CN104754564A - 一种基于iptables控制使用互联网的方法 - Google Patents
一种基于iptables控制使用互联网的方法 Download PDFInfo
- Publication number
- CN104754564A CN104754564A CN201510167947.6A CN201510167947A CN104754564A CN 104754564 A CN104754564 A CN 104754564A CN 201510167947 A CN201510167947 A CN 201510167947A CN 104754564 A CN104754564 A CN 104754564A
- Authority
- CN
- China
- Prior art keywords
- chain
- wall
- iptables
- rule
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本发明公开了一种基于IPTABLES控制使用互联网的方法,包含:S1,构建IPTABLES的规则链,设置移动终端的应用程序访问网络的策略;S2,对所述的应用程序进行访问网络的规则检查,通过规则检查的应用程序可以访问网络,不能通过规则检查的应用程序,则拒绝访问网络。本发明能够使所有的移动终端在应用程序在访问网络时,须通过设置的规则链检查,通过检查的应用才可以访问网络,方便对应用进行管控,从而达到快捷、方便对应用程序访问网络时数据通道管制的目的。
Description
技术领域
本发明涉及网路流量控制,特别涉及一种基于IPTABLES控制使用互联网的方法。
背景技术
在当前移动终端应用程序中,对应用程序的移动数据流量限制一种是通过对设置中的移动数据开关进行设置,此方法会把移动数据网络完全关闭,对用户来说不方便;另一种方法是对通过APN的方式进行流量设置,此方法是通过修改数据库的操作的方式,对各个应用进行流量管控,当你通过这个方式关闭APN后,你在通过手机上的快捷开关开启移动数据网络时,是没效果的,也就是说开启不了,除非你再用同样的方法开启APN。
对移动终端应用程序的WIFI流量管制,当前只有直接关闭WLAN开关的选项,对单个应用进行WIFI数据流量限制没有一个有效的方法。
IPTABLES技术是:是用于实现Linux内核下访问控制的功能的,应用于IP信息过滤和配置防火墙策略;工作的地方是在网络的边缘,任务是需要去定义到底防火墙如何工作;用户可以自定义防火墙的策略,以达到让它对出入网络的IP、数据进行检测,用户还可以将规则组成一个列表,构成一个规则链,实现绝对详细的访问控制功能。
在当前移动终端应用程序中,对应用程序的移动数据流量限制一种是通过对设置中的移动数据开关进行设置,操作方法是调用系统(ConnectivityManager)的setMoblieDataEnabled方法,从而实现开启和关闭移动数据网络,此开启和关闭是直接开启和关闭移动数据,所有的应用对不能通过此通道进行网络数据访问,不能对单个应用程序进行设置,对用户来说不方便;另一种方法是对通过APN的方式进行流量设置,此方法是通过修改数据库的操作的方式,就是对网络接入点进行修改,对各个应用进行流量管控,当你通过这个方式关闭APN后,你在通过手机上的快捷开关开启移动数据网络时,没有效果,也就是说开启不了,除非你再用同样的方法开启APN。
对移动终端应用程序的WIFI流量管制,当前只有直接关闭WLAN开关的选项,主是要通过WifiManager的setWifiApEnabled方法来打开和关闭WLAN的开头,对整个移动终端的WLAN状态进行设置,对单个应用进行WIFI数据流量限制没有一个有效的方法。
上述方法对应用数据流量限制不是很完全,当某个应用取得了系统相关的权限,可不需要获取root权限,通过反射方法通过系统的(ConnectivityManager)的setMoblieDataEnabled方法,就可以对应用直接进行移动数据流量打开和关闭操作,从而使得对此应用的流量限制设置无效,使用户的相关利益受损。在应用要访问网络是时,大部分应用都会去直接获取WLAN的状态,调用setWifiApEnabled方法对WLAN进行相关设置,从而使用户的设置无效。
发明内容
本发明的目的是提供一种基于IPTABLES控制使用互联网的方法,自定义IPTABLES的规则链策略,所有的移动终端在应用程序在访问网络时,须通过设置的规则链检查,通过检查的应用才可以访问网络;在规则链定义时,可对移动数据流量、WIFI数据流量进行分别控制,也可以把应用设置白名单或黑名单,以方便对应用进行管控,从而达到快捷、方便对应用程序访问网络时数据通道管制的目的。
为了实现以上目的,本发明是通过以下技术方案实现的:
一种基于IPTABLES控制使用互联网的方法,其特点是,该方法包含如下步骤:
S1,构建IPTABLES的规则链,设置移动终端的应用程序访问网络的策略;
S2,对所述的应用程序进行访问网络的规则检查,通过规则检查的应用程序可以访问网络,不能通过规则检查的应用程序,则拒绝访问网络。
在所述步骤S1后还包含:
S3,设置应用程序为白名单或黑名单,若应用程序为黑名单,则直接从规则中拒绝访问网络;若为白名单时,则跳转到步骤S2。
在步骤S1之前还包含:
S0,将移动终端进行root。
所述的应用程序通过移动数据或WLAN尝试访问网络。
将所述的移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得应用程序在通过移动数据和/或WLAN网关访问网络时,需要进行规则检查。
所述的步骤S1具体包含:
