用iptables设置 android网络防火墙白名单失效 15C

我用iptables命令设置网络白名单,命令如下:
iptables -A OUTPUT -d www.zhihu.com -j ACCEPT
iptables -A OUTPUT -j REJECT

短时间内会失效,1分钟到十分钟不等,有知道原因的吗?

失效后执行iptables-save显示的默认设置为:

iptables-save

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*security
:INPUT ACCEPT [85831:90333165]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [60997:5463885]
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*raw
:PREROUTING ACCEPT [29791:30082195]
:OUTPUT ACCEPT [57750:5340737]
:bw_raw_PREROUTING - [0:0]
:idletimer_raw_PREROUTING - [0:0]
:natctrl_raw_PREROUTING - [0:0]
:nm_mdmprxy_raw_pre - [0:0]
-A PREROUTING -j bw_raw_PREROUTING
-A PREROUTING -j idletimer_raw_PREROUTING
-A PREROUTING -j natctrl_raw_PREROUTING
-A bw_raw_PREROUTING -m owner --socket-exists
-A idletimer_raw_PREROUTING -i wlan0 -j IDLETIMER --timeout 15 --label 1 --send_nl_msg 1
-A nm_mdmprxy_raw_pre -p tcp -m multiport --ports 5060 -j NOTRACK
-A nm_mdmprxy_raw_pre -p udp -m multiport --ports 5060 -j NOTRACK
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*nat
:PREROUTING ACCEPT [665:163628]
:INPUT ACCEPT [174:35741]
:OUTPUT ACCEPT [26701:1805217]
:POSTROUTING ACCEPT [9379:691727]
:natctrl_nat_POSTROUTING - [0:0]
:oem_nat_pre - [0:0]
-A PREROUTING -j oem_nat_pre
-A POSTROUTING -j natctrl_nat_POSTROUTING
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*mangle
:PREROUTING ACCEPT [29788:30081904]
:INPUT ACCEPT [29402:29974848]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [57743:5339934]
:POSTROUTING ACCEPT [28151:2828777]
:bw_mangle_POSTROUTING - [0:0]
:idletimer_mangle_POSTROUTING - [0:0]
:natctrl_mangle_FORWARD - [0:0]
:nm_mdmprxy_dl_ping6_marker - [0:0]
:nm_mdmprxy_icmp_pkt_marker - [0:0]
:nm_mdmprxy_mark_prov_chain - [0:0]
:nm_mdmprxy_mngl_post - [0:0]
:nm_mdmprxy_mngl_pre_ex - [0:0]
:nm_mdmprxy_mngl_pre_spi - [0:0]
:nm_mdmprxy_mngl_pre_tee - [0:0]
:nm_mdmprxy_pkt_forwarder - [0:0]
:nm_mdmprxy_pkt_marker - [0:0]
:qcom_qos_filter_POSTROUTING - [0:0]
:qcom_qos_reset_POSTROUTING - [0:0]
-A PREROUTING -i wlan0 -j nm_mdmprxy_pkt_marker
-A PREROUTING -j nm_mdmprxy_icmp_pkt_marker
-A INPUT -i wlan0 -j MARK --set-xmark 0x3007d/0xffffffff
-A FORWARD -j natctrl_mangle_FORWARD
-A POSTROUTING -j qcom_qos_reset_POSTROUTING
-A POSTROUTING -j qcom_qos_filter_POSTROUTING
-A POSTROUTING -j bw_mangle_POSTROUTING
-A POSTROUTING -j idletimer_mangle_POSTROUTING
-A bw_mangle_POSTROUTING -m owner --socket-exists
