的动] 操命令(-A、-I、-D、-R、-P、-F) -A:新增一条规则,到该规则链列表的最后一行 -I:插入一条规则,原本该位置
IPtables日志分析利器
cnbird's blog
01-17 1573
http://blog.youkuaiyun.com/beatwii/archive/2007/10/14/1823751.aspxhttp://blog.sina.com.cn/s/blog_49972b950100ahm5.html 
iptables设置禁止公网访问
weixin_35750953的博客
01-18 598
首先,打开终端并使用root用户登录。然后执行以下命令: iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT iptables...
iptables指南
奔跑的路
09-10 2540
目录 译者序 关于者 如何阅读 必备知识 本文约定 1. 序言 1.1. 为什么要写这个指南 1.2. 指南是如何写的 1.3. 文中出现的术语 2. 准备阶段 2.1. 哪里能取得iptables 2.2. 内核配置 2.3. 编译与安装 2.3.1. 编译 2.3.2. 在Red Hat 7.1上安装 3. 表和链 3.1. 概
iptables实现url白名单方式过滤,同时支持端口转发
07-15
要使用iptables实现URL白名单过滤并支持端口转发,可以结合使用iptables的`string`模块和`nat`表。下面是一个示例: 1. 首先,确保你的系统上已经安装了iptables和`string`模块。如果没有安装,可以使用适合你的Linux发行版的包管理器进行安装。 2. 创建一个新的iptables链,用于处理HTTP请求: ```shell iptables -N URL_FILTER ``` 3. 在新链中添加规则,匹配URL的关键字,并将匹配的请求转发到特定的目标(例如,允许连接或重定向到其他端口): ```shell iptables -A URL_FILTER -m string --string "example.com" --algo bm -j ACCEPT iptables -A URL_FILTER -j DNAT --to-destination <新目标IP>:<新目标端口> ``` 上述规则将匹配所有包含"example.com"的URL,并允许与该URL相关的连接。如果你想将这些连接重定向到其他端口,可以使用`DNAT`目标来指定新的目标IP和端口。 4. 将新链与输入流量关联,以便所有进入系统的HTTP请求都经过URL过滤: ```shell iptables -A INPUT -p tcp --dport 80 -j URL_FILTER ``` 这将将所有TCP端口80上的请求转发到URL过滤链。 5. 如果你还想支持端口转发,可以在`nat`表中添加规则,将被重定向的流量转发到新的目标IP和端口: ```shell iptables -t nat -A PREROUTING -p tcp --dport <原始端口> -j DNAT --to-destination <新目标IP>:<新目标端口> iptables -t nat -A POSTROUTING -j MASQUERADE ``` 上述规则将将来自原始端口的流量转发到新的目标IP和端口,并通过MASQUERADE选项进行网络地址转换。 请注意,上述示例只是一个简单的演示,实际情况可能更加复杂。你可以根据自己的需求和情况进行定制。同时,iptables只能过滤TCP流量,并且在处理大量规则时可能会影响性能。因此,对于更复杂的URL过滤需求和端口转发,可能需要考虑使用专门的代理服务器或防火墙软件。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值