2. 程式人生 > >Linux系統安全04使用iptables阻止訪問特定網站

Linux系統安全04使用iptables阻止訪問特定網站

阿新 發佈:2018-05-19
tps sid string onf 系統安全 post eth ide PE

主要使用iptables的string擴展模塊,使用string參數阻止訪問特定網站的http/https服務,使用hex-string參數阻止對特定域名進行DNS解析。

比如,阻止訪問baidu.com的http/https服務。其中--string參數指定需要屏蔽的網站地址中包含的字符串關鍵字, --algo指定字符串匹配算法,支持bm和kmp兩種算法。

#disable some http/https request
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m string --string "baidu.com" --algo bm -j DROP
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m string --string "baidu.com" --algo bm -j DROP
iptables -A FORWARD -p tcp -m multiport --dports 80,443 -m string --string "baidu.com" --algo bm -j DROP

阻止對包含baidu.com的域名進行解析的代碼如下。其中--hex-string參數中的05和03表示字符串的長度。

#disable some dns query.
iptables -A OUTPUT -p tcp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A INPUT -p tcp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A FORWARD -p tcp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A OUTPUT -p udp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A INPUT -p udp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A FORWARD -p udp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP

完整代碼如下:

iptables -F
iptables -X
iptables -Z

iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

iptables -t raw -F
iptables -t raw -X
iptables -t raw -Z

iptables -t security -F
iptables -t security -X
iptables -t security -Z


if [ "$1" = "stop" ]
then
echo "WARNING:iptables stopped."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -P INPUT ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT

iptables -t raw -P PREROUTING ACCEPT
iptables -t raw -P OUTPUT ACCEPT

iptables -t security -P INPUT ACCEPT
iptables -t security -P OUTPUT ACCEPT
iptables -t security -P FORWARD ACCEPT


iptables -L -n -v --line-numbers
exit
fi



iptables -P INPUT    DROP
iptables -P OUTPUT   DROP
iptables -P FORWARD  DROP

iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT

iptables -t raw -P PREROUTING ACCEPT
iptables -t raw -P OUTPUT ACCEPT

iptables -t security -P INPUT ACCEPT
iptables -t security -P OUTPUT ACCEPT
iptables -t security -P FORWARD ACCEPT


#localhost
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT   -s ${IP_WAN} -d ${IP_WAN} -j ACCEPT
iptables -A OUTPUT  -s ${IP_WAN} -d ${IP_WAN} -j ACCEPT
iptables -A INPUT   -s ${IP_LAN} -d ${IP_LAN} -j ACCEPT
iptables -A OUTPUT  -s ${IP_LAN} -d ${IP_LAN} -j ACCEPT

#inside subnet.
iptables -A INPUT -s ${IP_INSIDE}  -j REJECT 
iptables -A OUTPUT -d ${IP_INSIDE} -j REJECT


#disable some http/https request
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m string --string "baidu.com" --algo bm -j DROP
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m string --string "baidu.com" --algo bm -j DROP
iptables -A FORWARD -p tcp -m multiport --dports 80,443 -m string --string "baidu.com" --algo bm -j DROP

#disable some dns query.
iptables -A OUTPUT -p tcp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A INPUT -p tcp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A FORWARD -p tcp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A OUTPUT -p udp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A INPUT -p udp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP
iptables -A FORWARD -p udp -m multiport --dports 53 -m string --hex-string "|05|baidu|03|com" --algo bm -j DROP

iptables -A OUTPUT -p tcp -m multiport --dports 53 -m string --hex-string "|03|163|03|com" --algo bm -j DROP
iptables -A INPUT -p tcp -m multiport --dports 53 -m string --hex-string "|03|163|03|com" --algo bm -j DROP
iptables -A FORWARD -p tcp -m multiport --dports 53 -m string --hex-string "|03|163|03|com" --algo bm -j DROP
iptables -A OUTPUT -p udp -m multiport --dports 53 -m string --hex-string "|03|163|03|com" --algo bm -j DROP
iptables -A INPUT -p udp -m multiport --dports 53 -m string --hex-string "|03|163|03|com" --algo bm -j DROP
iptables -A FORWARD -p udp -m multiport --dports 53 -m string --hex-string "|03|163|03|com" --algo bm -j DROP


