码迷,mamicode.com
首页 > 其他好文 > 详细

iptables

时间:2018-11-22 18:58:48      阅读:175      评论:0      收藏:0      [点我收藏+]

标签:2.4.1   moc   dip   user   ddr   编码   手机   主机   使用   

iptables: 



技术分享图片

 

技术分享图片
Firewall: 工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查,并且由匹配到的规则进行处理的一组硬件或软件,甚至可能是二者的结合。

 

网络层:网络层防火墙
应用层:网关

 

IDS:
HIDS: OSSEC
NISC: snort
Filesystem: tripware

 

IPS: IDS + Firewall

 

honeypot: 蜜罐

 

Nessus, nmap,

 

rootkit

 

乌云

 

iptables/netfilter: 网络层防火墙,连接追踪(状态检测)

 

ipfw, ipchains, iptables

 

iptables: 防火墙规则编写工具
netfilter: framework
hook_function

 

PREROUTING
INPUT
OUTPUT
FORWARD
POSTROUTING

 

过滤:筛选
NAT:Network Address Translation
DNAT
SNAT
mangle: 
raw:

 

FORWARD:
filter
mangle

 

INPUT: 
filter
mangle

 

OUTPUT:
filter
manage
nat

 

PREROUTING:
mangle
nat

 

POSTROUTING:
mangle
nat

 

四表:
filter, nat, mangle, raw

 

五链:
PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

 

表和链的对应关系:
filter:
INPUT, FORWARD, OUTPUT

 

nat:
PREROUTING, OUTPUT, POSTROUTING

 

mangle:
PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

 

raw: 

 

规则:检查条件,处理机制

 

通:默认为堵,只对能识别的进行放行
堵:默认为通,只对能误别的进行阻截

 

检查条件:
IP:SIP, DIP
TCP:SPORT, DPORT, Flags
UDP:SPORT, DPORT
ICMP:ICMP-TYPE 技术分享图片

技术分享图片

 

扩展机制:
time,string, state(connection-tracking)

 

处理机制:
DROP
REJECT
ACCEPT
SNAT
DNAT
RETURN
REDIRECT
LOG

 

INPUT:
filter
mangle

 

iptables/netfilter

 

iptables
 iptables [-t table] -N chain
  创建一条自定义的规则链
 iptables [-t table] -X [chain]
  删除一条自定义的规则链
 iptables [-t table] -E old-chain-name new-chain-name
  修改自义链名

 

 iptables [-t table] -P chain target
  为链指定默认策略,指定默认规则

 

 iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
  -F: 清空链中的规则
  规则有编号,在链中自上而下,从1开始;
  -L: list,列出表中的所有规则;
  -n: 数字格式显示IP和Port
  -v: 以详细格式显示
   pkts bytes target     prot opt in     out     source               destination 
    pkts: packets, 被本规则所匹配到的报文的个数;
    bytes: 被本规则所匹配到的所有报文的大小之和,会执行单位换算;
    target: 目标,即处理机制;
    prot: 协议,一般为{TCP|UDP|ICMP}; 
    opt: 可选项
    in: 数据包的流入接口;
    out: 数据包的流出接口;
    source: 源地址;
    destination: 目标地址;
  -vv
  -vvv
  -x: exactly, 精确值,不执行单位换算;
  --line-numbers: 显示各规则的行号;

 

  -Z: zero, 清零

 

 iptables [-t table] {-A|-D} chain rule-specification
  -A: append, 附加一条规则
   rule-specification
    匹配条件 -j 处理机制

 

   匹配条件:
    通用匹配:
    -s :匹配原地址,可以IP,也可以网络地址;可以使用!操作符取反, !  -s  172.16.0.0/16; -s 相当于 --src, 或 --source
    -d : 匹配目标地址
    -p : 匹配协议,通常只使用{TCP|UDP|ICMP}三者之一;
    -i :数据报文流入的接口;通常只用于INPUT、FORWARD和PREROUTING
    -o :流出的接口;通常只用于OUTPUT、FORWARD和POSTROUTING

 

  保存规则:
  service iptables save
  规则会被保存至/etc/sysconfig/iptables文件中;
  默认,start时也会读取此文件中的内容以设置规则;
  # iptables-save > /path/to/some_rulefile
  # iptables-restore < /path/from/some_rulefile

 

回顾:
iptables/netfilter

 

netfilter: 工作内核中,让规则能够生效网络框架
iptables: 工作于用户空间,编写规则并且发送到netfilter

 

