iptables的使用规则

大宇进阶之路2023-08-25 13:23

环境中为了安全要限制swagger的访问,最简单的方式是通过iptables防火墙设置规则限制。

在测试服务器中设置访问swagger-ui.html显示如下,区分大小写:

iptables设置限制访问9783端口的swagger字段的请求:

复制代码 
iptables -A INPUT -p tcp --dport 9783 -m string --algo bm --string "swagger-" -j DROP

访问小写swagger已被禁止,但是访问SWAGGer大写还是正常,需要加忽略大小写设置:

复制代码 
iptables -A INPUT -p tcp --dport 9783 -m string --icase  --algo bm --string "swagger-" -j DROP

经过以上设置后,再增加本机访问swagger的设置:

复制代码 
iptables -I INPUT -s 192.168.108.27 -p tcp --dport 9783 -m string --icase --string "swagger-" --algo bm -j ACCEPT

iptables常用命令:

插入修改选项:

-t 表名\]:该规则所操作的哪个表,可以使用filter、nat等,如果没有指定则默认为filter -A:新增一条规则,到该规则链列表的最后一行 -I:插入一条规则,原本该位置上的规则会往后顺序移动,没有指定编号则为1 -D:从规则链中删除一条规则,要么输入完整的规则,或者指定规则编号加以删除 -R:替换某条规则,规则替换不会改变顺序,而且必须指定编号。 -P:设置某条规则链的默认动作 -nL:-L、-n,查看当前运行的防火墙规则列表 chain名:指定规则表的哪个链,如INPUT、OUPUT、FORWARD、PREROUTING等 \[规则编号\]:插入、删除、替换规则时用,--line-numbers显示号码 \[-i\|o 网卡名称\]:i是指定数据包从哪块网卡进入,o是指定数据包从哪块网卡输出 \[-p 协议类型\]:可以指定规则应用的协议,包含tcp、udp和icmp等 \[-s 源IP地址\]:源主机的IP地址或子网地址 \[--sport 源端口号\]:数据包的IP的源端口号 \[-d目标IP地址\]:目标主机的IP地址或子网地址 \[--dport目标端口号\]:数据包的IP的目标端口号 -m:extend matches,这个选项用于提供更多的匹配参数,如: -m state --state ESTABLISHED,RELATED,INVALID,RELATED -m tcp --dport 22 -m multiport --dports 80,8080 -m icmp --icmp-type 8 \<-j 动作\>:处理数据包的动作,包括ACCEPT、DROP、REJECT等 查看当前防火墙规则 iptables -L -n iptables -nL 效果一样 删除对应规则,可命令查看到每个规则chain的序列号。 iptables -L -n --line-number iptables -D INPUT 3 #删除INPUT的第三条已添加规则,这里3代表第几行规则 如下所示![](https://file.jishuzhan.net/article/1694943600174960641/3cdeec1900bd4ec5a3c64c7ff86cc3fa.png) | 选项名称 | 选项说明 | |----------------------------|--------------------------------------------------------------------------------| | --algo {bm\|kmp} | 设置匹配模式。bm 和 kmp 为两种不同的字符串匹配算法。bm 是 Boyer-Moore 算法,kmp 是 Knuth-Pratt-Morris 算法。 | | --from offset | 设置搜索的开始便宜量,默认为 0。 | | --to offset | 设置搜索的结束偏移量,默认为数据包的大小。 | | \[!\] --string pattern | 匹配指定的字符串规则。 | | \[!\] --hex-string pattern | 匹配指定的 16 进制格式字符串规则。 | | --icase | 搜索时忽略大小写。 | 参考文章: [iptables防火墙_Jerry00713的博客-CSDN博客](https://blog.csdn.net/Jerry00713/article/details/127707793 "iptables防火墙_Jerry00713的博客-CSDN博客") [https://www.cnblogs.com/balzac/p/15738052.html](https://www.cnblogs.com/balzac/p/15738052.html "https://www.cnblogs.com/balzac/p/15738052.html")

相关推荐
阿干tkl4 分钟前
误卸载 openssl-libs 的补救方法
linux·运维
PFinal社区_南丞5 分钟前
服务器进程日志分析:从头皮发麻到AI解救
运维·后端
G_H_S_3_6 分钟前
【网络运维】Docker网络:基础与实战
linux·运维·网络·docker
加藤不太惠9 分钟前
docker简单了解使用
运维·docker·容器
Lisonseekpan10 分钟前
RBAC 基于角色的访问控制模型详解与实践指南
java·服务器·网络·后端·spring·log4j
嵌入式学习和实践16 分钟前
Linux/Windows 系统架构查看、安装包选择指南(嵌入式开发场景适配)
linux·windows·系统架构
小安运维日记23 分钟前
RHCA - DO374 | Day09:自定义内容集和执行环境
linux·运维·服务器·系统架构·ansible·改行学it
2501_9388101132 分钟前
动态IP与短效IP的关系
服务器·网络协议·tcp/ip
TAEHENGV37 分钟前
提醒历史模块 Cordova 与 OpenHarmony 混合开发实战
运维·服务器
虾..42 分钟前
Linux 进程间通信---命名管道
linux·运维·服务器
热门推荐
01GitHub 镜像站点02从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击033D 圣诞树网页代码04UV安装并设置国内源05Linux下V2Ray安装配置指南06Gemini3 生成的基于手势控制3D粒子圣诞树07在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)08解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题09开源分享 | 超浪漫 3D 圣诞树立体动画(附零基础使用教程)10GLM-4.7 vs MiniMax-M2.1:代码工程理解