S1.1,利用IPTABLES创建wall链、wall-3g/4g链、wall-wifi链和wall-reject链;
S1.2,将OUTPUT链数据转向wall链;
S1.3,清空wall链、wall-3g/4g链、wall-wifi链和wall-reject链中的规则;
S1.4,对所述的wall链、wall-3g/4g链、wall-wifi链和wall-reject链中的增加新的规则;
S1.5,对单个应用程序的数据包进行匹配,并采取拦截或放行的操作规则。
所述的步骤S1.4具体为:
S1.4.1,将wall-reject链的目标设为拒绝;
S1.4.2,将3g/4g数据包与wifi数据包分开,并分别引向wall-3g/4g链、wall-wifi链。
本发明与现有技术相比,具有以下优点:
1、本发明技术方案实现了从软硬件级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行可信衡量。
2、本发明技术方案在启动过程中启动完整性通过检测的程序,对系统程序被恶意修改过和程序实施不启动和报告操作;
3、本发明技术方案实现了对移动终端进入系统时作了安全防护技术,提高了系统的抗攻击性;
4、本发明技术实现了在系统运行阶段实现的检测系统的安全性,对关键参数和代码作完整性度量。
附图说明
图1为本发明一种基于IPTABLES控制使用互联网的方法流程图;
图2为本发明一种基于IPTABLES控制使用互联网的总体设计图。
具体实施方式
以下结合附图,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。
一种基于IPTABLES控制使用互联网的方法,该方法包含如下步骤:
S1,构建IPTABLES的规则链,设置移动终端的应用程序访问网络的策略;
S2,对所述的应用程序进行访问网络的规则检查,通过规则检查的应用程序可以访问网络,不能通过规则检查的应用程序,则拒绝访问网络。
在具体实施例中,在步骤S1之前还包含:
S0,将移动终端进行root。
在具体实施例中,在所述步骤S1后还包含:
S3,设置应用程序为白名单或黑名单,若应用程序为黑名单,访问网络通过检查名单时,则直接从规则中拒绝访问网络;若为白名单时,则跳转到步骤S2。
上述的应用程序通过移动数据或WLAN尝试访问网络。
将所述的移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得应用程序在通过移动数据和/或WLAN网关访问网络时,需要进行规则检查。
所述的步骤S1具体包含:
S1.1,利用IPTABLES创建wall链、wall-3g/4g链、wall-wifi链和wall-reject链;
$IPTABLES -L wall >/dev/null 2>/dev/null || $IPTABLES --new wall || exit 2
$IPTABLES -L wall-3g/4g >/dev/null 2>/dev/null || $IPTABLES --new wall-3g/4g || exit 2
$IPTABLES -L wall-wifi >/dev/null 2>/dev/null || $IPTABLES --new wall-wifi || exit 2
$IPTABLES -L wall-reject >/dev/null 2>/dev/null || $IPTABLES --new wall-reject || exit 2;
S1.2,将OUTPUT链数据转向wall链;
$IPTABLES -L OUTPUT | $GREP -q droidwall || $IPTABLES -A OUTPUT -j droidwall || exit 6;
S1.3,清空wall链、wall-3g/4g链、wall-wifi链和wall-reject链中的规则;
$IPTABLES -F 链名称(例:wall) || exit 7;
S1.4,对所述的wall链、wall-3g/4g链、wall-wifi链和wall-reject链中的增加新的规则;
所述的步骤S1.4具体为:
S1.4.1,将wall-reject链的目标设为拒绝,即直接拒绝数据包;
$IPTABLES -A droidwall-reject -j REJECT || exit 11;
S1.4.2,将3g/4g数据包与wifi数据包分开,并分别引向wall-3g/4g链、wall-wifi链;
$IPTABLES -A wall -o 3g/4g接口名 -j wall-3g/4g || exit;
$IPTABLES -A wall -o wifi接口名 -j wall-wifi || exit。
S1.5,对单个应用程序的数据包进行匹配,并采取拦截或放行的操作规则。
$IPTABLES -A wall-3g/4g -m owner --uid-owner app_uid -j TARGET || exit;
$IPTABLES -A wall-wifi -m owner --uid-owner app_uid -j TARGET || exit;
其中,app_uid表示单个引用的uid,TARGET设为RETURN表示放行(可以访问网络),引向wall-reject链后表示拦截数据包(不能访问网络)。
综上所述,本发明一种一种基于IPTABLES控制使用互联网的方法,自定义IPTABLES的规则链策略,所有的移动终端在应用程序在访问网络时,须通过设置的规则链检查,通过检查的应用才可以访问网络;在规则链定义时,可对移动数据流量、WIFI数据流量进行分别控制,也可以把应用设置白名单或黑名单,以方便对应用进行管控,从而达到快捷、方便对应用程序访问网络时数据通道管制的目的。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (7)
