欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Iptables防火墻connlimit與time模塊擴(kuò)展匹配規(guī)則

 更新時(shí)間:2022年08月10日 15:18:35   作者:jiangxl  
這篇文章主要為大家介紹了Iptables防火墻connlimit與time模塊擴(kuò)展匹配規(guī)則詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

Iptables防火墻connlimit模塊擴(kuò)展匹配規(guī)則

connlimit模塊的作用是限制請(qǐng)求報(bào)文對(duì)特定服務(wù)的并發(fā)連接數(shù)限制的,例如Telnet服務(wù),默認(rèn)情況下沒(méi)有并發(fā)連接數(shù)的限制,可以允許n個(gè)客戶(hù)端同時(shí)連接,如果應(yīng)用了connlimit模塊,可以對(duì)并發(fā)連接數(shù)進(jìn)行限制。

connlimit模塊常用參數(shù):

  • --connlimit-upto:如果現(xiàn)有連接數(shù)小于或等于設(shè)置的并發(fā)連接數(shù)值,那么就放行。
  • --connlimit-above:如果現(xiàn)有連接數(shù)大于設(shè)置的并發(fā)連接數(shù)值,那么就放行。

案例:每個(gè)客戶(hù)端主機(jī)僅允許同時(shí)對(duì)本機(jī)發(fā)起兩個(gè)ssh連接。

數(shù)據(jù)流入的操作,在INPUT鏈的filter表添加相應(yīng)的規(guī)則。

1)編寫(xiě)具體的防火墻規(guī)則

[root@jxl-1 ~]# iptables -t filter -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

2)查看設(shè)置的規(guī)則

[root@jxl-1 ~]# iptables -L -n -v --line-number 
Chain INPUT (policy ACCEPT 52358 packets, 43M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 #conn src/32 > 2 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 52598 packets, 68M bytes)
num   pkts bytes target     prot opt in     out     source               destination

3)測(cè)試效果

同時(shí)登陸兩個(gè)ssh沒(méi)問(wèn)題,第三個(gè)時(shí)就提示無(wú)法連接了。

Iptables防火墻time模塊擴(kuò)展匹配規(guī)則

time模塊的作用是根據(jù)時(shí)間范圍來(lái)匹配報(bào)文,例如在上午的8點(diǎn)30到下午18點(diǎn)30關(guān)于瀏覽淘寶的報(bào)文都拒絕。

time模塊的常用參數(shù):

  • --timestart:指定開(kāi)始時(shí)間。
  • --timestop:指定結(jié)束時(shí)間。
  • --monthdays:指定一個(gè)月中的某一天。
  • --weekdays:指定一周中的周期,例如1-7。
  • --kerneltz:使用內(nèi)核時(shí)區(qū)的時(shí)間。

可以在參數(shù)前面加!號(hào)表示去反。

time模塊默認(rèn)使用的實(shí)際UTC時(shí)間,UTC時(shí)間比我們正常的時(shí)間慢8小時(shí)。

案例:在周一到周五的8:00到18:00禁止訪(fǎng)問(wèn)淘寶網(wǎng)站。

此案例也是將防火墻看做了是路由器,在流量流出時(shí)定義防火墻規(guī)則,也就是在防火墻的OUTPUT鏈定義規(guī)則。

1)編寫(xiě)防火墻規(guī)則

在周一到周五的8點(diǎn)到18點(diǎn)時(shí)間段,所有發(fā)往taobao.com的TCP 80端口的報(bào)文都會(huì)被拒絕。

[root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -d taobao.com --dport 80 -m time --timestart 00:00 --timestop 10:00 --weekdays 1,2,3,4,5 -j DROP

2)查看設(shè)置的防火墻規(guī)則

淘寶網(wǎng)的地址有很多,寫(xiě)入防火墻后,會(huì)將解析出來(lái)的多個(gè)IP地址都寫(xiě)入到表中,如下圖所示。

3)測(cè)試效果

在周一到周五的早上8點(diǎn)到晚上18點(diǎn)的范圍之間,再想訪(fǎng)問(wèn)淘寶網(wǎng),則會(huì)被攔截。

以上就是Iptables防火墻connlimit與time模塊擴(kuò)展匹配規(guī)則的詳細(xì)內(nèi)容,更多關(guān)于Iptables防火墻connlimit time的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

最新評(píng)論