#ping xxx
iptables -A OUTPUT -o ${ETH_WAN} -p icmp -s ${THIS_SERVER} -j ACCEPT
iptables -A INPUT -i ${ETH_WAN} -p icmp -d ${THIS_SERVER}  -j ACCEPT

#dns lookup
iptables -A OUTPUT -o ${ETH_WAN} -p udp   -s ${THIS_SERVER}  -d ${DNS_SERVER} --dport ${DNS_PORT} -j ACCEPT
iptables -A INPUT -i ${ETH_WAN} -p udp   -s ${DNS_SERVER} --sport ${DNS_PORT} -d ${THIS_SERVER}  -j ACCEPT 

iptables -A OUTPUT -o ${ETH_WAN} -p tcp   -s ${THIS_SERVER}  -d ${DNS_SERVER} --dport ${DNS_PORT} -j ACCEPT
iptables -A INPUT -i ${ETH_WAN} -p tcp   -s ${DNS_SERVER} --sport ${DNS_PORT} -d ${THIS_SERVER} -m state --state RELATED,ESTABLISHED  -j ACCEPT 

#http browser
iptables -A OUTPUT -o ${ETH_WAN} -p tcp --match multiport --dports ${HTTP_PORT} -j ACCEPT
iptables -A INPUT -i ${ETH_WAN} -p tcp --match multiport --sports ${HTTP_PORT} -m state --state RELATED,ESTABLISHED -j ACCEPT


iptables -A INPUT  -j LOG --log-prefix "iptables"


iptables-save > /etc/sysconfig/iptables

Linux系統安全04使用iptables阻止訪問特定網站

相關推薦

Linux系統安全04使用iptables阻止訪問特定網站

tps sid string onf 系統安全 post eth ide PE 主要使用iptables的string擴展模塊,使用string參數阻止訪問特定網站的http/https服務,使用hex-string參數阻止對特定域名進行DNS解析。 比如,阻止訪問ba

Forefront TMG 2010 篇(九)--禁止用戶訪問特定網站

tmg 禁止訪問 url 集 上文已經提過可以允許用戶直接訪問外網了,但是公司有特定的要求,不允許某些用戶訪問某些網站,如:淘寶、QQ、奇藝等。所以我們又要進行相關的設置。計劃: A、建立二個用戶組: 無限制用戶>>>>公司因為要控制,允許一部分

Linux系統安全及應用

linux 賬號安全 nmap 弱口令檢測 楊書凡 作為一個開放源代碼的操作系統,Linux服務器以其安全、高效和穩定的顯著優勢而得以廣泛應用。下面主要從賬戶安全、系統引導、登錄控制的角度,優化Linux系統的安全性賬號安全控制 用戶賬號,是計算機使用者的身份憑證,每個訪問系

linux系統安全標準規範

sys modify any grub加密 icmp server can fixed bit 首先確保所使用的linux系統中的所有軟件都已經安裝到最新版本。linux下的漏洞或者叫做不規範大致如下幾點:用戶登錄,openssl, CA證書,GRUB加密,SMB密碼永不過

linux系統安全-弱口令檢測和端口掃描

弱口令檢測 端口掃描 john NMAP 一、linux系統安全概要二、詳細說明1)用戶方面清除一些不必要的系統用戶,可以減少黑客攻擊我們linux的入口;鎖定賬號適用於員工在一段時間不適用賬號的場景(usermod -L);而鎖定/etc下的passwd和shadow文件可以避免非法用戶建立

Linux 系統安全最小化原則

Linux 系統安全最小化原則對 Linux 系統安全來說極其重要;即多一事不如少一事,具體包括如下幾個方面: 安裝 Linux 系統最小化,即選包最小化,yum 安裝軟件包也要最小化,無用的包不裝。 開機自啟動服務最小化,即無用的服務不開啟。 操作命令最小化。例如:能用 " rm -f test

Linux系統安全最小原則

ont 關閉防火墻 開機 net lin 防火 模板 命令 linux 系統安全最小原則 1.安裝Linux系統最小化,選包最小化,不用就不安裝2.開機服務最小化(5個)ssh network sysstat crontd rsyslog3.操作命令最小化 rm -rf

防火墻限制訪問特定網站案例

告訴 接下來 配置 tcp 一點 解決 p地址 互聯 控制 近日遇到一個客戶有個需求,限制內部用戶只能訪問互聯網某些特定網站,其他都不行。想來沒什麽難度,域間策略放行了DNS地址和網站地址,測試,OK沒問題。 過了幾日,客戶說,網站打不開了

linux系統smb安裝,windows訪問smb共享文件夾和虛擬機vm與真機的互ping

記住密碼 cmd system 文件夾路徑 相對 配置文件 防火 去掉 conf 直接上技!首先要明白smb是用來幹什麽的?後面提的虛擬機vm與真機互ping只是一個實驗.這裏使用的linux版本為 redhat 7.4 一、smb配置註意:在這裏我們是將linux系統當做

Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables

ssh-key fir 應用 ble exc 當前 root密碼 exchange ports Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables 當我們安裝完Linux系統作為服務器後,總有一系列的安全配

Linux系統安全

auth all log 加密 之前 系統管 指定 ini alt 安全 1.分類 1)物理安全(防止人為破壞或自然災害) 2)系統安全(用戶、權限、訪問控制等) 3)網絡安全(VLAN、Qos、端口、×××) 4)數據安全(RAID、加密、令牌等) 二、系統安全 1.用戶

linux系統安全檢查指令碼

轉自:http://www.freebuf.com/sectool/108564.html check.sh #!/bin/bash echo "         (__)"   echo "       &nb

Linux系統安全加固設定詳細教程

1、如果是新安裝系統, 一、對磁碟分割槽應考慮安全性: 1)根目錄(/)、使用者目錄(/home)、臨時目錄(/tmp)和/var目錄應分開到不同的磁碟分割槽; 2)以上各目錄所在分割槽的磁碟空間大小應充分考慮,避免因某些原因造成分割槽空間用完而導致系統崩潰; 2、對於/tmp和/va

Linux系統安全設定

根據此文章寫了一個自動檢測指令碼 指令碼位置:https://gitee.com/wdze/linux_security_settings 一、賬號管理 1、使用者密碼 檢測方法: (1)是否存在如下類似的簡單使用者密碼配置,比如:root/root, test/test, 

Linux系統安全筆記

Linux系統安全筆記 https://insecure.org/https://sectools.org/SecTools.Org:排名前125的網路安全工具 http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.htmlhttps

Linux系統安全命令

雖然 Linux 和 Windows NT/2000 系統一樣是一個多使用者的系統,但是它們之間有不少重要的差別。對於很多習慣了 Windows 系統的管理員來講,如何保證 Linux 作業系統安全、可靠將會面臨許多新的挑戰。本文將重點介紹 Linux 系統安全

linux 系統安全命令

雖然 Linux 和 Windows NT/2000 系統一樣是一個多使用者的系統,但是它們之間有不少重要的差別。對於很多習慣了 Windows 系統的管理員來講,如何保證 Linux 作業系統安全、可靠將會面臨許多新的挑戰。本文將重點介紹 Linux 系統安全的命令。

Linux 系統安全 及 lnmp 安裝

/*********************系統盤規劃*********************************/  倫理片http://www.dotdy.com/ /dev/vda  8G  /dev/vdb 500G  /dev/vda 系統盤 掛載在 /  /dev/vdb

iptables 防火牆 只允許某IP訪問某埠、訪問特定網站

需要開80埠,指定IP和區域網 下面三行的意思: 先關閉所有的80埠 開啟ip段192.168.1.0/24端的80口 開啟ip段211.123.16.123/24端ip段的80口 # iptables -I INPUT -p tcp --dport 80 -j DROP

Linux系統安全加固淺談

對於企業來說,安全加固是一門必做的安全措施。主要分為:賬號安全、認證授權、協議安全、審計安全。總的來說,就是4A(統一安全管理平臺解決方案),賬號管理、認證管理、授權管理、審計管理。用漏洞掃描工具掃