用iptables设置 android网络防火墙白名单失效 15C

我用iptables命令设置网络白名单,命令如下:
iptables -A OUTPUT -d www.zhihu.com -j ACCEPT
iptables -A OUTPUT -j REJECT

短时间内会失效,1分钟到十分钟不等,有知道原因的吗?

失效后执行iptables-save显示的默认设置为:

iptables-save

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*security
:INPUT ACCEPT [85831:90333165]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [60997:5463885]
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*raw
:PREROUTING ACCEPT [29791:30082195]
:OUTPUT ACCEPT [57750:5340737]
:bw_raw_PREROUTING - [0:0]
:idletimer_raw_PREROUTING - [0:0]
:natctrl_raw_PREROUTING - [0:0]
:nm_mdmprxy_raw_pre - [0:0]
-A PREROUTING -j bw_raw_PREROUTING
-A PREROUTING -j idletimer_raw_PREROUTING
-A PREROUTING -j natctrl_raw_PREROUTING
-A bw_raw_PREROUTING -m owner --socket-exists
-A idletimer_raw_PREROUTING -i wlan0 -j IDLETIMER --timeout 15 --label 1 --send_nl_msg 1
-A nm_mdmprxy_raw_pre -p tcp -m multiport --ports 5060 -j NOTRACK
-A nm_mdmprxy_raw_pre -p udp -m multiport --ports 5060 -j NOTRACK
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*nat
:PREROUTING ACCEPT [665:163628]
:INPUT ACCEPT [174:35741]
:OUTPUT ACCEPT [26701:1805217]
:POSTROUTING ACCEPT [9379:691727]
:natctrl_nat_POSTROUTING - [0:0]
:oem_nat_pre - [0:0]
-A PREROUTING -j oem_nat_pre
-A POSTROUTING -j natctrl_nat_POSTROUTING
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*mangle
:PREROUTING ACCEPT [29788:30081904]
:INPUT ACCEPT [29402:29974848]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [57743:5339934]
:POSTROUTING ACCEPT [28151:2828777]
:bw_mangle_POSTROUTING - [0:0]
:idletimer_mangle_POSTROUTING - [0:0]
:natctrl_mangle_FORWARD - [0:0]
:nm_mdmprxy_dl_ping6_marker - [0:0]
:nm_mdmprxy_icmp_pkt_marker - [0:0]
:nm_mdmprxy_mark_prov_chain - [0:0]
:nm_mdmprxy_mngl_post - [0:0]
:nm_mdmprxy_mngl_pre_ex - [0:0]
:nm_mdmprxy_mngl_pre_spi - [0:0]
:nm_mdmprxy_mngl_pre_tee - [0:0]
:nm_mdmprxy_pkt_forwarder - [0:0]
:nm_mdmprxy_pkt_marker - [0:0]
:qcom_qos_filter_POSTROUTING - [0:0]
:qcom_qos_reset_POSTROUTING - [0:0]
-A PREROUTING -i wlan0 -j nm_mdmprxy_pkt_marker
-A PREROUTING -j nm_mdmprxy_icmp_pkt_marker
-A INPUT -i wlan0 -j MARK --set-xmark 0x3007d/0xffffffff
-A FORWARD -j natctrl_mangle_FORWARD
-A POSTROUTING -j qcom_qos_reset_POSTROUTING
-A POSTROUTING -j qcom_qos_filter_POSTROUTING
-A POSTROUTING -j bw_mangle_POSTROUTING
-A POSTROUTING -j idletimer_mangle_POSTROUTING
-A bw_mangle_POSTROUTING -m owner --socket-exists
-A idletimer_mangle_POSTROUTING -o wlan0 -j IDLETIMER --timeout 15 --label 1 --send_nl_msg 1
-A nm_mdmprxy_mark_prov_chain -p tcp -m tcp --dport 32000:36999 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mark_prov_chain -p udp -m udp --dport 32000:36999 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mngl_post -m mark --mark 0x9 -j MARK --set-xmark 0x0/0xffffffff
-A nm_mdmprxy_mngl_pre_ex -p tcp -m tcp --dport 50010:50060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mngl_pre_ex -p udp -m udp --dport 50010:50060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_mngl_pre_ex -p tcp -m tcp --dport 40100:40150 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -p udp -m udp --sport 4500 --dport 32012 -m u32 --u32 "0x0>>0x16&0x3c@0x8=0x0" -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -p udp -m udp --sport 4500 -m mark ! --mark 0x9 -j ACCEPT
-A nm_mdmprxy_pkt_marker -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A nm_mdmprxy_pkt_marker -j nm_mdmprxy_mark_prov_chain
-A nm_mdmprxy_pkt_marker -j nm_mdmprxy_mngl_pre_spi
-A nm_mdmprxy_pkt_marker -p tcp -m tcp --dport 5060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -p udp -m udp --dport 5060 -j MARK --set-xmark 0x9/0xffffffff
-A nm_mdmprxy_pkt_marker -j nm_mdmprxy_mngl_pre_ex
-A nm_mdmprxy_pkt_marker -m mark --mark 0x9 -j nm_mdmprxy_pkt_forwarder
COMMIT