1.一种基于IPTABLES控制使用互联网的方法,其特征在于,该方法包含如下步骤:
S1,构建IPTABLES的规则链,设置移动终端的应用程序访问网络的策略;
S2,对所述的应用程序进行访问网络的规则检查,通过规则检查的应用程序可以访问网络,不能通过规则检查的应用程序,则拒绝访问网络。
2.如权利要求1所述的基于IPTABLES控制使用互联网的方法,其特征在于,在所述步骤S1后还包含:
S3,设置应用程序为白名单或黑名单,若应用程序为黑名单,则直接从规则中拒绝访问网络;若为白名单时,则跳转到步骤S2。
3.如权利要求1所述的基于IPTABLES控制使用互联网的方法,其特征在于,在步骤S1之前还包含:
S0,将移动终端进行root。
4.如权利要求1所述的基于IPTABLES控制使用互联网的方法,其特征在于,所述的应用程序通过移动数据或WLAN尝试访问网络。
5.如权利要求4所述的基于IPTABLES控制使用互联网的方法,其特征在于,将所述的移动数据和/或WLAN网关设置进IPTABLES的规则链中,使得应用程序在通过移动数据和/或WLAN网关访问网络时,需要进行规则检查。
6.如权利要求4所述的基于IPTABLES控制使用互联网的方法,其特征在于,所述的步骤S1具体包含:
S1.1,利用IPTABLES创建wall链、wall-3g/4g链、wall-wifi链和wall-reject链;
S1.2,将OUTPUT链数据转向wall链;
S1.3,清空wall链、wall-3g/4g链、wall-wifi链和wall-reject链中的规则;
S1.4,对所述的wall链、wall-3g/4g链、wall-wifi链和wall-reject链中的增加新的规则;
S1.5,对单个应用程序的数据包进行匹配,并采取拦截或放行的操作规则。
7.如权利要求6所述的基于IPTABLES控制使用互联网的方法,其特征在于,所述的步骤S1.4具体为:
S1.4.1,将wall-reject链的目标设为拒绝;
S1.4.2,将3g/4g数据包与wifi数据包分开,并分别引向wall-3g/4g链、wall-wifi链。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510167947.6A CN104754564A (zh) | 2015-04-10 | 2015-04-10 | 一种基于iptables控制使用互联网的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510167947.6A CN104754564A (zh) | 2015-04-10 | 2015-04-10 | 一种基于iptables控制使用互联网的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104754564A true CN104754564A (zh) | 2015-07-01 |
Family
ID=53593536
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510167947.6A Pending CN104754564A (zh) | 2015-04-10 | 2015-04-10 | 一种基于iptables控制使用互联网的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104754564A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105591813A (zh) * | 2015-11-24 | 2016-05-18 | 上海斐讯数据通信技术有限公司 | 上网的控制方法、控制装置及上网设备 |
CN105721477A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
CN106658657A (zh) * | 2016-10-20 | 2017-05-10 | 青岛海信移动通信技术股份有限公司 | 一种接入网络的方法和装置 |
CN114024717A (zh) * | 2021-10-09 | 2022-02-08 | 深圳市广和通无线股份有限公司 | 应用程序流量的控制方法、装置、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
CN104010000A (zh) * | 2014-06-13 | 2014-08-27 | 北京联宇益通科技发展有限公司 | 安卓系统非超级用户权限下数据包过滤方法、装置和系统 |
CN104394175A (zh) * | 2014-12-17 | 2015-03-04 | 中国人民解放军国防科学技术大学 | 一种基于网络标记的报文访问控制方法 |
-
2015
- 2015-04-10 CN CN201510167947.6A patent/CN104754564A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
CN104010000A (zh) * | 2014-06-13 | 2014-08-27 | 北京联宇益通科技发展有限公司 | 安卓系统非超级用户权限下数据包过滤方法、装置和系统 |
