文章摘要
这篇文章介绍了iptables防火墙中`connlimit`和`time`模块的扩展匹配规则及其应用场景。`connlimit`模块用于限制请求报文对特定服务的并发连接数,例如默认情况下Telnet没有连接限制,但应用该模块后可以设置最大并发连接数。示例案例显示,每个客户端主机最多允许同时对本机发起两个SSH连接。配置规则时需在`INPUT`链表中添加过滤规则,例如`--connlimit-above 2`表示当前连接数大于设置值时拒绝。 `time`模块则用于根据时间范围匹配报文,例如禁止在特定时间段浏览淘宝网站。案例中,在周一至周五的8点至18点期间禁止访问淘宝,配置规则需在`OUTPUT`链表中添加时间过滤条件,例如`--timestart 00:00`和`--timestop 10:00`。测试结果显示,设置生效后在规定时间内访问被拒绝,超出时间则允许。 总结而言,这两模块通过不同维度(连接数和时间)实现了流量控制功能,帮助网络管理员更精准地管理网络流量。
目录Iptables防火墙connlimit模块扩展匹配规则connlimit模块常用参数:Iptables防火墙time模块扩展匹配规则time模块的常用参数:
connlimit模块的作用是限制请求报文对特定服务的并发连接数限制的,例如Telnet服务,默认情况下没有并发连接数的限制,可以允许n个客户端同时连接,如果应用了connlimit模块,可以对并发连接数进行限制。
:如果现有连接数小于或等于设置的并发连接数值,那么就放行。:如果现有连接数大于设置的并发连接数值,那么就放行。
案例:每个客户端主机仅允许同时对本机发起两个ssh连接。
数据流入的操作,在INPUT链的filter表添加相应的规则。
1)编写具体的防火墙规则
[root@jxl-1 ~]# iptables -t filter -I INPUT -p tcp –dport 22 -m connlimit –connlimit-above 2 -j REJECT
2)查看设置的规则
[root@jxl-1 ~]# iptables -L -n -v –line-number
Chain INPUT (policy ACCEPT 52358 packets, 43M bytes)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 #conn src/32 > 2 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 52598 packets, 68M bytes)
num pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 52358 packets, 43M bytes)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 #conn src/32 > 2 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 52598 packets, 68M bytes)
num pkts bytes target prot opt in out source destination
3)测试效果
同时登陆两个ssh没问题,第三个时就提示无法连接了。
time模块的作用是根据时间范围来匹配报文,例如在上午的8点30到下午18点30关于浏览淘宝的报文都拒绝。
:指定开始时间。:指定结束时间。:指定一个月中的某一天。:指定一周中的周期,例如1-7。:使用内核时区的时间。
可以在参数前面加!号表示去反。
time模块默认使用的实际UTC时间,UTC时间比我们正常的时间慢8小时。
案例:在周一到周五的8:00到18:00禁止访问淘宝网站。
此案例也是将防火墙看做了是路由器,在流量流出时定义防火墙规则,也就是在防火墙的OUTPUT链定义规则。
1)编写防火墙规则
在周一到周五的8点到18点时间段,所有发往taobao.com的TCP 80端口的报文都会被拒绝。
[root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -d taobao.com –dport 80 -m time –timestart 00:00 –timestop 10:00 –weekdays 1,2,3,4,5 -j DROP
2)查看设置的防火墙规则
淘宝网的地址有很多,写入防火墙后,会将解析出来的多个IP地址都写入到表中,如下图所示。
3)测试效果
在周一到周五的早上8点到晚上18点的范围之间,再想访问淘宝网,则会被拦截。
以上就是Iptables防火墙connlimit与time模块扩展匹配规则的详细内容,更多关于Iptables防火墙connlimit time的资料请关注脚本之家其它相关文章!
您可能感兴趣的文章:Iptables防火墙自定义链表实现方式Iptables防火墙基本匹配条件应用详解Iptables防火墙四表五链概念及使用技巧详解Iptables防火墙iprange模块扩展匹配规则详解Iptables防火墙tcp-flags模块扩展匹配规则详解Iptables防火墙string模块扩展匹配规则Iptables防火墙limit模块扩展匹配规则详解
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