Completed on Sat Nov 25 21:13:10 2017

Generated by iptables-save v1.4.20 on Sat Nov 25 21:13:10 2017

*filter
:INPUT ACCEPT [28:4401]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fw_dozable - [0:0]
-A OUTPUT -d 47.95.51.100/32 -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable
-A fw_dozable -i lo -o lo -j RETURN
-A fw_dozable -p tcp -m tcp --tcp-flags RST RST -j RETURN
-A fw_dozable -m owner --uid-owner 0-9999 -j RETURN
-A fw_dozable -m owner --uid-owner 1001 -j RETURN
-A fw_dozable -m owner --uid-owner 1027 -j RETURN
-A fw_dozable -m owner --uid-owner 10009 -j RETURN
-A fw_dozable -m owner --uid-owner 10012 -j RETURN
-A fw_dozable -m owner --uid-owner 10013 -j RETURN
-A fw_dozable -m owner --uid-owner 10031 -j RETURN
-A fw_dozable -m owner --uid-owner 10035 -j RETURN
-A fw_dozable -m owner --uid-owner 10069 -j RETURN
-A fw_dozable -m owner --uid-owner 10097 -j RETURN
-A fw_dozable -m owner --uid-owner 10100 -j RETURN
-A fw_dozable -m owner --uid-owner 10105 -j RETURN
-A fw_dozable -m owner --uid-owner 10108 -j RETURN
-A fw_dozable -m owner --uid-owner 10113 -j RETURN
-A fw_dozable -j DROP
COMMIT

Completed on Sat Nov 25 21:13:10 2017

0

2个回答

iptables原则上只能设置ip名单, 而不是域名, 如果想设置域名,需要用应用层协议的代理来实现

可以参考

https://serverfault.com/a/209022/193263

0
pshiping2014
Jason_conglin 设置ip名单也是一样,不知是不是android对iptables不能很好的支持?
一年多之前 回复

设置ip名单也是一样,不知是不是android对iptables不能很好的支持?

