Iptables 防火墙实践

最新推荐文章于 2023-04-17 09:45:12 发布
最新推荐文章于 2023-04-17 09:45:12 发布
阅读量422 收藏 4
点赞数 1
分类专栏: Iptables linux 文章标签: linux tcp/ip udp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GwinselF/article/details/120383239
版权

Iptables 防火墙实践

1.Iptables 基本介绍

1.1 防火墙的种类

  • 从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙.
    • 主机防火墙 : 针对于单个主机进行防护,比如 windows
    • 网络防火墙 : 往往处于网络入口,针对于网络入口进行防护,服务于防火墙背后的服务集群
  • 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙
    • 硬件防火墙 : 在硬件级别实现部分防火墙功能,另一部分功能基于软件实现, 性能高. 成本高
    • 软件防火墙 : 以软件的方式模拟防火墙功能,运行在操作系统上,性能不高,成本较低

1.2 什么是Iptables

  • Iptables 其实不是真正的防火墙,就是一个代理程序,用户通过iptables这个代理程序,将安全规则执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个安全框架叫 netfilter ,是内核代码中不可缺少的一部分
  • iptables 位于操作系统的用户空间, 我们后期是通过iptables 命令工具操作 netfilter 内核框架.
  • 所以 iptables 的完整叫法应该是 netfilter/iptables ,它是linux平台下的"包过滤型防火墙",是免费的,它可以代替昂贵的商业防火墙解决方案,完成数据包的过滤,连接追踪,限速,网络地址替换(NAT)等功能.

在这里插入图片描述

1.3 什么是包过滤防火墙

  • 包过滤防火墙它工作在OSI七层模型中的网络层,用来匹配网络数据包的(header):
    • 1.将header 与预先定义好的防火墙规则进行比对
    • 2.与规则相匹配的包会被放行
    • 3.与规则不匹配的包则可能会被丢弃,也可能执行更复杂的动作
  • 由于包过滤防火墙工作在网络层,故也称"网络防火墙" 它通过检查每个数据包的:
    • 源地址,目标地址;
    • 源端口,目的端口;
    • 协议类型,(TCP,UDP,ICMP) 等状态信息来判断是否符合规则

1.4 包过滤防火墙如何实现

  • 包过滤防火墙是由 netfilter 来实现的,他是内核一部分
  • 如果我们想要防火墙能够达到"防火"的目的,则需要在内核中设置关卡,所有进出的报文都要经过这些关卡进行检查:
    • 将符合条件的放行
    • 不符合的阻止
    • 而这些关卡在iptables中 称之为 “链”

2.Iptables中链的概念

2.1 什么是链

  • 防火墙的作用就在于对经过的数据报文进行"规则"匹配,然后执行规则对应的"动作".所以当报文经过这些关卡的时候,则必须匹配这个关卡上的规则. 但是,这个关卡上可能不止有一条规则,而是有很多条.当我们把这些规则串到一起的时候,就形成了"链"
  • 所以,每经过这个关卡的报文,都要将这条链上的所有规则匹配一遍,如果有符合条件的规则,则执行规则对应的动作,如果没有则执行默认链的动作

在这里插入图片描述

2.2 Iptables有哪些链

  • 当我们启用了防火墙功能时,报文需要经过很多关卡,也就是说,根据实际情况不同,报文经过"链"可能不同,大体分为如下三类:
    • 请求本机会经过哪些链 ( PREROUTING --> INPUT --> Local Process )
    • 请求经过本机经过哪些链 ( PREROUTING --> FORWARD --> POSTROUTING )
    • 从本机发出经过哪些链 ( Local Process --> OUTPU --> POSTROUTING )
  • 了解 Iptables链的数据包流向,后期在设定规则时,能很清晰的知道将规则设定在哪个链上

