【Iptables】08 Iptables扩展匹配条件之state扩展模块

最新推荐文章于 2023-10-02 21:40:56 发布
最新推荐文章于 2023-10-02 21:40:56 发布
阅读量391 收藏
点赞数
分类专栏: Iptables 文章标签: 防火墙 Iptables 网络安全
原文链接:http://www.zsythink.net/archives/1597
版权

特别说明:此系列博文根据 朱双印博客-iptables系列博文,个人实践后总结,此为个人笔记精简版,更通俗易懂请参考 朱双印博客-iptables系列博文 原文内容,诸君必能有所收获

08 Iptables扩展匹配条件之state扩展模块

一般情况下,我们访问服务器服务,向服务端的80发起请求,服务端会通过80端口响应我们的请求,于是,我们作为客户端,也会开发相应的80端口以便接收该服务返回的报文,但此时就可能存在安全问题,如果进入我们主机80端口的报文到底是服务端返回的,还是别人刻意发送的呢?

很可怕,我们可以试着只通过特定主机IP发送的报文,其余IP地址发送的报文都拒绝,但是这样一来,随着管理的主机数量的增加,我们难免会出现纰漏;我们可能会想,拒绝别的主机tcp访问连接不就可以了吗?但是对方也有可能是通过其他协议如icmp和udp连接,迷茫了,幸好有state扩展模块,不然这个问题还真不好解决

我们可以通过state扩展模块来实现区分进入本机某个端口的信息是服务端发送的还是别人发送的,并且通过匹配条件,我们可以进行动作的定义;state模块译为状态,但是我们需要理解它,可以使用另一个词去解释它,就是state是主机之间的"连接追踪"机制

先理解下state的"连接"吧,state的"连接"可能和常见的tcp连接不一样,在TCP/IP协议簇中,UDP和ICMP协议是没有所谓的连接的,但是对于state来说,所有的报文都是有连接状态的,只要两台主机在互相通信,就算是建立了连接,具体可以看如下图形
在这里插入图片描述
那么state扩展模块怎么实现"连接追踪"机制的呢?

对于state扩展模块的连接,其中的报文可以分为5中状态,分别可以是NEW、ESTABLISHED、RELATED、INVALID、UNTRACKED

这些报文状态表示的是什么?

  • NEW:连接中的第一个包,其state状态就是NEW,我们可以理解为新连接的第一个包状态为NEW

  • ESTABLISHED:我们可以把NEW状态包后面的包的状态理解为ESTABLISHED,表示连接已经建立,如图
    在这里插入图片描述

  • RELATED:从字面意思理解为关系,但是并不容易理解,我们可以通过例子来说明作用

    如FTP文件服务,FTP服务端会建立两个进程,一个命令进程,一个数据进程;命令进程负责服务端与客户端之间的命令传输,数据进程负责服务端与客户端之间的数据传输,但是具体传输什么内容,需要命令去控制,这样一来,服务端和客户端命令进程的连接与数据进程的连接就存在某种关系,那么进行数据传输的进程之间 的报文可能就是RELATED状态,因为这些报文与命令进程连接的报文有关系

    (注:如果想要对ftp进行连接追踪,需要单独加载对应的内核模块nf_conntrack_ftp,如果想要自动加载,可以配置/etc/sysconfig/iptables-config文件)

  • INVALID:如果一个包没有办法被识别,或者这个包没有任何状态,那么这个包的状态就是INVALID,我们就可以主动屏蔽状态为INVALID的报文

  • UNTRACKED:表示报文未被追踪,当报文的状态为Untracked时通常表示无法找到相关的连接

了解了这些状态后,我们再来看之前的问题,我们怎么判断发送到某个端口的报文时服务端发送的还是别人发送的呢?这下我们可以使用state扩展模块的 --state 选项进行匹配,只有是ESTABLISHED的报文我们放行即可,因为此状态表示该报文之前已经建立了连接,已经通信过了;如果不放心,可以将RELATED和ESTABLISHED状态的报文都放行,这样之前的问题就解决了

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
【Iptables】iptables目录
【Iptables】09 Iptables的黑白名单机制

