[发明专利]一种让iptables规则支持本地时间的方法及终端

说明书

本发明提供了一种让iptables规则支持本地时间的方法和终端，包括初始化操作系统，设置操作系统的时间和操作系统时区信息；在用户态获取操作系统的时间以及操作系统时区信息；将操作系统的时区信息配置到内核；设置防火墙的iptables规则，iptables规则为关于期望时间控制的规则，期望时间根据操作系统设置的时区设定；内核接收报文；内核根据配置的时区信息，将报文中的世界统一时间UTC转换为操作系统设置的时区内的时间；内核将转换得到的时间与期望时间匹配，得到匹配结果；根据匹配结果以及防火墙的iptables规则放行或丢弃报文。解决了现有技术存在的诸多问题，极大简化了iptables防火墙基于时间控制的使用难度，提高了工作效率和降低了配置错误的概率。

技术领域

本发明涉及通信技术领域，具体地涉及一种让iptables规则支持本地时间的方法及终端。

背景技术

iptables作为linux系统上的广泛使用的防火墙配置工具，提供了丰富的模块来配置各种规则，以达到各种网络报文的过滤目标。其time时间匹配扩展模块更是丰富了iptables的控制手段，它可以按照时间信息来对报文进行控制，比如想控制9:00～10:00时间段不能上网，其它时间可以正常上网，可以利用iptables的time扩展模块配置如下规则：iptables-t filter-A OUTPUT-p tcp--dport 80-m time–timestart9:00--timestop 10:00-j DROP，按照通常理解，这条规则在9:00～10:00时间段内，规则应该能命中，80端口的报文会被丢弃，实际并没有丢弃，没有达到预想效果。通过分析发现Linux内核里面网络报文携带的时间戳都是以UTC世界统一时间为基准的，时间匹配模块是按照UTC时间去做匹配，即只有在UTC时间9:00～10:00时间段才会命中，假设本地时间使用的是北京时间，那这条规则命中的北京时间是17:00～18:00点，与当初的预期是不一致的，规则配置是错误的。

当然在配iptables规则的时候，也可以自己根据本地时间换算成UTC世界统一时间后再配置，比如把上面规则的timestart从9:00改成1:00，timestop从10:00改成2:00，规则也能按照预期在北京时间9:00～10:00生效，但是这种在iptables规则里把本地时间换算成UTC世界统一时间的有如下一些问题：

1、使用UTC时间不符合常用习惯

2、手动换算UTC时间容易计算出错

3、iptables展示的时间与系统时间不一致，不利于管理维护

4、当换算的UTC时间出现跨天时，比如北京时间2:00～12:00点换算成UTC时间就是前一天的18:00～今天4:00，此时iptables配置比较麻烦

5、当time结合monthdays/weekdays/datestart这些选项一起使用的时候，会出现跨天、跨星期、跨月的情况，iptables的规则命令会异常复杂，很难配正确。

发明内容

(一)发明目的

本发明的目的是提供一种让iptables规则支持本地时间的方法及终端，从而克服现有技术在iptables规则里把本地时间换算成UTC世界统一时间的存在的问题。

(二)技术方案

为解决上述问题，本发明一种让iptables规则支持本地时间的方法，包括如下步骤：

步骤a:初始化操作系统，设置操作系统的时间和操作系统时区信息；

步骤b:在用户态获取操作系统的时间以及操作系统时区信息；步骤c:将操作系统的时区信息配置到内核；

步骤d:设置防火墙的iptables规则，所述iptables规则为关于期望时间控制的规则，所述期望时间根据操作系统设置的时区来设定；