欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Iptables防火墻connlimit與time模塊擴(kuò)展匹配規(guī)則

 更新時(shí)間:2022年08月10日 15:18:35   作者:jiangxl  
這篇文章主要為大家介紹了Iptables防火墻connlimit與time模塊擴(kuò)展匹配規(guī)則詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

Iptables防火墻connlimit模塊擴(kuò)展匹配規(guī)則

connlimit模塊的作用是限制請(qǐng)求報(bào)文對(duì)特定服務(wù)的并發(fā)連接數(shù)限制的,例如Telnet服務(wù),默認(rèn)情況下沒有并發(fā)連接數(shù)的限制,可以允許n個(gè)客戶端同時(shí)連接,如果應(yīng)用了connlimit模塊,可以對(duì)并發(fā)連接數(shù)進(jìn)行限制。

connlimit模塊常用參數(shù):

  • --connlimit-upto:如果現(xiàn)有連接數(shù)小于或等于設(shè)置的并發(fā)連接數(shù)值,那么就放行。
  • --connlimit-above:如果現(xiàn)有連接數(shù)大于設(shè)置的并發(fā)連接數(shù)值,那么就放行。

案例:每個(gè)客戶端主機(jī)僅允許同時(shí)對(duì)本機(jī)發(fā)起兩個(gè)ssh連接。

數(shù)據(jù)流入的操作,在INPUT鏈的filter表添加相應(yīng)的規(guī)則。

1)編寫具體的防火墻規(guī)則

[root@jxl-1 ~]# iptables -t filter -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

2)查看設(shè)置的規(guī)則

[root@jxl-1 ~]# iptables -L -n -v --line-number 
Chain INPUT (policy ACCEPT 52358 packets, 43M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 #conn src/32 > 2 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 52598 packets, 68M bytes)
num   pkts bytes target     prot opt in     out     source               destination

3)測(cè)試效果

同時(shí)登陸兩個(gè)ssh沒問題,第三個(gè)時(shí)就提示無法連接了。

Iptables防火墻time模塊擴(kuò)展匹配規(guī)則

time模塊的作用是根據(jù)時(shí)間范圍來匹配報(bào)文,例如在上午的8點(diǎn)30到下午18點(diǎn)30關(guān)于瀏覽淘寶的報(bào)文都拒絕。

time模塊的常用參數(shù):

  • --timestart:指定開始時(shí)間。
  • --timestop:指定結(jié)束時(shí)間。
  • --monthdays:指定一個(gè)月中的某一天。
  • --weekdays:指定一周中的周期,例如1-7。
  • --kerneltz:使用內(nèi)核時(shí)區(qū)的時(shí)間。

可以在參數(shù)前面加!號(hào)表示去反。

time模塊默認(rèn)使用的實(shí)際UTC時(shí)間,UTC時(shí)間比我們正常的時(shí)間慢8小時(shí)。

案例:在周一到周五的8:00到18:00禁止訪問淘寶網(wǎng)站。

此案例也是將防火墻看做了是路由器,在流量流出時(shí)定義防火墻規(guī)則,也就是在防火墻的OUTPUT鏈定義規(guī)則。

1)編寫防火墻規(guī)則

在周一到周五的8點(diǎn)到18點(diǎn)時(shí)間段,所有發(fā)往taobao.com的TCP 80端口的報(bào)文都會(huì)被拒絕。

[root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -d taobao.com --dport 80 -m time --timestart 00:00 --timestop 10:00 --weekdays 1,2,3,4,5 -j DROP

2)查看設(shè)置的防火墻規(guī)則

淘寶網(wǎng)的地址有很多,寫入防火墻后,會(huì)將解析出來的多個(gè)IP地址都寫入到表中,如下圖所示。

3)測(cè)試效果

在周一到周五的早上8點(diǎn)到晚上18點(diǎn)的范圍之間,再想訪問淘寶網(wǎng),則會(huì)被攔截。

以上就是Iptables防火墻connlimit與time模塊擴(kuò)展匹配規(guī)則的詳細(xì)內(nèi)容,更多關(guān)于Iptables防火墻connlimit time的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

最新評(píng)論