CN104394175A (zh) * | 2014-12-17 | 2015-03-04 | 中国人民解放军国防科学技术大学 | 一种基于网络标记的报文访问控制方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105591813A (zh) * | 2015-11-24 | 2016-05-18 | 上海斐讯数据通信技术有限公司 | 上网的控制方法、控制装置及上网设备 |
CN105591813B (zh) * | 2015-11-24 | 2019-06-21 | 上海斐讯数据通信技术有限公司 | 上网的控制方法、控制装置及上网设备 |
CN105721477A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
CN105721477B (zh) * | 2016-02-25 | 2019-11-01 | 上海斐讯数据通信技术有限公司 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
CN106658657A (zh) * | 2016-10-20 | 2017-05-10 | 青岛海信移动通信技术股份有限公司 | 一种接入网络的方法和装置 |
CN114024717A (zh) * | 2021-10-09 | 2022-02-08 | 深圳市广和通无线股份有限公司 | 应用程序流量的控制方法、装置、设备及存储介质 |
WO2023056747A1 (zh) * | 2021-10-09 | 2023-04-13 | 深圳市广和通无线股份有限公司 | 应用程序流量的控制方法、装置、设备及存储介质 |
CN114024717B (zh) * | 2021-10-09 | 2024-04-05 | 深圳市广和通无线股份有限公司 | 应用程序流量的控制方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10581873B2 (en) | Securing micro-services | |
US10237240B2 (en) | Assessing risk associated with firewall rules | |
US10257186B2 (en) | Method and network element for improved access to communication networks | |
US9712952B2 (en) | Network access method, device, and system | |
CN104754564A (zh) | 一种基于iptables控制使用互联网的方法 | |
US10275607B2 (en) | Location and time based mobile app policies | |
US20130276092A1 (en) | System and method for dynamic security insertion in network virtualization | |
CN112073411A (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
CN105871795A (zh) | 一种上网控制方法及相关设备 | |
US20070136471A1 (en) | Systems and methods for negotiating and enforcing access to network resources | |
CN114024717B (zh) | 应用程序流量的控制方法、装置、设备及存储介质 | |
CN115174269A (zh) | Linux主机网络通信安全防护方法和装置 | |
CN107969017A (zh) | 实现网络切片的方法及系统 | |
CN103795736A (zh) | 针对移动终端不同联网通道的防火墙联网系统 | |
CN110569987B (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
Al-Zewairi et al. | An experimental software defined security controller for software defined network | |
KR20170047340A (ko) | 사설 네트워크에서 사용자 장비 디바이스를 동작시키기 위한 방법 및 시스템 | |
Diekmann et al. | Semantics-preserving simplification of real-world firewall rule sets | |
KR101095861B1 (ko) | 전화번호 기반 통화제한 기술이 적용된 인터넷전화방화벽장치 및 이의 제어방법 | |
CN116094814A (zh) | Vpn接入方法、装置、电子设备及存储介质 | |
CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
CN114189865B (zh) | 通信网络中的网络攻击防护方法、计算机装置和存储介质 | |
Moser et al. | Extending software defined networking to end user devices | |
EP2778956A2 (en) | Processing a link on a device | |
CN111901139A (zh) | 一种响应方法、确定方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150701 |