iptables规则绑定在port而不是拦截在协议栈

最新推荐文章于 2023-06-06 09:00:00 发布
转载 最新推荐文章于 2023-06-06 09:00:00 发布 · 119 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/xfgnongmin/p/10670341.html

本文探讨了Linux Netfilter与Cisco设备ACL的不同之处,并提出了一种改进方案,通过模仿Cisco方式将规则绑定到设备上,以此提高数据包过滤效率。
版权声明:本文为博主原创,无版权。未经博主同意能够任意转载,无需注明出处,任意改动或保持可作为原创!

https://blog.youkuaiyun.com/dog250/article/details/24173103

是不是要又一次设计Netfilter的HOOK点位置了?无疑这是一个没有意义的问题,由于你无法证明新的方案更好。你可能仅仅是看上了还有一个平台的方案而已。而这个方法和Netfilter的方案是不同的。

其实,我就是这样一个人。
       Cisco的ACL能够被编译在port上。其实Cisco设备的网络port角色是能够被定义的,Linux的理念和此全然不同,Linux内核觉得定义角色这样的事是用户态的职责。如何要实现一个具有完备性的,不依赖用户态配置的数据包拦截机制,那就必须在协议栈路径上进行拦截。换句话说。Netfilter是全然基于skb本身来拦截并处理数据包的,这一点能够从NF_HOOK宏的參数看得出来,可是你能够看到。它还有两个net_device參数。基于这一点,我们就能够模仿Cisco设备的方式将规则绑定到设备了,这么做是有优点的,能够大大提高效率。

比方假设你配置了10000条规则,假设有不相关网口设备进来的数据包。那么这些数据包就不必经过iptables规则的过滤。
       须要改动的地方比較少,这里仅仅给出ipt_hook的改动:

static unsigned int
ipt_hook(unsigned int hook,
         struct sk_buff *skb,
         const struct net_device *in,
         const struct net_device *out,
         int (*okfn)(struct sk_buff *))
{

        struct netns_table_per_dev {
                struct list_head list;
                struct net_device *dev;
                struct xt_table *table;
        };
        // dev_net(in)->ipv4.iptable_filter不再是一个xt_table,而是一个list
        struct wrap_table {
                struct list_head *tb_list;
        };
        struct xt_table *table;
        struct netns_table_per_dev *table_dev;
        struct list_head *pos;
        struct wrap_table *tb_list = (struct wrap_table *)dev_net(in)->ipv4.iptable_filter;
        list_for_each(pos, tb_list->tb_list) {
                table_dev = list_entry(pos, struct netns_table_per_dev, dev);
                if (table_dev->dev == in) {
                        table = table_dev->table;
                }
        }
        if (table == NULL) {
                return NF_ACCEPT;
        }
        return ipt_do_table(skb, hook, in, out, table);
}
一个在协议栈拦截。一个在设备拦截,该手术做的有点大。颠覆了既有的理念。不知道会不会有后遗症。