Linux 2.0: ipfwadm, Linux 2.2: ipchains, Linux 2.4+: iptables

 

netfilter: 

 

iptables:
四表:raw, mangle, nat, filter
五链:PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

 

-N 自定义新链
-F
-X: 删除自定义的空链
-P
-Z
-L
-n, -x, -v, -vv, -vvv, --line-numbers
-E  oldname newname 修改自定义链名

 

-A 
规则:匹配条件 -j 处理机制

 

匹配条件:
通用匹配
-s, -d, -p, -i, -o
扩展匹配
隐含扩展: 使用-p {tcp|udp|icmp}指定某特定协议后,自动能够对协议进行的扩展
-p tcp
--dport m[-n] :匹配的目标端口,可以是连续的多个端口;
--sport       :       源
--tcp-flags rst,syn,ack,fin syn
--syn

 

URG, PSH, RST, SYN, ACK, FIN
ALL, NONE



放行来自于172.16.0.0/16网络的主机对本机ssh服务的请求;
iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.7 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -s 172.16.100.7 -d 172.16.0.0/16 -p tcp --sport 22 -j ACCEPT



-p udp
--dport
--sport

 

放行本机的tftp服务:
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.7 -p udp --dport 69 -j ACCEPT
iptables -A OUTPUT -s 172.16.100.7 -d 172.16.0.0/16 -p udp --sport 69 -j ACCEPT

 

放行本机dns服务:
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.7 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 172.16.100.7 -d 172.16.0.0/16 -p udp --sport 53 -j ACCEPT

 

iptables -A OUTPUT -s 172.16.100.7 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -d 172.16.100.7 -p udp --sport 53 -j ACCEPT

 

-p icmp
--icmp-type
8: ping请求
0:ping响应

 

例子:放行ping其它主机
iptables -A OUTPUT -s 172.16.100.7 -p icmp  --icmp-type 8 -j ACCEPT
iptables -A INPUT -d 172.16.100.7 -p icmp --icmp-type 0 -j ACCEPT



显式扩展:必须要明确指定的扩展模块

 

规则命令:
删除规则
iptables [-t table] -D chain rulenum

 

插入规则
iptables [-t table] -I chain [rulenum] rule-specification

 

替换指定规则
iptables [-t table] -R chain rulenum rule-specification

 

只显示指定链上的规则添加命令:
iptables [-t table] -S [chain [rulenum]]



显式扩展:必须要明确指定的扩展模块
-m 扩展模块名称 --专用选项1 --专用选项2
               
                mac
                         --mac-source XX:XX:XX:XX:XX:XX

 

multiport: 多端口匹配,一次指定多个(15个以内)离散端口
--source-ports , --sports  port[,port|,port:port]
--destination-ports, --dports
--ports

 

例子:
iptables -I INPUT -d 172.16.100.7 -p tcp -m multiport --dports 22,80 -j ACCEPT
iptables -I OUTPUT -s 172.16.100.7 -p tcp -m multiport --sports 22,80 -j ACCEPT

 

iprange: ip地址范围
[!] --src-range from[-to]
[!] --dst-range from[-to]

 

例子:
iptables -A INPUT -d 172.16.100.7 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT
     iptables -A OUTPUT -s 172.16.100.7 -p tcp --sport 23 -m iprange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT

 

    time: 指定时间范围
     --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
        --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

 

        --timestart hh:mm[:ss]
            --timestop hh:mm[:ss]

 

            [!] --weekdays day[,day...]

 

            例子:
             iptables -A INPUT -d 172.16.100.7 -p tcp --dport 901 -m time --weekdays Mon,Tus,Wed,Thu,Fri --timestart 08:00:00 --timestop 18:00:00 -j ACCEPT
             iptables -A OUTPUT -s 172.16.100.7 -p tcp --sport 901 -j ACCEPT

 

        string: 字符串匹配
         --algo {bm|kmp}:字符匹配查找时使用算法
         --string "STRING": 要查找的字符串
         --hex-string “HEX-STRING”: 要查找的字符,先编码成16进制格式

 

        connlimit: 每IP对指定服务的最大并发连接数;
         [!] --connlimit-above [n]



        limit: 报文速率控制
         --limit #[/second|/minute|/hour|/day]
         --limit-burst #   最大峰值

 

         hping3: 安装此包,做测试

 

        state: 状态匹配
         ip_conntrack, nf_conntrack

 

         --state

 

         NEW
         ESTABLISHED建立了
         RELATED相关的
         INVALID

 

