<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
Iptables防火牆tcp-flags模組擴充套件匹配規則詳解
2022-08-10 18:03:25
Iptables防火牆tcp-flags模組擴充套件匹配規則
tcp-flags模組的作用是判斷TCP協定資料包文標誌位的返回值的,在TCP的三次握手中,第一次握手使用者端向伺服器傳送syn=1的資料包文,第二次握手伺服器端向用戶端傳送sync和ack=1的報文,第三次握手使用者端向伺服器端傳送ack=1的報文。
tcp-flags模組就是來判斷傳送報文中指定的標誌位是否等於1,並且該條報文中只包含指定的標誌位,否則就拒絕通行,例如我們指定的標誌位是SYN,那麼該條報文中就只能包含SYNC,如果再包含ACK,那麼就不放行,並且標誌位的值要為1。
**案例:**
只允許其他使用者端傳送TCP請求報文到本機,本機響應可以,但是本機不可向其他主機傳送TCP請求報文。
- 首先來分析,"只允許其他使用者端傳送TCP請求到本機",根據這句話可以明確是在INPUT鏈新增相應的規則,使用者端發起請求一共需要傳送2次TCP握手,分別是第一次握手和第三次握手,通過tcp-flags模組確保使用者端傳送的報文中標誌位都是正確的,需要在INPUT鏈新增3條規則,第一條規則是匹配使用者端傳送的報文中是否只包含syn標誌位,並且值是否等於1,第二條規則是匹配使用者端傳送的報文中是否只包含ack,並且值是否等於1,如果這兩條規則都滿足,那麼就說明是使用者端向伺服器端傳送的請求,最終的動作是允許,第三條規則是拒絕其他標誌位的TCP連線請求。
- 然後來分析"本機只可以響應使用者端發起的TCP請求,但是本機不可以向其他使用者端傳送請求",根據這句話可以明確出規則是要新增在OUTPUT鏈的,我們只需要在OUTPUT鏈新增上第二次握手所包含的TCP標誌位的規則,完成響應使用者端的TCP連線請求,最後在新增一條規則,禁止其他的TCP標誌位從OUTPUT鏈發出,也就可以拒絕本機向其他的使用者端發起TCP請求。
tcp-flags模組使用的命令格式:--tcp-flags {標誌位集合} {要判斷哪個標誌位等於1}
1)編寫具體的防火牆規則
1.新增允許使用者端向本機發起TCP請求的規則 #syn=1的標誌位規則 [root@jxl-1 ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST SYN -j ACCEPT #ack=1的標誌位規則 [root@jxl-1 ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST ACK -j ACCEPT #其餘的報文都拒絕 [root@jxl-1 ~]# iptables -t filter -A INPUT -j DROP 2.新增本機響應使用者端TCP連線請求以及拒絕發起TCP請求的規則 #syn和ack都等於1 [root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp --sport 22 -m tcp --tcp-flags SYN,ACK,FIN,RST SYN,ACK -j ACCEPT #ack-1 [root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp --sport 22 -m tcp --tcp-flags SYN,ACK,FIN,RST ACK -j ACCEPT #其餘的報文全部拒絕 [root@jxl-1 ~]# iptables -t filter -A OUTPUT -j DROP
2)檢視設定的防火牆規則
[root@jxl-1 ~]# iptables -L -n -v --line-number Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 82 6416 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x10 2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 3 5169 1958K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 41 4348 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:22 tcp flags:0x17/0x10 2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:22 tcp flags:0x17/0x12 3 293 65316 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
3)檢視效果
本機無法發起TCP連線請求。
其他主機可以向本機發起TCP連線。
以上就是Iptables防火牆tcp-flags模組擴充套件匹配規則詳解的詳細內容,更多關於Iptables防火牆tcp-flags的資料請關注it145.com其它相關文章!
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45