一种让iptables规则支持本地时间的方法及终端技术

本发明专利技术提供了一种让iptables规则支持本地时间的方法和终端，包括初始化操作系统，设置操作系统的时间和操作系统时区信息；在用户态获取操作系统的时间以及操作系统时区信息；将操作系统的时区信息配置到内核；设置防火墙的iptables规则，iptables规则为关于期望时间控制的规则，期望时间根据操作系统设置的时区设定；内核接收报文；内核根据配置的时区信息，将报文中的世界统一时间UTC转换为操作系统设置的时区内的时间；内核将转换得到的时间与期望时间匹配，得到匹配结果；根据匹配结果以及防火墙的iptables规则放行或丢弃报文。解决了现有技术存在的诸多问题，极大简化了iptables防火墙基于时间控制的使用难度，提高了工作效率和降低了配置错误的概率。

【技术实现步骤摘要】
一种让iptables规则支持本地时间的方法及终端
本专利技术涉及通信
，具体地涉及一种让iptables规则支持本地时间的方法及终端。
技术介绍
iptables作为linux系统上的广泛使用的防火墙配置工具，提供了丰富的模块来配置各种规则，以达到各种网络报文的过滤目标。其time时间匹配扩展模块更是丰富了iptables的控制手段，它可以按照时间信息来对报文进行控制，比如想控制9:00～10:00时间段不能上网，其它时间可以正常上网，可以利用iptables的time扩展模块配置如下规则：iptables-tfilter-AOUTPUT-ptcp--dport80-mtime–timestart9:00--timestop10:00-jDROP，按照通常理解，这条规则在9:00～10:00时间段内，规则应该能命中，80端口的报文会被丢弃，实际并没有丢弃，没有达到预想效果。通过分析发现Linux内核里面网络报文携带的时间戳都是以UTC世界统一时间为基准的，时间匹配模块是按照UTC时间去做匹配，即只有在UTC时间9:00～10:00时间段本文档来自技高网...

【技术保护点】
1.一种让iptables规则支持本地时间的方法，其特征在于，包括如下步骤：/n步骤a:初始化操作系统，设置操作系统的时间和操作系统时区信息；/n步骤b:在用户态获取操作系统的时间以及操作系统时区信息；/n步骤c:将操作系统的时区信息配置到内核；/n步骤d:设置防火墙的iptables规则，所述iptables规则为关于期望时间控制的规则，所述期望时间根据操作系统设置的时区来设定；/n步骤e:内核接收报文；/n步骤f:内核根据步骤c配置的时区信息，将报文中的世界统一时间UTC转换为操作系统设置的时区内的时间；/n步骤g:内核将步骤f中转换得到的时间与步骤d中期望时间匹配，得到匹配结果；/n步骤...

【技术特征摘要】
1.一种让iptables规则支持本地时间的方法，其特征在于，包括如下步骤：
步骤a:初始化操作系统，设置操作系统的时间和操作系统时区信息；
步骤b:在用户态获取操作系统的时间以及操作系统时区信息；
步骤c:将操作系统的时区信息配置到内核；
步骤d:设置防火墙的iptables规则，所述iptables规则为关于期望时间控制的规则，所述期望时间根据操作系统设置的时区来设定；
步骤e:内核接收报文；
步骤f:内核根据步骤c配置的时区信息，将报文中的世界统一时间UTC转换为操作系统设置的时区内的时间；
步骤g:内核将步骤f中转换得到的时间与步骤d中期望时间匹配，得到匹配结果；
步骤h:根据匹配结果以及防火墙的iptables规则放行或丢弃报文。


2.根据权利要求1所述的让iptables规则支持本地时间的方法，其特征在于，步骤b中，通过程序指令获取操作系统的时间和操作系统时区信息。


3.根据权利要求2所述的让iptables规则支持本地时间的方法，其特征在于，步骤c中，通过netlink或者系统调用方式将当前操作系统的时区信息配置到内核。


4.根据权利要求3所述的让iptables规则支持本地时间的方法，其特征在于，步骤d中，通过iptables规则的time扩展模块配置关于期望时间控制的规则。


5.根据权利要求4所述的让iptables规则支持本地时间的方法，其特征在于，步骤g中，内核将步骤f中转换得到的时间与步骤d中期望时间进行比较，得到比较结果。


6.一种让iptables规则支持本地时间的终端，...

【专利技术属性】
技术研发人员：刘伟，袁伟，吴清坚，
申请(专利权)人：长扬科技北京有限公司，
类型：发明
国别省市：北京;11