在这里插入图片描述

3. Iptables 表的概念

3.1 什么是表

  • 我们对每个"链" 上都放置了一串规则,但是这些规则都很相似.比如:
    • A类规则都是对IP或端口的过滤
    • B类规则都是对报文进行修改的
    • C类规则都是进行地址替换的
    • 那么这个时候,我们是不是能把实现相同功能的规则放在一起?
  • 当我们把具有相同功能的规则集合在一起叫做"表",所以说,不同功能的规则,我们可以放置在不同的表中进行管理,而iptables已经为我们定义了4种表,每种表对应了不同的功能

3.2 表的功能

表名 作用 包含的链
fileter 负责过滤功能 INPUT, OUTPUT, FORWARD
nat 负责网络地址转换功能 PREROUTING , INPUT , OUTPUT , POSTROUTING
mangle 负责修改数据包内容 INPUT , OUTPUT , FORWARD , POSTROUTING , PREROUTING
raw 关闭nat表上启用的连接追踪功能 PREROUTING , OUTPUT

3.3 表与链的关系

  • raw --> mangle --> nat --> filter

在这里插入图片描述

4. Iptables 规则管理

4.1 什么是规则

  • 数据包的过滤基于规则,而规则是由匹配 条件 + 动作组

最低0.47元/天 解锁文章
GwinselF
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables详解 .pdf
04-29
iptables 详细介绍,随着k8s的兴起,iptables被关注的人更多了。本书详细介绍了iptables的内容,带你滤清各种表及链。在阅读的同时,更多的是要动手操作。技术这一行,实践才是最重要的。
Cortafuegos:防火墙理论与实践
04-17
防火墙功能1. 1.1。1.2。1.3。2.2.1。3.3.1。 防火墙政策 3.2。 iptables元素 3.3。 过滤表:包过滤 3.4。 设置默认策略 4.实践
防火墙——IPtables的基本用法
xiangmomo1的博客
06-04 383
(1)容许192.168.42.1 访问22端口,容许192.168.42.0/24 访问80 ,其他所有请求拒绝 [root@localhost ~]# iptables -t filter -I INPUT -p ICMP -j REJECT [root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -s 192.168.42.1 -j ACCEPT [root@localhost ~]# iptables -t filter -
网络安全实验之《防火墙实验报告
7xun's space
04-17 8870
SNAT:开通内网机器的外网访问权限,是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机,MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE。解决方法:此时我的主机连接的是wifi,我把wifi关掉,然后主机连接手机的移动热点,再重启ubuntu,输入ifconfig,ens33处便能正常显示ip了。
实验Linux环境下 iptables防火墙的配置
君莫hacker的博客
11-24 5644
Linux环境下iptables防火墙的配置 (1)通过iptables进行端口设置。 a. 添加规则关闭某端口(如TCP的22端口);然后,查看已有规则,并试图访问该端口。 b. 删除上述规则开放该端口;然后,查看已有规则,并试图访问该端口。 (2)通过iptables实现ICMP包的过滤。 a. 添加规则拒绝ICMP包通过;然后,查看已有规则,并试图执行ping命令。 b. 删除上述规则允许ICMP包通过;然后,查看已有规则,并试图执行ping命令。
linuxiptables防火墙的操作
dreamzuora的博客
03-09 236
Iptables教程 1. iptables防火墙简介 Iptables也叫netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入、流出、流经服务器的数据包进行精细的控制。iptablesLinux2.4及2.6内核中集成的模块。 2. Iptables服务相关命令 1.查看iptables状态 service ...
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
Docker实践总结
01-07
【1】防火墙或者网络错误 ① 修改了防火墙或者网络,启动容器报错 背景:修改了iptables,没有重启docker服务 启动容器报错: Error response from daemon: Cannot restart container 2907e4188b3d: iptables failed...
Linux安全设置实践.
09-10