     调整连接追踪功能所能容纳的追踪的最大连接数:
         # cat /proc/sys/net/nf_conntrack_max 
         定义了连接追踪的最大值,因此,建议按需调大此值;

 

         # cat /proc/net/nf_conntrack
         记录了当前追踪的所有连接

 

         # cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

                        连接处于ESTABLISHED状态的超时时长

        法则:
         1、对于进入的状态为ESTABLISHED都应该放行;
         2、对于出去的状态为ESTABLISHED都应该放行;
         3、严格检查进入的状态为NEW的连接;
         4、所有状态为INVALIED都应该拒绝;

 

        如何放行工作于被动模式下的FTP服务?
         1、确保iptables加载ftp协议支持的模块:ip_nat_ftp, ip_conntrack_ftp
         编辑/etc/sysconfig/iptables-config文件,定义如下参数:
         IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"

 

         2、放行请求报文的RELATED和ESTABLISHED状态,放行响应报文的ESTABLISHED状态;

iptables  -A INPUT -d 192.168.131.128/32 -p tcp  --dport 21 -m state --state NEW -j ACCEPT
iptables  -A INPUT     -m state --state RELATED,ESTABLISHED -j ACCEPT   
iptables  -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
 

 

-j target
         RETURN: 返回调用链



       回顾:开机流程
        POST --> BootSequence(MBR: bootloader) --> GRUB --> kernel (initramfs) --> /sbin/init (/etc/inittab, /etc/init/*.conf)

 

        启动服务时的最后一个服务通常是/etc/rc.d/rc.local (/etc/rc.local),这事实上是一个脚本,但凡写在此脚本中的命令或脚本调用都在系统运行至此服务被执行;




练习:INPUT和OUTPUT默认策略为DROP;

 

1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;



2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;



3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;



4、拒绝TCP标志位全部为1及全部为0的报文访问本机;



5、允许本机ping别的主机;但不开放别的主机ping本机;






练习:判断下述规则的意义:
# iptables -N clean_in
# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP

 

# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP
# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP
# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
# iptables -A clean_in -d 172.16.100.7 -j RETURN 



# iptables -A INPUT -d 172.16.100.7 -j clean_in

 

# iptables -A INPUT  -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT



# iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
# iptables -A INPUT  -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP
# iptables -A INPUT  -i eth0 -p udp --dport 1026 -j DROP
# iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP

 

# iptables -A INPUT  -p icmp -m limit --limit 10/second -j ACCEPT





利用iptables的recent模块来抵御DOS攻击: 22,建立一个列表,保存有所有访问过指定的服务的客户端IP



ssh: 远程连接,

 

iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP



iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG --log-prefix "SSH Attach: "
iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP

 

1.利用connlimit模块将单IP的并发设置为3;会误杀使用NAT上网的用户,可以根据实际情况增大该值;

 

2.利用recent和state模块限制单IP在300s内只能与本机建立2个新连接。被限制五分钟后即可恢复访问。

 

下面对最后两句做一个说明:

 

1.第二句是记录访问tcp 22端口的新连接,记录名称为SSH
--set 记录数据包的来源IP,如果IP已经存在将更新已经存在的条目

 

2.第三句是指SSH记录中的IP,300s内发起超过3次连接则拒绝此IP的连接。
--update 是指每次建立连接都更新列表;
--seconds必须与--rcheck或者--update同时使用
--hitcount必须与--rcheck或者--update同时使用

 

3.iptables的记录:/proc/net/xt_recent/SSH



也可以使用下面的这句记录日志:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --name SSH --second 300 --hitcount 3 -j LOG --log-prefix "SSH Attack"



2014.03.27
FSM: Finite State Machine
客户端:closed --> syn_sent --> established ... --> fin_wait_1 --> find_wait_2 --> timewait (2MSL)
服务端:closed --> listen --> syn_rcvd --> established ... --> close_wait --> last_ack 


-m state: 追踪连接状态 (tcp, udp, icmp)
模板:
NEW
ESTABLISHED
RELATED
INVALID


iptables子命令:
规则:-A, -I, -D, -R
链:-N, -X, -F, -Z, -E, -P
通:DROP
堵:ACCEPT
显示:-L, -S
-L: 
-n, -v, -x, --line-numbers


规则定义:iptables -t table -A|-I|-R chain 匹配条件 -j target
匹配条件:
通用匹配:-s, -d, -i, -o, -p
扩展匹配
隐含扩展:
-p tcp
--sport, --dport, --tcp-flags
                                                