-A idletimer_mangle_POSTROUTING -o wlan0 -j IDLETIMER --timeout 15 --label 1 --send_nl_msg 1
-A nm_mdmprxy_mark_prov_chain -p tcp -m tcp --dport 32000:36999 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mark_prov_chain -p udp -m udp --dport 32000:36999 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mngl_post -m mark --mark 0x9 -j MARK --set-xmark 0x0/0xffffffff
-A nm_mdmprxy_mngl_pre_ex -p tcp -m tcp --dport 50010:50060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mngl_pre_ex -p udp -m udp --dport 50010:50060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mngl_pre_ex -p tcp -m tcp --dport 40100:40150 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -p udp -m udp --sport 4500 --dport 32012 -m u32 --u32 "0x0>>0x16&0x3c@0x8=0x0" -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -p udp -m udp --sport 4500 -m mark ! --mark 0x9 -j ACCEPT
-A nm_mdmprxy_pkt_marker -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A nm_mdmprxy_pkt_marker -j nm_mdmprxy_mark_prov_chain
-A nm_mdmprxy_pkt_marker -j nm_mdmprxy_mngl_pre_spi
-A nm_mdmprxy_pkt_marker -p tcp -m tcp --dport 5060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -p udp -m udp --dport 5060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -j nm_mdmprxy_mngl_pre_ex
-A nm_mdmprxy_pkt_marker -m mark --mark 0x9 -j nm_mdmprxy_pkt_forwarder
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*filter
:INPUT ACCEPT [28:4401]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fw_dozable - [0:0]
-A OUTPUT -d 47.95.51.100/32 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable
-A fw_dozable -i lo -o lo -j RETURN
-A fw_dozable -p tcp -m tcp --tcp-flags RST RST -j RETURN
-A fw_dozable -m owner --uid-owner 0-9999 -j RETURN
-A fw_dozable -m owner --uid-owner 1001 -j RETURN
-A fw_dozable -m owner --uid-owner 1027 -j RETURN
-A fw_dozable -m owner --uid-owner 10009 -j RETURN
-A fw_dozable -m owner --uid-owner 10012 -j RETURN
-A fw_dozable -m owner --uid-owner 10013 -j RETURN
-A fw_dozable -m owner --uid-owner 10031 -j RETURN
-A fw_dozable -m owner --uid-owner 10035 -j RETURN
-A fw_dozable -m owner --uid-owner 10069 -j RETURN
-A fw_dozable -m owner --uid-owner 10097 -j RETURN
-A fw_dozable -m owner --uid-owner 10100 -j RETURN
-A fw_dozable -m owner --uid-owner 10105 -j RETURN
-A fw_dozable -m owner --uid-owner 10108 -j RETURN
-A fw_dozable -m owner --uid-owner 10113 -j RETURN
-A fw_dozable -j DROP
COMMIT