Linux基本防护措施 使用sudo分配管理权限 ...案例4:iptables基本管理 案例5:filter过滤和转发控制 案例6:防火墙扩展规则 案例7:配置SNAT实现共享上网 案例8:常用系统监控命令配置与使用Zabbix监控系统
kvm-practice:kvm虚拟化实践,包含nat、bridge方式创建windows、linux虚拟机详细步骤
06-19
kvm虚拟化实践,主要内容包括: 1、KVM虚拟化安装 BIOS设置 OS安装 KVM安装与检查 2、bridge方式创建windows虚拟机 bridge方式含义 宿主机网卡配置 虚拟磁盘创建 创建虚拟机 VNC安装配置虚拟机 虚拟机网络配置,IP与...
《网络安全》实验指导书 Linux系统iptables防火墙
03-24
《网络安全》实验指导书 Linux系统iptables防火墙
Linux iptables防火墙实验
qq_45070118的博客
06-17 8290
实验要求 1. 利用Linux自带的iptables配置防火墙。完成如下配置: 要求:(1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙访问外部HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加,作为加分项。 iptables防火墙简介 在linux上设置防火墙规则时,一定要先用...
安全技术与防火墙工具iptables
weixin_53585291的博客
02-11 544
入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。
iptables(三)网络地址转换NAT
十五十六
08-29 4845
防火墙上的网络地址转换有3类 SNAT 源地址转换 DNAT 目的地址转换 PNAT 端口转发 SNAT 源地址转换,让本地网络中的主机通过某一特定地址访问外部网络,具体实现一般都在POSTROUTING链上,因为如果数据包是发给本机的。如果在PREROUTING链上做,不就是相当于浪费功夫吗吗,因为最后也是要发给自己,结果在发给自己之前还做了一层转换,所以有点浪费资源了。综合来...
防火墙服务器-iptables
m0_46095955的博客
08-04 574
iptables防火墙概念介绍 开放源代码的完全自由的基于包过滤的防火墙工具 iptables主要工作在OSI七层的二、三、四层 企业应用防火墙 企业访问并发量小: 应用软件防火墙进行防护 企业访问并发量大: 应用硬件防火墙进行防护 iptables防火墙工作原理 名词概念 容器: 装东西的一个器皿 表: 表(防火墙功能表)装入到防火墙服务(容器) 链: 链(具体功能说明)装入到防火墙的...
iptables防火墙配置
weixin_45948376的博客
11-23 6556
实验 iptables防火墙配置 实验的目的 熟悉防火墙的基本原理。 熟悉包过滤防火墙的测试。 实验内容 1)学习Linux防火墙的基本架构 2)学习IPtable的基本原理 3)学习IPtable的使用方法 实验环境 1)虚拟机:Linux主机 2)宿主机:Windows客户端 实验原理 防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防
linux iptables 防火墙实验
weixin_43171033的博客
04-30 883
转自:https://blog.csdn.net/weixin_43762939/article/details/92834101 用于学习iptables的使用
iptables防火墙
不知道灬都不知道
06-30 480
iptables防火墙 实验环境:CentOS 6.5 一、路由设置 1、查看路由表信息 [root@server ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.221.0...
使用iptables进行NAT转发
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
iptables source
最新发布
12-29
iptablesLinux 操作系统中用于配置网络防火墙的工具之一。source 是 iptables 中用于指定数据包来源的规则选项。 使用 iptables 的 source 选项,你可以指定允许或拒绝来自特定源地址的数据包通过防火墙。例如,你可以使用 source 规则来允许某个 IP 地址范围的所有流量通过防火墙,或者拒绝来自某个 IP 地址的流量。 以下是一个使用 iptables 的 source 规则的示例: ```php iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT ``` 上述规则将允许来自 192.168.0.0/24 网络的所有数据包通过防火墙。你可以根据需要修改源地址范围和规则操作(ACCEPT 表示接受,DROP 表示拒绝)。 请注意,使用 iptables 进行网络防火墙配置需要一定的网络和安全知识。确保在修改规则之前进行适当的测试和备份,并确保你的配置符合安全最佳实践

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值