        --tcp-flags rst,syn,ack,fin syn : 空格之前表示匹配哪些标识位,空格之后是哪些标识位为1 
        --syn:单独匹配某一项标识位
        所有使用的值: URG, PSH, RST, SYN, ACK, FIN,ALL, NONE 
   [!] --syn等价于--tcp-flags RST,ACK,SYN,FIN   SYN
                                                          --tcp-flags ALL NONE匹配所有标记都未置1的包
                                
-p udp
--sport, --dport
-p icmp
--icmp-type
echo-request: 8
echo-reply: 0
显式扩展:
-m state
--state


-m multiport
--sports, --dports, --ports


-m iprange
--src-range, --dst-range


-m string
--algo {bm|kmp}, --string, --hex-string


-m connlimit
--connlimit-above 


-m limit
--limit n(/second|/minute|/hour|/day), --limit-burst 


-m time
--datestart, --datestop
--timestart, --timestop
--weekdays 


-j
ACCEPT, DROP, REJECT, LOG, REDIRECT, SNAT, DNAT, MASQUERADE, MARK, RETURN, 自定义链


四表:raw, mangle, nat, filter
五链:PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING


iptables/netfilter


iptables-save, iptables-restore


主机防火墙:INPUT, OUTPUT
网络防火墙:FORWARD




路由:对于Linux主机来说,设定/proc/sys/net/ipv4/ip_forward的值为1,即为开启了路由功能;
路由表的生成:
静态:手机添加
动态:基于路由协议学习,RIP2, OSPF
NAT:网络地址转换
A:10
B:172.16-172.31
C:192.168.0-192.168.255


NAT: 过载技术
Basic NAT: 静态NAT;
NAPT:动态NAT,网络地址端口转换;
源地址转换:SNAT,用于让内网主机访问互联网
目标地址转换:DNAT,让互联网上主机访问本地内网中的某服务器上的服务,(发布)


iptables基于SNAT和DNAT这两个目标实现地址转换技术;
-j SNAT --to-source SIP
规则添加:POSTROUTING链
                                        iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3-192.168.5.5
                                        iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3
                                        对于SNAT,不管是几个地址,必须明确的指定要SNAT的ip
-j MASQUERADE          

                                        iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
                                   他的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT。不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取                       eth0现在的ip地址然后做SNAT出去,这样就实现了很好的动态SNAT地址转换。

-j DNAT --to-destination DIP[:PORT]
支持端口映射


例子:
# iptables -t nat -A PREROUTING -d 172.16.100.7 -p tcp --dport 22022 -j DNAT --to-destination 192.168.20.12:22
                                      iptables -t nat -A PREROUTING -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 10443

Proxy: 



作业:如何基于FORWARD链转发对内部ftp服务的访问?


iptables实现七层访问过滤:


模块:layer7
识别应用层协议


iptables/netfilter
iptables -m state, 
netfilter state


对内核中的netfilter,打补丁layer7,重新编译内核
对iptables打补丁,补上layer7模块,重新iptables



diff/patch:文本操作工具



diff是Unix系统的一个很重要的工具程序。它用来比较两个文本文件的差异,是代码版本管理的核心工具之一。其用法非常简单:
  # diff <变动前的文件> <变动后的文件>


由于历史原因,diff有三种格式:
  * 正常格式(normal diff)
  * 上下文格式(context diff)
  * 合并格式(unified diff)


1、正常格式的diff
例如,对file1(变动前的文件)和file2(变动后的文件)进行比较可使用如下命令:
    # diff file1 file2
显示结果中,第一行是一个提示,用来说明变动位置。它分成三个部分:前面的数字,表示file1的第n行有变化;中间的"c"表示变动的模式是内容改变(change),其他模式还有"增加"(a,代表addition)和"删除"(d,代表deletion);


2、上下文格式的diff
上个世纪80年代初,加州大学伯克利分校推出BSD版本的Unix时,觉得diff的显示结果太简单,最好加入上下文,便于了解发生的变动。因此,推出了上下文格式的diff。它的使用方法是加入-c选项(即context)。
    # diff -c f1 f2
结果分成四个部分。第一部分的两行,显示两个文件的基本情况:文件名和时间信息,"***"表示变动前的文件,"---"表示变动后的文件。第二部分是15个星号,将文件的基本情况与变动内容分割开。第三部分显示变动前的文件,即file1。
另外,文件内容的每一行最前面,还有一个标记位。如果为空,表示该行无变化;如果是感叹号(!),表示该行有改动;如果是减号(-),表示该行被删除;如果是加号(+),表示该行为新增。
第四部分显示变动后的文件,即file2。