Completed on Sat Nov 25 21:13:10 2017

2个回答

iptables原则上只能设置ip名单, 而不是域名, 如果想设置域名,需要用应用层协议的代理来实现

可以参考

https://serverfault.com/a/209022/193263

pshiping2014
Jason_conglin 设置ip名单也是一样,不知是不是android对iptables不能很好的支持?
接近 2 年之前 回复

设置ip名单也是一样,不知是不是android对iptables不能很好的支持?

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
iptables实现网络防火墙(一)
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    关于防火墙的相关概念,我们在之前的文章中已经进行了相关的介绍,这里就不再重复。感兴趣的朋友可以移步    初识Linux防火墙    今天重点记录一下,如何使用iptables来搭建网络防火墙,实现控制访问。 实验环境准备    如果要实现网络防火墙,至少需要三台主机A,B,C,B用来搭建网络防
iptables实现网络防火墙
测试环境,建立3个虚拟机器: A机器使用bridged模式:hostname是demo,ip地址是 192.168.0.106 B机器2个网卡:hostname是rhel64-64bit,bridged的网卡地址:192.168.0.101                                                                   host-only的网卡地...
iptables 配置白名单
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能#vim /etc/sysconfig/iptables  *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -N whitelist -A whitelist -s 1.2.3.0/24 -j ACCEPT...
linux设置白名单关闭防火墙使用iptables
创建iptables文件类似# Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [79:6432] :FORWARD ACCEPT [0:0] :OUTPUT ACCE...
iptables实现网络防火墙及地址转换
FSM:Finite State Machine 有限状态机 客户端:closed -->syn_sent -->established --> fin_wait_1 -->find_wait_2 --> timewait(2MSL) 服务器:closed -->listen -->syn_rcvd -->establised --> close_wait -->last_ack -
Linux之iptables(四、网络防火墙及NAT)
Linux之iptables(四、网络防火墙及NAT) 网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题: (1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性 (2) 如果要启用conntrack机制,建议将双方向的状态为ESTA...
Android iptables基础、及app网络防火墙(添加系统服务,开机执行脚本)
详细文档:https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html 1 iptables的原理以及命令 首先,什么是包过滤? 包过滤是当一个数据包通过时,使用软件去查看包头信息并决定对该包的处理方式。你可以丢弃该数据包、接受该数据包亦或是其他更复杂的处理方式。 在Linux中包过滤...
iptables实现网络防火墙(二)——SNAT与DNAT
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    在前面的文章中,我们曾经简单的介绍过Linux内核中防火墙的基本概念,以及四表五链的相关知识,可参看 LINUX 防火墙介绍。 并且也介绍了如何在Linux环境中搭建一个能够过滤协议和端口的简单网络防火墙,可以参看Linux实现网络防火墙(一)。    在实际生产应用中,防火墙的功能纷繁复杂,就像我们之前介绍的
centos6中iptables单机网络防火墙的使用
iptables:基于软件的形式实现的一种防火墙的软件程序 Firewall:工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查,并且由匹配到的规则进行处理的一组硬件或软件,甚至可能是两者的组合 主机防火墙:工作于主机边缘,只能对一台主机起到保护作用 网络防火墙:工作于网络边缘,对多台主机起到保护作用   网络层:网络防火墙 应用层:网关 IDS:入侵检测
请教iptables对指定端口的IP白名单设置
请教iptables的设置。系统Redhat,对于FTP服务器端口21以及SSH的22端口需要设置IP白名单。rnrnrn已经有以下设置:rn================================rn# Generated by iptables-save v1.3.5 on Thu Jan 24 11:20:18 2013rn*filterrn:INPUT ACCEPT [0:0]rn:FORWARD ACCEPT [0:0]rn:OUTPUT ACCEPT [14473:7280859]rn:RH-Firewall-1-INPUT - [0:0]rn-A INPUT -j RH-Firewall-1-INPUTrn-A FORWARD -j RH-Firewall-1-INPUTrn-A RH-Firewall-1-INPUT -i lo -j ACCEPTrn-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPTrn-A RH-Firewall-1-INPUT -p esp -j ACCEPTrn-A RH-Firewall-1-INPUT -p ah -j ACCEPTrn-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPTrn-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPTrn-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPTrn-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPTrn-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPTrn-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPTrn-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibitedrnCOMMITrn# Completed on Thu Jan 24 11:20:18 2013rn================================rnrn请问添加什么规则可以是的21端口 22端口只能允许指定的IP访问?rn最好举个例子,设IP白名单中一条IP为192.168.1.144
RedHat5.3系统 ,设置iptables白名单,求指教,谢谢各位大神!
[img=https://img-bbs.csdn.net/upload/201503/17/1426583623_203861.jpg][/img]rn这是默认规则。rnrn我想实现的规则是:远程访问只能让限定ip通过ssh协议登录上来,比如192.168.100.125,就只能让它通过ssh远程链接上服务器。rn我尝试过网上的好多方法,比如:关掉22端口后,然后再accept指定ip,但是这样做就连不上服务器了。rn查资料说是默认规则的最后一条规则的作用,但是我删掉最后一条规则就变成所以IP都可以访问了。rn求大神指点到底怎么设置才能实现我想要的效果,最好可以像默认规则那样写一下iptables文件,谢谢大家!rn[img=https://forum.csdn.net/PointForum/ui/scripts/csdn/Plugin/003/monkey/50.gif][/img]
Linux系统使用iptables创建可访问白名单
目前由于项目要求需要修复一些linux系统的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,并讲述创建系统访问白名单的过程。 1.iptables的工作机制 首先列出iptables在linux内核中涉及的五个位置: 1.内核空间中:从一个网络接口进来,到另一个网络接口去的 2.数据包从内核流入用户空间的 3.数据包从用户空间流出的 4.进入/离开本机的外网接口 5...
linux ip白名单
linux ip白名单 配置文件:/etc/hosts.allow  内容如下: # # hosts.allow   This file contains access rules which are used to #               allow or deny connections to network services that #               e...
Linux CentOS7.5服务器设置白名单iptables无效
前面公司在七牛云服务器上采购了一台Linux CentOS7.5服务器作为测试环境服务,因为涉及到一些第三方接口和页面,所以想做一个linux白名单的限制,然后我在csdn上搜索了一些关于设置linux白名单的命令,在服务器上进行相关的操作。rn 具体如下:rn1.关闭了firewall,重新安装了iptables。rn2.文件设置如下:rn/etc/sysconfig/iptablesrn![图片说明](https://img-ask.csdn.net/upload/201908/08/1565235595_494559.png)rnrn/etc/hosts.allowrn![图片说明](https://img-ask.csdn.net/upload/201908/08/1565238828_712399.png)rnrn操作完成后重启了iptables服务,但是其他ip还是能访问,并没有生效。rn神奇的来了,我在七牛云官方的网站 云主机-安全组内设置了一个白名单,然后就生效了?请问像这种情况,难道只需要在官网设置就好了吗?不需要在服务器上进行配置?
iptables设置
iptables的安全方面,高级的iptables 设置
网络防火墙源码 网络防火墙源码
网络防火墙源码 网络防火墙源码 网络防火墙源码
网络防火墙
网络防火墙的源代码,挺不错的
网络防火墙?
一台win2k当web服务器,还有后台数据,请问用什么网络防火墙好?
Linux防火墙白名单设置
放开端口20,就加上 -A INPUT -m state –state NEW -m tcp -p tcp –dport 20 -j ACCEPT 然后重启防火墙即可生效 启动防火墙的命令:service iptables start 关闭防火墙的命令:service iptables stop 注意:有的机器需要同时设置ip6tables,同上设置即可
https白名单设置
现在网络请求设计到http协议加密的话,很多公司采用的网址前缀是https 在iOS 开发中,如果使用https访问后台的话需要进行白名单设置,具体步骤: 在info.plist中添加 App Transport Security Settings   (格式为字典) 里面添加 Allow Arbitrary Loads(bool类型,设置为 yes);
解决iptables重启失效问题
直接使用iptables命令修改防火墙配置的时候,防火墙规则只是保存在内存中,重启后就会失效。一种最简单的方式是在修改防火墙陪之后,再使用service iptables save命令将防火墙配置保存起来;使用该命令会将所有的防火墙规则保存在/etc/sysconfig/iptables文件中。另一种方法是使用iptables-save命令,顾名思义,该命令用于保存当前的防火墙规则的。直接使用该命令
通讯白名单的设置与使