0
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
Android iptables 使用及源码分析
Android iptables 使用及源码分析
iptables的黑白名单机制
请注意: 本博文内的实验请在虚拟机上做,因为操作不当,会引发无法连接到远程主机(文中有讲到)首先要明白两个概念:黑名单和白名单。黑名单:把所有人当做好人,只拒绝坏人。 白名单:把所有人当做坏人,只放行好人。看起来似乎白名单安全一点,黑名单接受的范围大一点。对于iptables来说本来存在默认规则,通常默认规则设置为ACCEPT或者DROP。 如果默认规则是ACCEPT,那就是把所有人当做好人
Android下基于Iptables的一种IP白名单网络控制
iptables 自定义链 帮助文档:http://www.zsythink.net/archives/16251.什么是Iptable?百度百科对于Iptables有详细的介绍。简单地说,Iptables是Linux内核提供的一套IP信息包过滤系统,对外由Iptables命令提供设置过滤规则的入口。Android是基于Linux的操作系统,支持Iptables。执行Iptables命令需要roo...
linux设置白名单关闭防火墙使用iptables
创建iptables文件类似# Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [79:6432] :FORWARD ACCEPT [0:0] :OUTPUT ACCE...
Android 网络防火墙--开源项目Droidwall
项目地址:https://code.google.com/p/droidwall/  源代码下载地址:http://droidwall.googlecode.com/svn/
Linux系统使用iptables创建可访问白名单
目前由于项目要求需要修复一些linux系统的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,并讲述创建系统访问白名单的过程。 1.iptables的工作机制首先列出iptables在linux内核中涉及的五个位置: 1.内核空间中:从一个网络接口进来,到另一个网络接口去的 2.数据包从内核流入用户空间的 3.数据包从用户空间流出的 4.进入/离开本机的外网接口 5.进入
利用CentOS系统IPtables防火墙添加网站IP白名单
centos6.5添加白名单如下: 在防火墙 配置文件中加入白名单  ip -A INPUT -s 183.136.133.0/24 -j ACCEPT     //保存重启iptables服务,则只有该段可以访问 批量添加  参考:http://www.ithov.com/linux/135727.shtml   查看iptables规则是否生效 [root@
wifidog添加URL白名单[放行微信]
通读wifidog的源码可以发现wifidog的各种策略都是通过iptables实现的 而wifidog本身并没有实现URL白名单,通过修改代码实现也可以,通过外在的iptables命令实现也可以 iptables实现的原理是把白名单URL当成认证服务器一样的来处理,策略中如何处理认证服务器,就如何处理白名单! 下面是实现放行微信的命令 iptables -I WiFiDo
centOS7 下利用iptables配置IP地址白名单的方法
[url]http://www.jb51.net/article/98625.htm[/url] 超级详细的iptables介绍 [url]http://blog.csdn.net/sdytlm/article/details/6544913/[/url] 开放一个范围的端口3000到5000 [color=red][b]-A RH-Firewall-1-INPUT -m ...
linux系统之网络防火墙(firewalld服务和iptables服务)
linux系统之网络安全 防火墙
CENTOS 给iptables防火墙添加允许访问 的端口(添加端口白名单)
增加tcp协议的端口是 iptables -A INPUT -p tcp -m tcp --dport 要开放的端口 -j ACCEPT 增加udp协议的端口是 iptables -A INPUT -p udp -m udp --dport 要开放的端口 -j ACCEPT 这样添加以后仅仅是临时有效,服务器或者iptables重启后就失效了 如果要永久保存的话 ser
linux网络防火墙-iptables配置详解
如果你的IPTABLES基础知识还不了解,建议先去IPTABLES基础. 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target       prot opt source                 destin
iptables 配置白名单
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能#vim /etc/sysconfig/iptables  *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -N whitelist -A whitelist -s 1.2.3.0/24 -j ACCEPT...
linux网络防火墙-iptables基础详解
一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代