3、合并格式的diff
如果两个文件相似度很高,那么上下文格式的diff,将显示大量重复的内容,很浪费空间。1990年,GNU diff率先推出了"合并格式"的diff,将f1和f2的上下文合并在一起显示。
它的使用方法是加入u参数(代表unified)。
  # diff -u f1 f2
其结果的第一部分,也是文件的基本信息。"---"表示变动前的文件,"+++"表示变动后的文件。第二部分,变动的位置用两个@作为起首和结束。第三部分是变动的具体内容。
除了有变动的那些行以外,也是上下文各显示3行。它将两个文件的上下文,合并显示在一起,所以叫做"合并格式"。每一行最前面的标志位,空表示无变动,减号表示第一个文件删除的行,加号表示第二个文件新增的行。


diff 
-u


patch


尽管并没有指定patch和diff的关系,但通常patch都使用diff的结果来完成打补丁的工作,这和patch本身支持多种diff输出文件格式有很大关系。patch通过读入patch命令文件(可以从标准输入),对目标文件进行修改。通常先用diff命令比较新老版本,patch命令文件则采用diff的输出文件,从而保持原版本与新版本一致。


patch的标准格式为
patch [options] [originalfile] [patchfile]


如果patchfile为空则从标准输入读取patchfile内容;如果originalfile也为空,则从patchfile(肯定来自标准输入)中读取需要打补丁的文件名。因此,如果需要修改的是目录,一般都必须在patchfile中记录目录下的各个文件名。绝大多数情况下,patch都用以下这种简单的方式使用:
patch -p[num] < patchfile


patch命令可以忽略文件中的冗余信息,从中取出diff的格式以及所需要patch的文件名,文件名按照diff参数中的"源文件"、"目标文件"以及冗余信息中的"Index:"行中所指定的文件的顺序来决定。


-p参数决定了是否使用读出的源文件名的前缀目录信息,不提供-p参数,则忽略所有目录信息,-p0(或者-p 0)表示使用全部的路径信息,-p1将忽略第一个"/"以前的目录,依此类推。如/usr/src/linux-2.4.15/Makefile这样的文件名,在提供-p3参数时将使用linux-2.4.15/Makefile作为所要patch的文件。


patch
-p
-R


mockbuild


总结:操作步骤


1、获取并编译内核


# useradd mockbuild
# rpm -ivh kernel-2.6.32-431.5.1.x86_64.el6.src.rpm
# cd rpmbuild/SOURCES
# tar linux-2.6.32-*.tar.gz -C /usr/src
# cd /usr/src
# ln -sv 


2、给内核打补丁
# tar xf netfilter-layer7-v2.23.tar.bz2
# cd /usr/src/linux
# patch -p1 < /root/netfilter-layer7-v2.23/kernel-2.6.32-layer7-2.23.patch
# cp /boot/config-*  .config
# make menuconfig


3、编译并安装内核
# make
# make modules_install
# make install


4、重启系统,启用新内核


5、编译iptables


# tar xf iptables-1.4.20.tar.gz
# cp /root/netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/* /root/iptables-1.4.20/extensions/
# cp /etc/rc.d/init.d/iptales /root
# cp /etc/sysconfig/iptables-config /root
# rpm -e iptables iptables-ipv6 --nodeps
# ./configure  --prefix=/usr  --with-ksource=/usr/src/linux
# make && make install


# cp /root/iptables /etc/rc.d/init.d
# cp /root/iptables-config /etc/sysconfig


6、为layer7模块提供其所识别的协议的特征码


# tar zxvf l7-protocols-2009-05-28.tar.gz
# cd l7-protocols-2009-05-28
# make install


7、如何使用layer7模块


ACCT的功能已经可以在内核参数中按需启用或禁用。此参数需要装载nf_conntrack模块后方能生效。
net.netfilter.nf_conntrack_acct = 1




l7-filter uses the standard iptables extension syntax 
# iptables [specify table & chain] -m layer7 --l7proto [protocol name] -j [action] 



# iptables -A FORWARD -i eth1 -m layer7 --l7proto qq -j REJECT


注意:
网络防火墙:ip_forward
net.netfilter.nf_conntrack_acct参数只有装载nf_conntrack模块后方能生效



-j LOG 
--log-prefix "":指定日志前缀信息
注意:如果同样的内容要做过滤,日志规则一定放在过滤规则之前。

 

iptables

标签:2.4.1   moc   dip   user   ddr   编码   手机   主机   使用   

原文地址:https://www.cnblogs.com/as007012/p/10003120.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!