2. 程式人生 > >iptables(3)擴展

iptables(3)擴展

阿新 發佈:2017-09-10
string iptables time limit connlimit

顯式擴展:必須顯式指明使用的擴展模塊(rpm-ql iptables | grep "\.so")

CentOS6: man iptables

CentOS7: man iptables-extensions

1、multiport擴展

以離散方式定義多端口匹配;最多指定15個端口;

[!]--source-ports,--sports port[,port|,port:port]...:指明多個源端口;

[!]--destination-ports,--dports port[,port|,port:port]...:指明多個離散的目標端口;

[!]--ports port[,port|,port:port]...

iptables -I INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp -m multiport--dport 22,80 -j ACCEPT

iptables -I OUTPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp -m multiport--sport 22,80 -j ACCEPT

2、iprange擴展

[!]--src-range from[-to]:指明連續的源IP地址範圍;

[!]--dst-range from[-to]:指明連續的目標IP地址範圍;

iptables -I INPUT -d 172.16.100.9 -p tcp -m multiport --dports 22:23,80-m iprange --src-range 172.16.100.1-172.16.100.120 -j ACCEPT

iptables -I OUTPUT -s 172.16.100.9 -p tcp -m multiport --sports 22:23,80-m iprange --dst-range 172.16.100.1-172.16.100.120 -j ACCEPT

3、string擴展

檢查報文中出現的字符串;

--algo{bm|kmp}

bm= Boyer-Moore

kmp= Knuth-Pratt-Morris

[!]--string pattern

iptables -I OUTPUT -m string --algo bm --string ‘movie‘ -j REJECT

4、time擴展

根據報文到達的時間與指定的時間範圍進行匹配;

--datestart

--datestop

--timestart

--timestop

--monthdays

--weekdays

iptables -I INPUT -d 172.16.100.1 -p tcp --dport 80 -m time --timestart00:00--timestop 08:00 -j REJECT

5、connlimit擴展(centos7)

根據每客戶端IP(也可以是地址塊)做並發連接數數量匹配;

--connlimit-aboven:連接的數量大於n

--connlimit-upton: 連接的數量小於等於n

6、limit擴展

基於收發報文的速率做檢查;

令牌桶過濾器

--limitrate[/second|/minute|/hour|/day]

--limit-burstnumber

iptables -I INPUT -d 172.16.100.1 -p icmp --icmp-type 8 -m limit--limit-burst 5 --limit 30/minute -j ACCEPT

iptables -I OUTPUT -s 172.16.100.1 -p icmp --icmp-type 0 -j ACCEPT

7、state擴展

根據連接追蹤機制檢查連接的狀態;

調整連接追蹤功能所能夠容納的最大連接數量:

/proc/sys/net/nf_conntrack_max

已經追蹤到並記錄下的連接:

/proc/net/nf_conntrack

不同協議或連接類型追的時長:

/proc/sys/net/netfilter/

可追蹤的連接狀態:

NEW:新發出的請求;連接追蹤模板中不存此連接相關的信息條目,因此,將其識別為第一次發出的請求;

ESTABLISHED:NEW狀態之後,連接追蹤模板中為其建立的條目失效之前期間內所進行的通信的狀態;

RELATED:相關的連接;如ftp協議的命令連接與數據連接之間的關系;

INVALIED:無法識別的連接;

--stateSTATE1,STATE2,...

iptables -I INPUT -d 172.16.100.1 -p tcp --dport 22 -m state --stateNEW,ESTABLISHED -j ACCEPT

iptables -I OUTPUT -s 172.16.100.1 -p tcp --sport 22 -m state --stateNEW,ESTABLISHED -j ACCEPT

iptables -I INPUT 2 -s -d 172.16.100.1 -p tcp -m multiport --dports2,80-m state --state NEW -j ACCEPT

本文出自 “勤能補拙” 博客,請務必保留此出處http://echoroot.blog.51cto.com/11804540/1964088

iptables(3)擴展

相關推薦

iptables(3)

string iptables time limit connlimit 顯式擴展:必須顯式指明使用的擴展模塊(rpm-ql iptables | grep "\.so")CentOS6: man iptablesCentOS7: man iptables-extensions1、mult

高速掌握Lua 5.3 —— 你的程序 (1)

lac ould key article start markdown max 高速 擴展程序 Q:怎樣在C中將Lua作為配置文件語言使用? A: “config.lua”文件裏: -- window size width = 200 heig

redhat 7.3 /dev/shm

shmCLSRSC-184: Configuration of ASM failedCLSRSC-258: Failed to configure and start ASM[[email protected] ~]# df -hFilesystem Size Used A

Iptables(3) - 顯示

定義 sta 建立 mes tar morris type 拒絕 調整 一、顯示擴展 顯示擴展必須使用-m選項指定使用的擴展, 必須顯示指明使用的擴展模塊用如下方式查看: $ rpm -ql iptables | grep "\.so" 查看顯示擴展使用說明: # Cent

3.iptables 模塊

invalid containe quest bili ner -h soft inf aos --tcp-flags 用於匹配報文的tcp頭的標誌位 iptables -t filter -I INPUT -p tcp -m tcp --dport 22 -

