在运行 unix 的路由器上,我希望监视所有传出的数据包,在这些数据包中,我想暂时将我正在连接的 IP 地址列入白名单,以便发送和接收。
基本上是在防火墙中创建一个针孔,该针孔通常会丢弃所有传入的数据包(丢弃除白名单之外的所有数据包,根据我发送数据包连接到的 ips,此脚本将这些数据包列入白名单)。环顾四周,我可以根据数据包嗅探器制作一个 bash 脚本,但是有没有办法在 iptables 本身内完成它而不必涉及数据包嗅探器和 bash 脚本?
AskOverflow.Dev
在运行 unix 的路由器上,我希望监视所有传出的数据包,在这些数据包中,我想暂时将我正在连接的 IP 地址列入白名单,以便发送和接收。
基本上是在防火墙中创建一个针孔,该针孔通常会丢弃所有传入的数据包(丢弃除白名单之外的所有数据包,根据我发送数据包连接到的 ips,此脚本将这些数据包列入白名单)。环顾四周,我可以根据数据包嗅探器制作一个 bash 脚本,但是有没有办法在 iptables 本身内完成它而不必涉及数据包嗅探器和 bash 脚本?
这已经以 iptables 中的连接跟踪模块的形式存在。 这个 Digital Ocean 教程描述了这一点,当代发行版通常默认实现这一点。
在执行此操作之前,请确保如果您将自己锁在门外,您有办法重新进入。
本质上:
所有传入的数据包都将被丢弃,除非它们与已建立的连接有关。
基于 shell 的机制可能太慢,无法跟上机器创建连接的速度。