  通讯白名单是指只有白名单中的人员可以给该用户发送电子邮件和微讯,如果没有设置通讯白名单,系统中所有的人员都可以给其发送电子邮件和微讯。 通讯白名单的设置 在系统管理--组织机构设置--用户管理中点击要设置人员对应的“更新”按钮,更新该用户的用户信息,在其“其它信息”的页面中设置该人员的通讯白名单,如下图: 设置通讯白名单中的人员都可以给该用户发送电子邮件和微讯。 通讯白名单的使用 ...
杀毒软件白名单设置
在杀毒软件的白名单里,是怎么唯一标志一个程序的?哪些信息能够唯一标识一个程序。求指教。
Android 7.0 设置语言失效
场景 App需要在内部设置语言 , 而不是跟随系统语言 , 7.0一下的机型没有问题 , 唯独在锤子手机上出现了问题 , 在设置为英文时 , 只要打开一些布局有WebView 或者有用到WebView的页面 , 语言就会变成中文 . 原因 应该是WebView在使用过程中会设置语言 , 比如说你在中国打开Facebook的网站 , 你的网页就是中文的 , 如果是美国就是英文的 , 这可能就是
Android 设置禁止横屏失效解决方法
最近在处理app的界面的时候,由于当手机进行横屏旋转时,显示的效果很差,故需要将横屏的旋转关闭。到网上查了很多的方法,网上的处理办法主要为:在androidMainfest.xml中对activity进行横屏限制。 具体操作方法为:activity android:name=".activity.HomeActivity"              android:screenOrienta
turbolinux server 8的网络防火墙的设置?
装了个turbolinux server 8,因为该服务器是两块网卡,一个对内,一个对外,是做web的,所以在装的时候选了“高级安全”,所以内网可以访问,可是外网无法访问,现在我想设置一下该防火墙,如何设呢?好象在KDE或GNOME下没有设置项,如果使用命令,是哪个呢?rn先谢谢了!
Android 特权许可白名单
极力推荐文章:欢迎收藏Android 干货分享 本篇文章主要介绍Android开发中的部分知识点,通过阅读本篇文章,您将收获以下内容: 一、priv-app 白名单简介 二、添加priv-app 白名单 三、生成priv-app白名单 四、自定义priv-app白名单 五、查找缺少的priv-app权限 六、执行priv-app白名单 七、priv-app 中申...
android usb设备白名单思路
android 下如何对插入的USB设备进行白名单管控,根据设备的VID和PID,麻烦大神给个思路
紧急求教: 用iptables设置简单防火墙 :(
还是没有搞懂iptablesrnrn;( rnrn我想用iptables做防火墙,我只要达到下面功能: rnrn对外网(internet)只开放22/8080两个端口 rn对内网192.168.0.0/24,开放22和8080两个端口 rn对内网192.168.0.254这台机器, 开放samba这个端口和postgreSQL数据库的5432端口. rn内网所有机器不能通过这台机器连接外网. rnrnDNS服务器192.168.0.253rnrn再加些简单的防止Dos攻击的功能,流量限制等 rnrn搞了半天都没有搞懂 rn(系统CentOS 4 (RedHat重新编译的版本), rn网卡 ech0,ech1,其中ech0连接internt,ech1连接内网)
nginx设置访问白名单(ip)
针对要配置的域名配置文件: server {     listen       443;     server_name  abc.com;     #access_log  /server/nginx/log/abc.com.log  main;     ssl         on;     ssl_certificate      /server/nginx/sslcom/dom
Linux设置ssh黑/白名单
在考试RHCE的时候,有这么一道题目,用户能够从xxx内的客户端ssh远程访问你的服务器,在xxx内的客户端不能访问你的服务。有人说可以用防火墙来设置,不错!是可以。但是,如果你仔细检查的话会发现,RHCE考试的试卷往往防火墙只有一个区域,trusted,在设置时候也不会报错,当你查的时候发现没有block区域,这时,你就需要去配置ssh黑名单来解决 修改配置文件/etc/ssh/sshd_con...
白名单
http://blog.163.com/wanghero@126/blog/static/298851962007414102437984/ 按照本人的理解就是请求移动的服务器,移动的服务器帮你把ua信息塞到http报头中,然后再通过IP地址映射转到你真正请求的那台服务器上。 ==白名单测试== ============报头信息=========== host: xxxx...
iptables 设置指南
iptables 设置指南linux下防火墙
centos7防火墙设置(iptables)
第一步:安装“iptables-services” yum install iptables-services 第二步:配置“/etc/sysconfig/iptables”,开放端口 -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 第三步:使文件生效 source /etc/sysconfig/ipt...
保存和还原iptables设置
能够设置Linux服务器网络安全设置Linux路由网络安全实现网络地址转换实现端口映射
暴露接口IP白名单设置
String realIp = IPUtil.getIpAddr(request); if(!"0:0:0:0:0:0:0:1".equals(realIp)){ List<String> ipList = Resources.readLines(Resources.getResource("ipWhiteList.txt"),Charset.forName("utf-8
Linux iptables防火墙的设置
Linux iptables防火墙的设置
iptables自定义设置
iptables脚本,过滤syn包
相关热词 c++和c#哪个就业率高 c# 批量动态创建控件 c# 模块和程序集的区别 c# gmap 截图 c# 验证码图片生成类 c# 再次尝试 连接失败 c#开发编写规范 c# 压缩图片好麻烦 c#计算数组中的平均值 c#获取路由参数