TDXYBS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 2851
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
hualinux ros防火墙资料之iptables详解.zip
11-16
这个是我的ros专栏防火墙部分的扩展阅读iptabels教程 https://blog.csdn.net/hualinux/category_10572672.html
iptables实例2-state模块
yuyuyuliang00的博客
02-22 1824
iptables实例2-state模块 实验准备: https://blog.csdn.net/yuyuyuliang00/article/details/123012202?spm=1001.2014.3001.5501中的准备工作 清空前一次实验中iptables filter表中链上的所有规则:
iptablesstate模块使用
北风
01-15 3232
为了防止恶意攻击主动连接到你的主机,我们需要通过iptables扩展模块判断报文是为了回应我们之前发出的报文还是主动向我们发送的报文,state模块可以让iptables实现 连接追踪机制 ,报文状态可以分成NEWESTAVLISHEDRELATEDINVALIDUNTRACKED。具体的连接跟踪的原理详见(https://blog.csdn.net/weixin_40042248/article/details/112568071)。 本次实验是为了验证iptablesstate模块如何进...
iptables 实战】04 高级用法:iptables模块state扩展
程序员笔记
10-02 288
这个问题的本质,实际上是,我们只想主动连别人,别人不要主动连上我。我请求目标端口为80的报文,只通过80端口,你给我的响应报文,你只要通过自己的80端口想连上我,我通通拒绝!因此,如果黑客通过自己的80端口,想来连我,就会发起第一次握手,因此,如果我们能对这种连接报文拒绝,就能让他无法通过80端口来攻击我。假设我们内部的主机,想访问新闻网站,即访问其80端口。黑客源报文为80端口的话,可以连接我们的主机。TCP连接建立会经历三次握手,三次握手后,才开始正式的通信。于是,流程就变成了下面的效果。
Iptables防火墙state模块扩展匹配规则
江晓龙的博客
07-09 820
state模块也就是conntrack连接追踪的概念,主要作用就是源端到目标端所经过的路由跟踪记录,通过连接跟踪,就可以分析出源端到目标端所经过的地址,然后判断出有哪些是异常的,哪些是正常的。连接追踪,第一次建立的请求时NEW状态,基于NEW状态之后,在建立的连接是ESTABLISHED状态,RELATED是相关的连接,INVALID是无效的连接。一个典型的场景:当本机的80端口向其他客户端发起了请求,但是并不是ESTABLISHED状态,而是NEW状态,此时一定是有问题的,WEB 80端口不会向客户端发起
iptables详解(8):iptables扩展模块state扩展
ss810540895的博客
10-20 445
如果某些与你敌对的人,利用这些端口”主动”连接到你的主机,你肯定会不爽的吧,一般都是我们主动请求80端口,80端口回应我们,但是一般不会出现80端口主动请求我们的情况吧。那么我们仔细的思考一下,造成上述问题的”根源”在哪里,我们为了让”提供服务方”能够正常的”响应”我们的请求,于是在主机上开放了对应的端口,开放这些端口的同时,也出现了问题,别人利用这些开放的端口,”主动”的攻击我们,他们发送过来的报文并不是为了响应我们,而是为了主动攻击我们,好了,我们似乎找到了问题所在?似乎总是有一些不完美的地方。
Linux笔记-iptables模拟公司环境配置
IT1995的博客
04-01 896
需求有3点: ①员工在公司内部(10.10.155.0/24,10.10.188.0/24)能访问服务器上的任何服务。 ②出差员工在上海,通过VPN连接到公司,外网(员工)拨号到VPN服务器,就可以使用内网的FTP、SAMBA、NFS、SSH。 ③公司有一个门户网站需要允许公网访问。 允许外网访问服务: http 80/tcp https 443/tcp smtp 25/tcp smtps 465/tcp pop3 110/tcp pop3s
网络安全课程设计之D防火墙——Iptables.docx
09-17
iptables 常用的通用匹配条件扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配条件扩展匹配条件定义 iptables ...
iptables之SNAT和DNAT
最新发布
01-08
iptables、SNAT和DNAT实验
Linux下CoreSeek及PHP扩展模块的安装
12-19
前提条件是系统己安装完成apache mysql php的WEB服务。我是以yum来安装的。如果你没有安装过请按照下面给出的链接先完成基本的LAMP环境的安装。 LAMP安装教程:https://www.jb51.net/article/31379.htm (安装之前...
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
iptablesstate模块(ftp服务练习)
码二哥的技术池
06-22 752
有些场景下,我们要能够识别出报文是主机主动发送出去的,还是主机被动接收的;因此,需要给报文添加上一些状态;防火墙可以根据数据包的状态,添加更加详细、有效的防火墙规则。只关心用户层面,不考虑内核层。在用户层面,定义了4种状态:在Mac环境上使用PD创建两个虚拟机,系统是centos7.5左边的虚拟机,用于安装vsftpd服务,IP是10.211.55.20右侧的虚拟机,用户安装ftp命令客户端,IP是10.211.55.10整个过程,会创建两个链接:在10.211.55.20虚拟机上 3.2.2、修改配置文件
iptables常用配置
kwame211的博客
05-13 4821
1. 普通规则1.1 操作规则 iptables -nL 查看本机关于iptables的设置情况,默认查看的是-t filter,可以指定-t nat iptables-save > iptables.rule 会保存当前的防火墙规则设置,命令行下通过iptables配置的规则在下次重启后会失效,当然这也是为了防止错误的配置防火墙。默认读取和保存的配置文件地址为/etc/sysconfig/iptables。 设置chain默认策略 iptable...
iptables 经验总结,及实战实例
Knowledge Archiving and Sharing
05-16 4241
防火墙一般写进来的防护INPUT,出去的OUTPUT不写 防火墙先放行,再设置默认策略 iptables -P INPUT ACCEPT 先放行22,再放行其他的端口 再设置默认策略为drop,这样非范围内的就不能上来了 为安全起见,操作的时候,先看下input的默认策略,如果是DROP,执行-F, 就不可以再上去了。最好建一个crontab, 15分钟后自动执行,完事之后再停掉,写 iptables -P INPUT ACCEPT iptables -F 对...
iptables 防火墙日常
weixin_30855761的博客
07-31 382
、 检查机目标机器 httpd 服务/etc/init.d/httpd status ================================================================================================= Netfilter是Linux网络层 IP数据包处理模块。 ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8293
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
iptablesstate
11-23
iptablesstate模块可以让iptables实现"连接追踪"机制。它可以跟踪网络连接的状态,例如NEW、ESTABLISHED、RELATED和INVALID等状态。这些状态可以用于过滤规则中,以便更好地控制网络流量。以下是一个使用state模块...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值