针对域名做iptables
前景:
很偶然,由于业务需求,需要对现有的一台核心设备做安全防护,然后第一念头就想到了iptables,接着全网统计ip段,各种INPUT链各种添加规则,很兴奋的就上了线。
第一天运行正常,没有发现异常。
第二天,开始有调用方反馈自己调用接口未成功,第一想法就是iptables应该是有问题的,在和研发人员一路排查的时候,发现所有的调用都拥塞了,out的数据都没有问题,但是返回的数据全部拒掉了,原因是核心设备在别人调用的时候,也调用了第三方的接口,核心机需要接收第三方返回的数据,而第三方是域名;
解决思路:
首先想到的是向调用的第三方取得所有域名下的ip段,但与第三方沟通得知,设备会经常变更,ip段也会变化;想了想,这样可以给个接口什么的,第三方变化可以直接提交新的ip,然后通过脚本来自动更改iptables策略
但想了想,能不能针对域名做策略?
网上开始各种down。。。。。。。然后找到了前同事白大师的一篇贴子,,抓到了救命稻草。。。。
别吐槽,解决问题就行
以下内容转自chinaunix 白大师 贴子
=====================================2008.07.19 v0.0.3支持 kernel 2.6.26支持 iptables 1.4.1=====================================2006.07.14 v0.0.2修正了 iptables-save 时存在的 bug修正了匹配方式,大幅度提高了匹配效率=====================================2006.07.13 v0.0.1匹配 DNS 域名解析内容模块 domain 正式发布=====================================
复制代码</pre><pre code_snippet_id="1790226" snippet_file_name="blog_20160728_3_3361293" name="code" class="python">INSTALL
domain v0.0.22006.07.14, platinum
=======================How to install ?# make KERNEL_SRC=<your kernel source> IPTABLES_SRC=<your iptables source> installHow to use ?# iptables -m domain -h
复制代码iptables -m domain -h
domain v0.0.2 options:--name "www.chinaunix.net" Match the domain named "www.chinaunix.net"--name "chinaunix.net" Match the domain named "chinaunix.net"include [url]www.chinunix.net[/url], bbs.chinaunix.net, man.chinaunix.net转自链接如下:
http://bbs.chinaunix.net/thread-2170400-1-1.html
几天后,在同事的帮助下,用另一种方法实现了业务需求
multiport模块
可以使用multiport模块统一一次指定多个端口。
在写规则时,必须指定“ -m ”参数来检查状态
-m stat --state 检测包状态
-m multiport这个模块可以匹配一组源或者目的的端口号,最多达15个端口;
状态保持信息:
INVALID意味着这个包没有已知的流或连接与之关联,也可能是它包含的数据或包头有问题。
ESTABLISHED意思是包是完全有效的,而且属于一个已建立的连接,这个连接的两端都已经有数据发送。
NEW表示包将要或已经开始建立一个新的连接,或者是这个包和一个还没有在两端都有数据发送的连接有关。
RELATED说明包正在建立一个新的连接,这个连接是和一个已建立的连接相关的。比如,FTP data transfer,ICMP error 和一个TCP或UDP连接相关。
注意NEW状态并不在试图建立新连接的TCP包里寻找SYN标记,因此它不应该不加修改地用在只有一个防火墙或在不同的防火墙之间没有启用负载平衡的地方。
示例:
1、iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
2、Iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 21,80,443,8080 -j ACCEPT
针对域名做iptables相关推荐
- SAP HUM针对HU做货物移动后生成的物料凭证何处看相关的HU信息?
SAP HUM针对HU做货物移动后生成的物料凭证何处看相关的HU信息? VLMOVE事务代码,对某个HU做货物移动,过账后产生如下的物料凭证号, MIGO里显示这个物料凭证号, 想知道该物料凭证号针对 ...
- 二级域名做SEO优化有怎样的利弊关系?
众所周知,二级域名和主域名有着重要的联系,也可以这个说,一个二级域名的网站可以说是主域名的内页.现在也有很多站长们都很喜欢优化网站主域名而降二级域名抛之脑后,这对网站的排名和权重分布是非常不利的,那么 ...
- 插入始终是1_OneNote使用小记(1)——针对PPT做笔记及最合适的PPT插入方式
本人经常使用OneNote进行上课笔记的记录,本文大概总结一下我是如何在上课时针对PPT进行笔记记录的,以及非常重要的PPT插入所占空间的问题. 设备:普通笔记本电脑,无触控,故不使用绘图功能 软件: ...
- 多域名linux面板,宝塔面板操作多个域名做301跳转
都知道在网站更换域名的过程中为了保住收录和排名,就需要通过搜索引擎提供的改版工具来进行操作.而其中最重要的就是对老域名进行301永久重定向获得搜索引擎的收录更新.实现301有很多方法,可以通过web服 ...
- 从soso改版说如何针对soso做优化
自从soso用发薪计划来吸引用户以来,搜搜就渐渐全方位试水,想在竞争激烈的搜索领域占据更多的市场份额.近日,搜搜的首页悄然变脸,让人对搜搜未来的走向产生浓厚的关注兴趣.seo从业者们也发现,从soso ...
- 为什么onenote一直在加载_OneNote使用小记(1)——针对PPT做笔记及最合适的PPT插入方式...
本人经常使用OneNote进行上课笔记的记录,本文大概总结一下我是如何在上课时针对PPT进行笔记记录的,以及非常重要的PPT插入所占空间的问题. 设备:普通笔记本电脑,无触控,故不使用绘图功能 软件: ...
- 权重老域名在哪里找-怎么找有历史权重域名做站
在哪挖老域名 在哪挖老域名?作为一个SEO人员,这是一个常见的问题.其实,有许多方法可以挖掘老域名,其中一种最有效的方法是使用147SEO老域名挖掘工具. 147SEO老域名挖掘工具是一种基于云平台的 ...
- 备案是针对域名还是服务器?
场景: 经常见到有这样的说法,"准备购买一个服务器搭建自己的网站,但是要自己的网站能够被别人在浏览器中访问到还需要购买域名进行备案一系列的",那么,这里的备案是指域名备案还是服务器 ...
- OpenResty 通过二级域名做跳转
if ( $host ~* (\b(?!www\b)\w+)\.\w+\.\w+ ) { #获取nba.test.com域名中的nba set $subdomain $1; } location / ...
最新文章
- dom刷新局部元素_JavaScript中DOM和BOM基础
- 可视化:在窗口中显示一个球,该球以与水平成45度夹角作直线运动,当遇到边界时,反弹回来,仍与水平成45度角继续运动。
- Leetcode代码练习(三)
- nginx配置文件nginx.conf
- 使用 Docker 部署 Node 服务
- 深度:芸芸众司向AI进军路上的笑与泪
- NSIS V3.08 简体中文增强版
- 剩余方差matlab,matlab 统计基本函数 var方差
- 两台计算机怎样共享一台打印机共享文件夹,二台不同系统电脑怎么样共享一台打印机...
- python字典forward_python工具库库介绍-bidict: 双向字典
- Maven报:Unable to import maven project: See logs for details
- 《雅舍谈吃》读书笔记
- 实验二 数字类型及其操作(新)
- UE4 材质笔记之水洼(贴花)
- 自建云存储:Nextcloud vs. ownCloud vs. Seafile
- 第十七届D2大会(II)
- 下载的时候提示:“写入到文件时产生错误(请用磁盘检查工具检查修复)”的解决办法
- 【破解】Sothink SWF Decompiler 5.2 注册机
- spring security 安全框架改造统一登录oauth2.0方式
- 第七章:B视频-Entity FrameWork代码生成