编辑防火墙白名单
编辑防火墙白名单 [root@localhost ~]# vim /etc/sysconfig/iptables 增加下面一行代码 -A INPUT -p tcp -m state – state NEW -m tcp --dport 80 -j ACCEPT 保存退出,重启防火墙 [root@localhost ~]# service iptables restart ...
Linux防火墙白名单设置
放开端口20,就加上 -A INPUT -m state –state NEW -m tcp -p tcp –dport 20 -j ACCEPT 然后重启防火墙即可生效 启动防火墙的命令:service iptables start 关闭防火墙的命令:service iptables stop 注意:有的机器需要同时设置ip6tables,同上设置即可
android 通过iptables设置网络防火墙
iptables 网络防火墙 以下代码只针对gprs进行禁止访问#!/system/bin/sh查找合适的iptables文件: IPTABLES=iptables BUSYBOX=busybox GREP=grep ECHO=echo # Try to find busybox if /data/data/com.***.activity/app_bin/busybox_g1 --
Cloudera CDH 5不关闭防火墙方案
如果CDH集群需要和外界连接,往往会害怕不启动防火墙会把端口暴露在危险之中。 所以可以启用iptables并设置开启端口白名单。 CDH官网提供了详细的端口列表: https://www.cloudera.com/documentation/cdh/5-1-x/CDH5-Installation-Guide/cdh5ig_ports_cdh5.html https://www.clou
Linux系统下添加防火墙规则(添加IP白名单)
参考文档:1、linux防火墙iptables规则的查看、添加、删除和修改方法总结2、查看linux的iptables配置,都是什么意思各个参数?防火墙的作用:    可以通过设置ip白名单/黑名单的方式限制外部ip的访问或者限制访问内部某个端口;添加防火墙过滤规则步骤如下;1、查看现有防火墙过滤规则:    iptables -nvL --line-number2、添加防火墙过滤规则(设置白名单...
Linux之iptables(四、网络防火墙及NAT)
Linux之iptables(四、网络防火墙及NAT) 网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题: (1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性 (2) 如果要启用conntrack机制,建议将双方向的状态为ESTA...
修改HTTPS 添加白名单
格式 <key>key的名称</key> <array> 多个字符串数组 </array> 输入白名单: 复制一下代码到info.plist文件里 <key>LSApplicationQueriesSchemes</key> <array> <!-
Linux 下设置防火墙白名单(RHEL 6 和 CentOS 7)
进入Linux 命令行,编辑防火墙规则配置文件 iptables vi /etc/sysconfig/iptables下面是一个白名单设置的例子:# Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter
linux下防火墙加白名单
在linux系统中安装yum install iptables-services 然后 vi /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Sun Aug 28 12:14:02 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTP
Android下基于Iptables的一种app网络访问控制方案(一)
1.什么是Iptable? 百度百科对于Iptables有详细的介绍。简单地说,Iptables是Linux内核提供的一套IP信息包过滤系统,对外由Iptables命令提供设置过滤规则的入口。 Android是基于Linux的操作系统,支持Iptables。执行Iptables命令需要root权限。   2.如何配置Iptables命令链? 假设一个安卓系统网络访问管理体系,需要针对不同
Android定制实现上网限制iptables
随着智能手机和平板的普及,现在的孩子几乎人手一部手机或平板,所以常常能看到一些孩子抱着手机玩游戏或是浏览网页,一玩就是一整天,家长们不免担心自己的孩子是不是会浏览不适合他们看的网页?是不是玩的时间太长,导致他们对其他的事情(比如运动、学习和沟通等)丧失兴趣,或者对身体发育造成不良影响。所以,有必要对孩子们用的这些移动智能设备做些上网限制,主要就是上网时间和允许浏览的网站的限制。当然,现在已经有许多...
deflate防DDOS攻击工具
一般的DDoS攻击,一般出站流量一般会比较高  DDoS deflate是一款运行于Linux下,专门用于防止/减轻类DDOS攻击的程序。大多数DDOS攻击都是采取若干傀儡机同时对某一服务器发出大量连接请求,以耗光服务器资源的方法。   DDOS攻击的现场,目标服务器会出现难以理解的高负载、高请求数量、单IP同时发出大量请求等症状,导致的直接后果就是Service Unavailable(服务...