       无论如何,不能走火入魔。

转载于:https://www.cnblogs.com/xfgnongmin/p/10670341.html

iptables remote port forwarding
linzhiqi07的专栏
05-24 1629
今天再一次需要用到iptablesport forwarding功能,半年前用过一次,忘得差不多了,今次重新学习,写到博客上来加深记忆。iptables的remote port forwarding即用linux自带的iptables实现NAT功能。当然iptables已实现该功能,我们需要做的只是配置(写iptables的配置文件)。 1.什么时候需要用到该功能 当你需要NAT功能,
防火墙Firewalld(iptables
2201_75444658的博客
08-01 954
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
iptables常用端口设置
weixin_34419321的博客
09-08 179
#开启22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT #关闭所有端口 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ...
iptables规则绑定在端口而不是拦截协议栈
TCP/IP
04-20 5638
不是要重新设计Netfilter的HOOK点位置了?无疑这是一个没有意义的问题,因为你无法证明新的方案更好,你可能只是看上了另一个平台的方案而已,而这个方案和Netfilter的方案是不同的。事实上,我就是这样一个人。       Cisco的ACL可以被编译在端口上,事实上Cisco设备的网络端口角色是可以被定义的,Linux的理念和此完全不同,Linux内核认为定义角色这种事是用户态的职责,
/etc/sysconfig/iptables详解
杨小扬的专栏
03-15 1万+
一、iptables概念 Linux内核集成的IP信息包过滤系统,linux的包过滤功能,即linux防火墙,它由netfilter和iptables两个组件组成。 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据...
iptables----sport、dport解释
weixin_34416649的博客
08-20 582
以前一直对iptables的sport、dport不清楚,所以这里记录一下。 (1)清理防火墙: iptables -F iptables -X iptables -Z (2)iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --...
from netfilterqueue import NetfilterQueue from scapy.all import IP, TCP import subprocess import logging # 配置日志 logging.basicConfig(level=logging.DEBUG) # 数据包数组 packet_queue = [] # 存储拦截的数据包 queue_length = 5 # 队列长度阈值 # 定义数据包处理函数 def process_packet(packet): global packet_queue global queue_length logging.debug(f"拦截到一个数据包,大小:{len(packet.get_payload())}") scapy_packet = IP(packet.get_payload()) # 将数据包转换为 Scapy 对象 # 检查 TCP 标志 if scapy_packet.haslayer(TCP): tcp_flags = scapy_packet[TCP].flags if tcp_flags & 0x02: # SYN 标志为 1 logging.debug("SYN 标志为 1,正常发送数据包") packet.accept() elif tcp_flags & 0x01: # FIN 标志为 1 logging.debug("FIN 标志为 1,正常发送数据包") packet.accept() else: # 将数据包存入队列 packet_queue.append(packet) # 如果队列中有足够的数据包,重新排序并发送 if len(packet_queue) >= queue_length: # 假设我们每次处理 5 个数据包 print("发送数据包") sorted_packets = sorted(packet_queue, key=lambda p: p.get_timestamp()) # 按时间戳排序 for p in sorted_packets: p.accept() # 释放数据包,发送到下一个处理阶段 packet_queue = [] # 清空队列 # 如果队列未达到阈值,直接返回 return else: packet.accept() # 如果不是 TCP 数据包,则直接通过 # 设置 iptables 规则 def setup_iptables(port, queue_num): logging.debug(f"设置 iptables 规则,将端口 {port} 的数据包转发到队列 {queue_num}...") try: subprocess.run([ "sudo", "iptables", "-I", "OUTPUT", "-p", "tcp", "--sport", str(port), "-j", "NFQUEUE", "--queue-num", str(queue_num) ], check=True) except subprocess.CalledProcessError as e: logging.error(f"Error setting iptables rules: {e}") # 清理 iptables 规则 def cleanup_iptables(): logging.debug("清理 iptables 规则...") try: subprocess.run(["sudo", "iptables", "-F"], check=True) except subprocess.CalledProcessError as e: logging.error(f"Error cleaning up iptables rules: {e}") # 主函数 def main(): port = 8080 # 监听的端口 queue_num = 0 # NetfilterQueue 队列编号 try: # 设置 iptables 规则 setup_iptables(port, queue_num) # 创建 NetfilterQueue 对象并绑定到队列编号 nfqueue = NetfilterQueue() nfqueue.bind(queue_num, process_packet) logging.debug(f"开始监听端口 {port} 的数据包...") try: nfqueue.run() except KeyboardInterrupt: logging.debug("停止监听...") except Exception as e: logging.error(f"Error in NetfilterQueue: {e}") finally: nfqueue.unbind() cleanup_iptables() except Exception as e: logging.error(f"Error in main: {e}") if __name__ == "__main__": main() 该代码是否能够达到拦截并存储数据包,然后顺序发送的目的
最新发布
04-03
- 在清理iptables规则时,只删除之前添加的特定规则,而不是全部清空。 - 确保处理函数中对所有数据包最终都调用accept或drop,避免滞留。 因此,当前代码在理想情况下(数据包足够多,时间戳正确)能够按顺序发送...
最通俗易懂的iptables防火墙介绍
Sooohot的博客
05-29 1122
说到防火墙,我们先来搞搞防火墙是什么东西吧!相信大家日常生活中一定听过“翻墙”之类的词汇吧,墙到底是什么呢? 防火墙 重点来了!!!防火墙技术 是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。。。 度娘总是这么善解人意,可是麻烦度娘下次说人话,Ok? 通俗的说法也就是自己家外面的墙,防止小偷之类的,以保证我们的安全,我们自己要出去,肯定从“门”走,而那些小偷、黑客就得夜半时分偷偷翻墙喽!计算机也就是我们的家
Linux之安全配置和维护最佳实践
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
11-12 2561
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
iptables防火墙端口规则配置
qq_42158153的博客
07-11 3858
iptables防火墙端口规则配置:(1).阻止用户访问服务器的22端口: 清除原有的防火墙的规则 iptables -F iptables -t filter -A INPUT -p tcp --dport 22 -j DROP ---- -A表示添加规则到相应链,默认加到结尾 iptables -t filter -I INPUT -p tcp --dport 22 -j DROP ---- -I 表示插入规则到相应链上,默认加到首部 iptables -t filter -I INPU...
浅析iptables里面的dport和sport
S_K15的博客
11-04 3318
此文转载至:https://blog.youkuaiyun.com/xinguimeng/article/details/44041985 首先说一下dport和sport的概念: dport--------目的端口 sport--------来源端口 需要注意的是它和我们的数据包的流动行为方式有关,也就是看是INPUT还是OUTPUT。 INPUT iptables -A INPUT -p tcp --dport 80 -j ACCEPT 这里的是INPUT参数,因此这个代表我们的这条数据包的是进入操作,那么这
Linux系统Iptables拦截对外访问规则(模拟Kafka宕机)
MiaoTai
06-11 1122
转载于我的好大哥----松松 测试案例中有个场景是测试kafka宕机不可用的情况,由于考虑到kafka是很多应用公用的,直接停kafka服务可能会给别的应用带来问题,决定在要测试的应用所在机器上打开防火墙iptables服务,添加iptables对外访问过滤规则,测试完成后删除规则,关闭防火墙复原。     1、在filter表中追加一条规则,匹配到对外访问tcp协议9092端口时拒绝访问: iptables -t filter -A OUTPUT -p tcp --dp...
iptables命令详解和举例(完整版)
热门推荐
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables 开启端口
qq_53790158的博客
03-17 6411
开启iptables端口【6379为开启的端口】查看iptables,已开端口。启动iptables
iptables详解
wdt3385的专栏
12-25 5262
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
iptables访问规则
weixin_46627652的博客
12-16 1万+
vim /etc/sysctl.conf 删除 #net.ipv4.ip_forward=1 前的#号,开启ipv4 forward sudo sysctl –p 若运行后显示 net.ipv4.ip_forward = 1,表示修改生效了 目标地址转换: iptables -t nat -A PREROUTING -d 192.168.23.110 -p tcp --dport 80 -j DNAT --to-destination 192.168.23.111:8080 将本机的 80 端口转..
06.15 iptables防火墙
qunchao_Blog
07-24 738
第一章 什么是防火墙1. 软件防火墙 iptables免费 是开源。2. 硬件防火墙 华为 深信服 思科 H3C Juniper 天融信 飞塔 网康 绿盟科技 金盾3. 防火墙工作流程 4. iptables工作流程小结 防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。 如果匹配上了规则,即明确表明是阻止还是通过,此时数据包就不在向下匹配新规则
防火墙之iptables详解
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
10-26 1544
1、iptables 五链四表 1.1、iptables提供的链(chain) 1.2、iptables提供的表(table) 1.3、链和表的关系 1.4、规则匹配执行动作(target) 2、iptables 常用命令 2.1、查看指定表table的规则 2.2、查看指定链chain下指定表table的规则 2.3、常见例子 2.4、清空iptables的所有规则 2.5、增加规则 2.6、删除规则 2.7、修改规则 2.8、保存规则 3、常见命令参数介绍
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 1万+
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值