❶ openwrt路由器怎么使用iptables进行域名过滤
电信的宽带无抄线路由宽带猫设袭备只要开启Mac无线网卡过滤,就可以避免不在设置范围内的无线网卡连接到wifi网络信号。 只要开启MAC无线网卡地址过滤,就可以屏蔽其他蹭网的无线网卡设备连接你的无线网络。 开启路由器的无线网卡过滤,设置不在你的设置范围内的无线网卡,就不可能有能力连接上这个无线网络wifi热点。
❷ iptables 实现访问linux下mysql数据库mac地址过滤的功能,为啥实现不了呢
iptables是按先后顺序处理的,
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 这里ACCEPT之后就直接访问MYSQL数据库去了
-A INPUT -p tcp --destination-port 3306 -m mac --mac-source 04:7D:7B:E7:8B:5B -j DROP这条策略完全没起到作用
把这两条策略顺序改过来试试看
❸ iptables怎么添加规则过滤掉一些网址 iptables能过滤包中的特殊字吗
默认的iptables不具备过滤网站的功能,可以通过配置iptables Layer7应用层过滤功能来实现,可以满足你的要求,如过滤网站、禁止某些应用(QQ、迅雷等),你可以查阅相关的资料
❹ linux下iptables如何过滤同一网段的连续几个IP
过滤来源地自址范围:
iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP
过滤目标地址范围:
iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP
❺ 防火墙iptables的包过滤的基本流程
简单地说来,就是设定一些规则,自对进来和出去的数据包的ip做检查,符合规则的通行,不符合的做响应的处理,要了解这个流程中的三个表:
nat表,filter表,mangle表,
五条链:INPUT链,OUTPUT链,FORWARD链,PREROUTING链,POSTROUTING链。
1)对于进来的包:经过IP校验后,经过第一条链PREROUTING处理,一般是做DNAT;然后经过路由,决定是到本地的还是需要转发的包。
a、如果是到本地的,就经过INPUT链处理,比如过滤等,经过处理后发往上层协议。
b、如果是需要转发的,经过FORWARD链处理,一般是做过滤,然后经过路由代码,再经过POSTROUTING链处理(主要是做SNAT),再传输到网络上。
2)对于本地产生的包:先经过OUTPUT链处理,若过滤可以后,进行路由选择处理,然后经过POSTROUTING做SNAT处理后发送到网络上。
大概的原理就是这样,啰啰嗦嗦一对不如去看看netfilter网站,讲得更清楚一些。
❻ linux怎么屏蔽美国ip地址
工具/原料
Linux服务器
电脑一台
方法/步骤
其实国外的IP 有很多的,而且那么多的国家IP量是非常大的,一个国家的IP的不多,也就是说我们可以收集到国内的IP,然后只允许国内的IP 访问,其它的IP都拒绝,这样也可以达到过滤到国外IP的办法。
我们可以完全使用iptables来进行过滤
首先说一下iptables 允许一个IP 的办法
iptables -A INPUT -s 114.114.114.114 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -d 114.114.114.114 -p TCP --sport 80 -j ACCEPT
这样子就可以允许一个IP 访问服务器端的80端口了
如果需要使用iptables来允许一个IP段的话,我们可以这样子
iptables -A INPUT -s 121.10.139.0/24 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -d 121.10.139.0/24 -p TCP --sport 80 -j ACCEPT
这样子就可以允许一个IP段 访问服务器端的80端口了
上面介绍了如何允许一个IP 或者IP 段访问的办法,这时我们就可以把收集到的全国的IP 段都允许访问服务器。
当然不是手动一个个打,我们可以把它做成shell脚本,然后运行一下即可添加到防火墙里边了。
然后运行脚本,即可全部添加到规则里边了,十分方便。这个就需要您收集到准确的国内IP 以及shell脚本的一些知识。
7
最后再运行使用iptables -A INPUT -j DROP 然后其他的国外IP 都给拒绝了。
❼ linux下iptables如何过滤同一网段的连续几个IP
过滤源地址范围:
iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP
过滤目标地址范围:
iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP
❽ 关于iptables做网关过滤数据包的一些问题
为了能采用远程SSH登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
只允许.168.0.3的机器进行SSH连接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.
写 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的规则连接也一样这么设置.
虚拟通道我没明白你什么意思,如果是指特定端口,上面就是,如果是指特定设备,举个网卡的例子给你
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
上面的操作做完之后别忘了
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
❾ 如何用Iptables实现URL过滤
iptables的配置文件保存在/etc/sysconfig/iptables-config下,书写了iptables规则以后如果需要保存规则,则可以使用命令:iptables-save,使专用此命令保存的属规则位置可以是任意的,此时保存的规则在重启机器后无法自动生效,需要使用命令iptables
❿ iptables基于应用层的过滤除了过滤应用层协议 还会过滤哪些字段
iptables 它是一个典型的网络防火墙,也就是说,它最多也就只能过滤 TCP / IP 协议栈,对于像 QQ ,迅雷,酷狗,大智慧等这样的应用层协议, iptables 是没有用武之地的;可什么事情都不是绝对的,这不,美国的一个大牛程序员就为 iptables / netfilter 开发了一个补丁,只要为内核打上layer7这个补丁,那么你就不会再为过滤 QQ 等应用层协议而忧愁了,实现起来就是分分钟钟的事。因为
netfilter 是工作于内核空间的,所以我们为其打上补丁后需重新编译内核。而目前官网提供的layer7版本比较低,如果想要实现其功能,只有两个方法:第一为内核降级,第二需编译内核源码。