NET FILTER
网络防火墙,iptables规则详细资料
iptables的规则ssh登录限制
iptables -N TELNET_LIMIT -m state –state NEW ,这个是TCP包的状态,匹配TCP包状态为NEW,类似状态还有ESTABLISHED等 iptables -P INPUT ACCEPT iptables -A SSH_LIMIT -s 10.7.100.146 -j RETURN iptables -F SSH_LIMIT
基于iptables的网桥防火墙的搭建
基于iptables的网桥防火墙的搭建 目标: 在不改变网络拓补结构的前提下,实现一个防火墙,对经过该防火墙的数据进行过滤。在此,我们主要是想对所有与服务器进行通信的数据进行过滤。结构图如下: 服务器和左边的Internet可以处于同一个局域网,比如网段都为: 192.168.1.0。另外可以增加一个网卡作为管理,这个管理的口可以不必接入Internet中,这样可以达到无法对网桥进行攻
Android 网络防火墙的实现-Iptables
Iptables的介绍: iptables 是与最新的 2.6.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 其工作原理: netfilter/iptables IP 信息包过滤系统是一种功能强大的工
整理一些关于SSH、FTP白名单设定的操作
SSH 访问白名单 http://www.zhixing123.cn/ubuntu/25502.html 这篇文章中讲了如何通过iptables进行ssh白名单的设定 FTP或者MySQL同理可得。 /var/log/nginx    查看nginx日志 /var/log/auth.log 查看系统日志 sshd会给每个连接fork一个进程,所以当被大量攻击的时候,ss
linux配置防火墙 Centos7下 添加 端口白名单
最近在阿里云服务器centos7上部署项目 要开启8484端口 ,CentOS 7默认使用的是firewall作为防火墙 在firewall下开启端口白名单 1.查看下防火墙的状态:systemctl status firewalld 需要开启防火墙systemctl start firewalld.service firewall-cmd --zone=public --lis...
Android 关闭防火墙
现象 连接了设备,但是通过监听端口任然不能访问,甚至都不能ping通。 解决办法 关闭防火墙即可。 命令 iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ip6tables -P INPUT ACCEPT ip6tables -P OUTPUT ACCEPT ip6tables -P FOR...
Iptables 语法
Linux 下的网网络防火墙 Iptables 语法~
linxu上zabbix监控iptables是否有黑名单
linxu上zabbix监控iptables是否有黑名单   1:准备工作:    echo  "zabbix  ALL=(ALL)      NOPASSWD: /usr/sbin/iptables"  >>   /etc/sudoers 2:自定义监控项    vim /etc/zabbix/zabbix_agentd.d/userparameter_mysql.conf...
Iptables防火墙规则使用梳理
Iptables防火墙规则使用梳理   iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全。以下对iptables的规则使用做了总结性梳理
Linux (乌班图)防火墙配置 ufw-iptables
Ubuntu的防火墙配置-ufw-iptablesUFW简介自打2.4版本以后的Linux内核中, 提供了一个非常优秀的防火墙工具。这个工具可以对出入服务的网络数据进行分割、过滤、转发等等细微的控制,进而实现诸如防火墙、NAT等功能。一般来说, 我们会使用名气比较的大iptables等程序对这个防火墙的规则进行管理。iptables可以灵活的定义防火墙规则, 功能非常强大。但是由此产生的副作用便是...
学习hadoop遇到的问题(添加防火墙白名单)
1.编辑系统文件 vim /etc/sysconfig/iptables 2.进入编辑页面后,增加如下内容: -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT //8080表示要开放的端口号 3.保存后退出,重启网卡服务 service iptables restart 转自:https://w...
iptables中ip通配符的设置
-
Troubleshooting: 有防火墙的情况下你需要如何部署许可服务器?
防火墙是一种有效的安全策略,如果部署ArcGIS许可的环境中不允许关闭防火墙,你可能会遇到这个错误:ArcGIS administrator 连不到许可服务器,提示错误, “ “xxx.xxx.xxx.xxx”没有有效的许可管理器。请输入一个有效的许可管理器服务器。 ”那么,如何解决这个问题? 如下。1 找到 Service.txt 文件在许可服务器所在的机器上,默认位于:C:\Program F
文章热词 机器学习教程 Objective-C培训 交互设计视频教程 颜色模型 设计制作学习
相关热词 mysql关联查询两次本表 native底部 react extjs glyph 图标 数据库用课程设计 机器学习用的大数据