免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 49717 | 回复: 113

CU线上连载讨论一 Linux iptables使用问题和内核Netfilter流程 [复制链接]

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2011-07-14 10:53 |显示全部楼层
网络和Linux是当今IT行业比较热的两个话题,很多初学者不知道如何下手来学习Linux下的网络。这里有两个话题来循序渐进的了解Linux的网络部分.第一个话题为如何使用Linux下的现有工具来解决网络中的问题以及从应用层的观点来了解Netfilter流程;第二个话题从内核源码的角度来剖析Linux网络部分。

讨论话题:
Linux iptables使用问题和内核Netfilter流程——把平常使用中的问题总结一下,让初学的人少走一些弯路;或者把平常用到的很多模块的安装使用一起交流一下。

活动时间:2011-07-14——2011-07-27

邀请嘉宾:
platinum 白金        CU社区资深版主
Godbach哥德巴赫   CU社区资深版主

活动奖励:Linux网络编程图书五本,活动结束后,积极提问讨论者(积极回复超过3贴)随机抽取5名幸运网友进行奖励。
1212.jpg

作者: 宋敬彬 孙海滨 # 丛书名: Linux典藏大系    出版社:清华大学出版社  定价:79元
图书简介:
 linux是目前最流行的开源操作系统,网络功能在linux下占有核心的地位。本书循序渐进地从应用层到linux内核、从基本知识点到综合案例,向读者介绍如何在linux下进行网络程序设计。本书内容分为4个部分:linux程序设计基础部分、linux用户空间网络编程部分、linux内核网络编程部分以及综合案例部分。内容包含linux系统概述、linux编程环境、linux文件系统简介、linux下的进程和线程、tcp/ip协议族、应用层网络服务程序、tcp编程、主机信息获取、数据io复用、udp编程、高级套接字、套接字选项、原始套接字、服务器模型、ipv6、linux 内核网络部分结构及分布、netfilter框架内报文处理。为了方便读者学习,本书最后一个部分介绍了3个综合案例,包括应用层的web服务器例子、简单的应用层网络协议站例子和内核层网防火墙的例子。.

论坛徽章:
0
发表于 2011-07-14 10:57 |显示全部楼层
沙发招租

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2011-07-14 10:58 |显示全部楼层
这个必须支持

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2011-07-14 11:00 |显示全部楼层
好活动,支持啊。
欢迎大家踊跃讨论!

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2011-07-14 11:04 |显示全部楼层
在论坛里面,新手最常见的问题,有一下两个
1.没有开启内核的ip转发.
这个可以修改/etc/sysctl.conf,将net.ipv4.ip_forward = 0的0改成1
2.iptables默认规则为Drop的情况下,没有设置ESTABLISHED,RELATED这两个状态的包允许通过

评分

参与人数 1可用积分 +6 收起 理由
Godbach + 6 感谢分享

查看全部评分

论坛徽章:
0
发表于 2011-07-14 11:06 |显示全部楼层
在论坛里面,新手最常见的问题,有一下两个
1.没有开启内核的ip转发.
这个可以修改/etc/sysctl.conf,将net. ...
chenyx 发表于 2011-07-14 11:04



    欢迎分享~!

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2011-07-14 11:14 |显示全部楼层
回复 5# chenyx

2.iptables默认规则为Drop的情况下,没有设置ESTABLISHED,RELATED这两个状态的包允许通过

这个其实在于你用不用状态检测了。

如果不用的话,那么前面明确所有可以通过的规则,其余的 Drop 就可以了。

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2011-07-14 11:16 |显示全部楼层
回复 7# Godbach


    哦,是这样啊,godbash给个实例,研究下

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2011-07-14 11:21 |显示全部楼层
本帖最后由 瀚海书香 于 2011-07-14 11:30 编辑

很多单位需要禁止员工上某些网站,但是单纯的字符串匹配无法进行批量的域名匹配,而且容易出现误匹配。
这有一个以前写的用来匹配域名的模块。
使用方法如下:

iptables -A FORWARD -m domain --domain ".baidu.com" -j DROP
上面的规则会禁止掉所有以baidu.com结尾的域名查询。

iptables -A FORWARD -m domain --domain "www.sina.com.cn" -j DROP
上面的规则会禁止掉www.sina.com.cn域名的查询。

附件中源码,包括netfilter的match模块和iptables的库。

现在的遗憾是只支持2.6.24.4版本,哪位大侠看看给做成多版本支持的。

ipt_domain.c

4.19 KB, 下载次数: 286

ipt_domain.h

121 Bytes, 下载次数: 186

libipt_domain.c

1.94 KB, 下载次数: 203

Makefile

338 Bytes, 下载次数: 179

评分

参与人数 1可用积分 +8 收起 理由
Godbach + 8 感谢分享

查看全部评分

论坛徽章:
0
发表于 2011-07-14 11:24 |显示全部楼层
这有一个以前写的用来匹配域名的模块。
使用方法如下:

iptables -A FORWARD -m domain --domain ".bai ...
瀚海书香 发表于 2011-07-14 11:21



    LZ真给力啊  大家也一起分享下自己的好东西嘛
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP