Início / unix / Perguntas / 500434
Accepted
chris01
Asked: 2019-02-14 08:31:06 +0800 CST

iptables: tendo um contexto para regras

  • 772

Estou procurando uma maneira de obter um contexto/status no iptables-rules. Não estou falando do contexto de uma sessão aqui (novo, estabelecido, ...).

Por exemplo

Request to port 80                  => PASS + set CONTEXT to 1
Request to port 88 and CONTEXT is 1 => PASS

Então, um mecanismo que é uma espécie de simples memória do passado.

Isso é possível com uma extensão existente?

iptables

1 respostas

  1. Best Answer

    A recentcorrespondência (que, como iptablescorrespondência, não é padrão: pode ser usada para verificar ou alterar as informações) pode ser usada para seu propósito:

    iptables -A INPUT -p tcp --dport 80 -m recent --set --name contextA -j ACCEPT
iptables -A INPUT -p tcp --dport 88 -m recent --rcheck --name contextA -j ACCEPT

    Agora é certamente necessário mais encanamento, incluindo o uso de opções como --secondsou regras adicionais com opção --removeou o "contexto" ficará para sempre definido. Tudo depende do objetivo real incalculável que você está procurando.

    Para configurações mais complexas, a interface iptablescom o ipsetuso de setmatch e SETtarget provavelmente pode ajudar (é um superconjunto de recent).

    Se você precisar disso para bater na porta, há uma pknockcorrespondência específica disponível xtables-addons(que geralmente requer compilação, já que vem com módulos externos do kernel), mas considere também ferramentas como fwknop.

    • 1

relate perguntas