ES6標準學習: 3、數值的

平方和 全局 oat 數值 限制 相關 模式 安全 不同 數值的擴展 註:以下內容中: 0 表示數字零, o 為英文字母。 一、二進制和八進制數值表示法 es6提供了二進制和八進制的數值表示法,分別用前綴0b(或者0B)和0o(或者0O)表示。 1 0b

從頭認識Spring-3.8 簡單的AOP日誌實現(註解版)-添加檢查訂單功能,以便記錄並檢測輸入的參數

this proxy snippet 輸入 name util java framework -i 這一章節我們討論一下擴展添加檢查訂單功能,以便記錄並檢測輸入的參數。1.domain蛋糕類:package com.raylee.my_new_spring.my_new

HDU 3068 &&HDU 3294 +最長回文串*3—— manacher/KMP/DP

true font get span while spa 更新 如果 str HDU 3068 http://acm.hdu.edu.cn/showproblem.php?pid=3068 HDU 3294http://acm.hdu.edu.cn/showproblem.

C++深度解析教程學習筆記(3)函數的

插入 分享 技術 lsp 預處理器 _for 返回 忽略 結合 1.內聯函數 1.1.常量與宏的回顧 (1)C++中的 const 常量可以替代宏常數定義,如: const int A = 3; //等價於 #define A 3 (2)C++中是否有解決方案,可以用來

Python的接口[3] -> Matlab引擎 -> 使用 Python 調用 Matlab 程序

查看 python gif install isp ab命令 html abr ins Python - Matlab 目錄 Python-Matlab 引擎 Python-Matlab 數組 Python-Matlab 基本操作 Python-Matlab 調用 m

iptables詳解(7):iptables之udp與icmp

hive proto 進入 internet 根據 tar 有一個 多個 ive 前文中總結了iptables的tcp擴展模塊,此處,我們來總結一下另外兩個跟協議有關的常用的擴展模塊,udp擴展與icmp擴展。 udp擴展 我們先來說說udp擴展模塊,這個擴展模塊中能用

iptables詳解(8):iptables模塊之state

什麽是 80端口 圖片 先來 為我 表示 本機 發送數據 original 當我們通過http的url訪問某個網站的網頁時,客戶端向服務端的80端口發起請求,服務端再通過80端口響應我們的請求,於是,作為客戶端,我們似乎應該理所應當的放行80端口,以便服務端回應我們的報文可

從頭認識Spring-3.4 簡單的AOP日誌實現-添加檢查訂單功能,以便記錄並檢測輸入的參數

pack logging exe app 基礎上 config round statistic was 這一章節我們再上一個章節的基礎上加上一個檢查訂單功能1.dom

九周第四次課(2月26日) 11.1 LAMP架構介紹 11.2 MySQL、MariaDB介紹 11.3/11.4/11.5 MySQL安裝 mysql5.5源碼編譯安裝

when image safe x86 lease x86_64 roc use my.cnf 11.1 LAMP架構介紹11.2 MySQL、MariaDB介紹11.3/11.4/11.5 MySQL安裝擴展mysql5.5源碼編譯安裝 http://www.amin

2018-3-8 11周3次課 php模塊安裝

php擴展模塊11.32 php擴展模塊安裝·查看PHP模塊/usr/local/php7/bin/php -m忘記安裝或者需求變更,需要增加模塊下面安裝一個redis的模塊(通常在LAMP架構下當做緩存來用)[root@localhost php-7.1.6]# cd /usr/local/src/ [ro

php5.5.32編譯安裝imagick-2.3.0php插件遇到的坑

php5.5.32安裝圖形插件遇到的坑插件,調用ImageMagick圖形處理軟件,必須圖形處理軟件先安裝才可以安裝此插件,否則報錯。到pecl.php.net下載源代碼包。地址http://pecl.php.net/package/imagick php5.5不支持 imagick-2.3.0.tgz會報錯

iptables之state與開啟被動模式ftp

state擴展 被動模式ftp 加載規則1. state擴展 2. 如何開放被動模式的ftp服務? 3. 防火墻規則的檢查次序 4. 保存與加載預存的規則 1. state擴展 ??該擴展至關重要,正是由於state才實現了連接追蹤機制。??連接追蹤機制:每一臺客戶端與本地主機進行通訊時(有可能是通過本地主

【概率機器人】3.1 卡爾曼濾波、卡爾曼濾波和無跡卡爾曼濾波

取出 嘗試 bar return tar 簡化 exp 回顧 clas 這一章將介紹卡爾曼濾波、擴展卡爾曼濾波以及無跡卡爾曼濾波,並從貝葉斯濾波的角度來進行分析並完成數學推導。如果您對貝葉斯濾波不了解,可以查閱相關書籍或閱讀 【概率機器人 2 遞歸狀態估計】。 這三種濾波方

三周第四次課 4.1 df命令 4.2 du命令 4.3/4.4 磁盤分區 學習 part

學習 打卡三周第四次課4.1 df命令4.2 du命令4.3/4.4 磁盤分區擴展學習 parted分區gpt格式 http://www.apelearn.com/bbs/thread-7243-1-1.html # df 查看文件系統的使用情況 # free 查看swap分區 #

ES6/收集運算符--spread/rest(3)

code UNC 使用 style fine 判斷 直接 undefine 函數形參 ES6引入了一個新的運算符"...",通常稱為spread/rest(展開或收集運算符),取決於在哪如何使用,這裏先介紹此運算符的概念和基本使用,更多應用將在函數、數組部分學習 第一種:作