iptables может автоматически отбросить установленную сессию после определенных секунд?
Может iptables отбрасывать автоматически установленную выходную сессию после определенных секунд, например, 30 секунд. начиная с его запуска? Но я хочу ограничить его только для целевого порта 80 и 443. Цель состоит в том, чтобы отбросить неиспользованные установленные соединения TCP, принадлежащие некоторым рабочим приложениям, например, Chrome, Teamviewer. Я попробовал недавним и предельными модулями, но без успеха. Может быть IPTables, не имеют функции для ограничения соединения его продолжительностью, или я не знаю что-то?
Я уже считал некоторые связанные темы: https://stackoverflow.com/questions/20327518/need-to-drop-established-connections-with-iptables
iptables - отбрасывание определенных установленных соединений после X часов
И так далее.
Вы могли помочь мне с некоторым сценарием или приложением? Может ли быть нет никакого способа сделать это с IPT?
Моя домашняя таблица:
Может iptables отбрасывать автоматически установленную выходную сессию после определенных секунд, например, 30 секунд. начиная с его запуска? Но я хочу ограничить его только для целевого порта 80 и 443. Цель состоит в том, чтобы отбросить неиспользованные установленные соединения TCP, принадлежащие некоторым рабочим приложениям, например, Chrome, Teamviewer. Я попробовал недавним и предельными модулями, но без успеха. Может быть IPTables, не имеют функции для ограничения соединения его продолжительностью, или я не знаю что-то?
Я уже считал некоторые связанные темы: https://stackoverflow.com/questions/20327518/need-to-drop-established-connections-with-iptables
iptables - отбрасывание определенных установленных соединений после X часов
И так далее.
Вы могли помочь мне с некоторым сценарием или приложением? Может ли быть нет никакого способа сделать это с IPT?
Моя домашняя таблица:
echo Kernel modules
#
modprobe ip_conntrack
modprobe ip_conntrack_ftp
################################################################################
echo Reset iptables
#
iptables -F
iptables -F -t nat
iptables -F -t raw
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t raw
iptables -X -t mangle
iptables -Z
iptables -Z -t nat
iptables -Z -t raw
iptables -Z -t mangle
################################################################################
echo Default policy
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
################################################################################
echo Logging INPUT,OUTPUT
#
iptables -A INPUT -j LOG --log-prefix="INPUT chain"
iptables -A OUTPUT -j LOG --log-prefix="OUTPUT chain"
################################################################################
echo Allow local
#
iptables -A INPUT -i lo -s 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.0/8 -j ACCEPT
################################################################################
echo Allow icmp out
#
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT
################################################################################
echo Allow port 53 out
#
iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 \
-m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --sport 53 --dport 1024:65535 \
-m state --state ESTABLISHED -j ACCEPT
################################################################################
echo Allow ports 20,21 out
#
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 \
--dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 \
-m multiport --dports 20,1024:65535 \
-m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --sports 20,21,1024:65535 \
--dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
################################################################################
echo Allow ports 80,443 out
#
iptables -A OUTPUT -p tcp --sport 1024:65535 -m multiport --dports 80,443 \
-m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --sports 80,443 \
--dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
################################################################################
echo Allow port 123 out
#
iptables -A OUTPUT -p udp -m udp --sport 123 \
--dport 123 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 123 \
--dport 123 -m state --state ESTABLISHED -j ACCEPT
################################################################################
#
##iptables -A INPUT -j REJECT
##iptables -A FORWARD -j REJECT
##iptables -A OUTPUT -j REJECT
Нет, смотри: http://linux.die.net/man/8/iptables . Есть только это (не то, что вы просили):
.... время
Это совпадает, если время/дата прибытия пакета находится в заданном диапазоне. Все опции являются факультативными.
--timestart value Подходит только в том случае, если он стоит после 'value' (Включая, формат: HH:MM ; по умолчанию 00:00).
--timestop value Подходит только в том случае, если перед 'значением' (Inclusive, формат: HH:MM ; по умолчанию 23:59).
-дани листофдэй Матч только если сегодня один из данных дней. (формат: Пн, Туе, Ср, Ту, Фри, Сат, Сун; по умолчанию каждый день)
-дата последнего времени. Матч только если он после 'дата' (Включая, формат: YYYY[:MM[:DD[:hh[:mm[:ss]]]]] ; h,m,s начинается с 0 ; по умолчанию до 1970)
-дата окончания Сопоставляется только если это до 'дата' (Включая, формат: YYYY[:MM[:DD[:hh[:mm[:ss]]]]] ; h,m,s начинаются с 0 ; по умолчанию до 2037)
...
Вы просили "продолжительность", а не "время". Вы могли бы взломать что-нибудь, но исправление в Source - самое быстрое и мощное.
Вы можете исправить ядро и перекомпилировать его.
Смотрите http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html в разделе "conntrack patch", команда "ctexpire". Если вы чувствуете себя комфортно, написав немного кода и исправив ядро с помощью специального фильтра, то мы можем помочь (в противном случае ответ: "нет, вы не можете этого сделать, такой команды фильтрации не существует").
.