iptables 能不有实现如下的高级玩法? - V2EX

Home Sign Up Sign In

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

This topic created in 3362 days ago, the information mentioned may be changed or developed.

服务器上用 iptables 设置默认禁止一切 IP 访问,

假如现在要在 A 机访问服务器,能否在不对服务器上的 iptables 做修改的情况下,
能通过某些手段能让服务器动态的放行 A 机器的一切流量?

(是否有类似于 http 的 authorization 或者 cookie 这样的功能)

17 replies • 2017-03-26 19:28:30 +08:00

1

jimzhong

Mar 24, 2017

2

你可以用 port knock

2

widewing

Mar 24, 2017 via Android

可以用 ipset

3

ywgx

Mar 24, 2017

参考下宇宙中时空隧道的设计与实现，和你的需求类似，默认拒绝任何人通过隧道，不定期动态的放行一些人或飞行器进入

4

wh0syourda66y

Mar 24, 2017

iptables 路由到一个本地 http 服务器，认证通过后，把符合条件的流量添加一个标签，符合标签的转发到认证通过的路由集合里

5

akira

Mar 24, 2017

不管是哪种都会需要对 iptables 做修改

6

BOYPT

Mar 24, 2017

在 php 后台调用添加 A 机器的 IP 添加到 ipset ，匹配 set 的地址即可通过放行；
可能要定期清理这个 set 的地址池；

7

ipconfiger

Mar 24, 2017

动态的加入和删除规则...... 貌似可以实现

8

est

Mar 24, 2017

可以实现。我最近就做了一个。很简单。 @KCheshireCat 那里估计有纯 bpf 实现。

9

est

Mar 24, 2017

看起来已经有人做了的样子

https://github.com/qmonnet/pkpoc-bpf

10

SharkIng

Mar 25, 2017

感觉好像就是 port knock 实现的功能，不过这个是对于 port 说的，不是 IP

11

fool

Mar 25, 2017

@ywgx 我怎么看不懂你说的是什么？

12

julyclyde

Mar 25, 2017

如果是 “不再修改”的话，可以，如果是“完全不修改”那你只能在服务器之外做这个事情了
-j QUEUE 然后用 snort-inline 等来处理

13

Erskine

Mar 25, 2017 via Android

感觉有点像悖论，直接在 iptables 里面放行不可以吗

14

vlike

OP

Mar 25, 2017 via Android

@iRiven 因为机器 a 是不确定的

15

bigcat0

Mar 26, 2017 via Android

有 recent 模块。。。。可以做到指定包大小的 ping ，开放端口

16

bigcat0

Mar 26, 2017 via Android

楼上那些人，不会的就不要乱说不行。

17

okudayukiko0

Mar 26, 2017 via iPhone

想得到的...ipset.端口重定向.RADIUS.iptables 要实现一些高级机能就很麻烦

About · Help · Advertise · Blog · API · FAQ · Solana · 3115 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 59ms · UTC 14:08 · PVG 22:08 · LAX 07:08 · JFK 10:08
♥ Do have faith in what you're doing.