使用 iptables 阻止从特定 TCP 端口到其他特定 TCP 端口的流量

使用 iptables 阻止从特定 TCP 端口到其他特定 TCP 端口的流量

我有一个 Linux 系统,其中有多个进程通过 TCP 端口与主进程通信。我需要创建一个场景,阻止从某个特定进程的所有端口到主进程用于与该进程通信的端口的所有流量。

例子:

  • 进程 A 主端口 = 1012、1013 ...1015
  • 流程 A 端口 = 2012、2013 .. 2015

我想要制定的规则是使用 iptables 阻止从进程 A 的所有端口(我可以使用 netstat 等找到)发往主进程端口的流量。

我四处寻找并找到了丢弃发往特定端口的流量的方法,但在指定源端口方面却没有成功。

答案1

它与目标端口非常相似。如果您使用--dport目标端口,则还必须指定--sport源端口

man iptables-extensions

   tcp
   These extensions can be used if  `--protocol  tcp'  is  specified.  It  provides  the  following
   options:


   [!] --source-port,--sport port[:port]
          Source port or port range specification. This can either be a service name or a port num‐
          ber. An inclusive range can also be specified, using the format first:last.  If the first
          port  is  omitted,  "0"  is  assumed; if the last is omitted, "65535" is assumed.  If the
          first port is greater than the second one they will be swapped.  The flag  --sport  is  a
          convenient alias for this option.

   ...

相关内容