我有一个 Linux 系统,其中有多个进程通过 TCP 端口与主进程通信。我需要创建一个场景,阻止从某个特定进程的所有端口到主进程用于与该进程通信的端口的所有流量。
例子:
- 进程 A 主端口 = 1012、1013 ...1015
- 流程 A 端口 = 2012、2013 .. 2015
我想要制定的规则是使用 iptables 阻止从进程 A 的所有端口(我可以使用 netstat 等找到)发往主进程端口的流量。
我四处寻找并找到了丢弃发往特定端口的流量的方法,但在指定源端口方面却没有成功。
答案1
它与目标端口非常相似。如果您使用--dport
目标端口,则还必须指定--sport
源端口
man iptables-extensions
tcp
These extensions can be used if `--protocol tcp' is specified. It provides the following
options:
[!] --source-port,--sport port[:port]
Source port or port range specification. This can either be a service name or a port num‐
ber. An inclusive range can also be specified, using the format first:last. If the first
port is omitted, "0" is assumed; if the last is omitted, "65535" is assumed. If the
first port is greater than the second one they will be swapped. The flag --sport is a
convenient alias for this option.
...