防火墙000

最新推荐文章于 2021-07-01 14:55:05 发布
最新推荐文章于 2021-07-01 14:55:05 发布
阅读量552 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Suweika/article/details/108108965
版权

四类防火墙:

基础类防火墙:

IDS类防火墙:入侵检测系统,

IPS类防火墙:入侵防御系统,

主动安全类:waf(web应用防火墙),daf(数据库应用·防火墙)

防火墙有软件和硬件:

  • 硬件:

360网擎,天安信,绿盟科技

  • 软件:

C6:防火墙管理工具iptables,内核态netfilter

C7:防火墙管理工具firewall(一般会装iptables),内核态netfilter

防火墙的四表五链:

  • 四表:

1.raw:数据报文跟踪

2.mangle:数据报文修改

3.nat:地址转换

4.filter:数据报文过滤

  • 五链:内核态netfilter中的五个接口

1.INPUT:数据入站

2.OUTPUT:数据出站

3.FORWARD:数据转发

4.PREROUTING:路由前

5.POSTROUTING:路由后

  • 规则:

自定义规则--ACCEPT,DROP(优先级高)

默认规则--ACCEPT,ALLOW,拒绝等

表与链和规则的关系:

顺序:

  • 规则循序:

自上而下依次匹配,匹配既停止

  • 表顺序:

raw mangle nat filter

  • 链顺序:

入站:PREROUTING INPUT

出站:OUTPUT POSTOUTING

转发:PREROUTING FORWARD POSTOUTING

表上所对应的链:(红色标识部分熟记)

将表和链顺序结合起来:

入站:把中间的一大部分理解为一个防火墙,入站数据进来先依次经过各个表的PREROUTING,然后经过路由选择,如果是本地的那么就往上走,要依次经过各个表的INPUT,到达本机应用程序

出站:出站数据依次经过各个表的OUTPUTING,然后再经过各个表的POSTROUTING

转发:先经过各个表的PREROUTING,然后再经过各个表的FORWARD链,再经过各个表的POSTROUTING

表与链和规则的关系:

liptables  [-t 表名选项  [链名]  [条件]  [-j 控制类型]

表名:

-t 指定表名 (不使用-t指定默认匹配fliter表)

控制类型:选项和链名配合使用

   选项:添加规则---A末尾追加   -I 开头插入    

   链名:五条链

条件:

通用匹配条件:-p 协议名   -s 原地址   -d 目的地址   -i 入站网卡   -o 出站网卡(可以多配合使用)

隐含匹配条件:-sport 源端口  -port 目的端口   -icmp-type ICMP类型

显式匹配条件:

多端口-m multiport --sport 源端口列表   -m multiport --dport 目的端口列表 

IP范围匹配-m iprange --src-range IP范围

MAC地址匹配 -m mac --mac-source MAC地址

状态匹配 -m state --state

控制类型:

ACCEPT  允许通过

DROP  直接丢弃,不给出任何回应                                                                            

REJECT  拒绝通过,会给出提示                                                                             

LOG  记录日志信息,然后传给下一条规则继续匹配

SNAT  修改数据包源地址

DNAT  修改数据包目的地址

REDIRECT  重定向

常用命令:

  • 查看指定表的规则:                                 iptables -t mangle -L
  • 查看以数字的形式显示端口和地址信息: iptables -L -n
  • 查看过滤数据包的数量:                          iptables -L -v
  • 查看以行号显示:                                     iptables -L --line-numbers
  • 按行号删除指定链规则:                          iptables -D INPUT 1
  • 清空当前filter表的链的所有规则:            iptables -F
  • 清空指定表的指定链的规则:                   iptables -t filter -F OUTPUT
  • 清空防火墙所有规则:                              echo " " > /etc/sysconfig/iiptables
  • 为指定的链设置默认规则:                      iptables -t filter -P OUTPUT ACCECT
  • 查看端口和条件的对应关系:                   cat /etc/services

规则演示:

当原地址是192.168.66.11的数据报文的转发请求就拒绝:iptables -A FORWARD -s 192.168.1.11 -j PEJECT

当原地址是10.20.30.0/24的入站数据报文请求就丢弃:iptables -I INPUT -s 10.20.30.0/24 -j DROP

当协议是icmp的入站数据报文就丢弃: iptables -I INPUT -p icmp -j DROP

当入站网卡是eth1原地址是172.16.0.0网段的入站请求就丢弃: iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

当原地址是4.0的时候目的端口是53udp协议的转发请求就接收:iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT

自己能ping通别人,别人不能ping通自己:iptables -t filter -A INPUT -p icmp --icmp-type 0 -j ACCEPT(自己能ping通别人)

                                                                    iptables -t filter -A INPUT -p icmp --icmp-type 3 -j ACCEPT

                                                                    iptables -t filter -A INPUT -p icmp -j DROP(拒绝别人ping自己)

0级别(回显) 3级别(目标未知)

当端口为20,80,22,443的入站请求接收:iptables -A INPUT -m mulitport --dport 20,80,22,443 -j ACCEPT

将新发起连接的请求拒绝掉:iptables -I INPUT -p tcp --dport 21 -m state --state NEW -j REJECT

SNAT:把源地址伪装成公网IP

将源地址伪装成公网IP:iptables -t nat -A  POSTROUTING -s 192.168.66.0/24 -o eth1 -j SNAT --to-source 10.10.10.11

实验前介绍:SNAT和DNAT

SNAT:在路由后改变发送过来的数据包的源地址为公网IP

DNAT:在路由前改变发送过来的数据包的目标地址为内网地址

SNAT和DNAT的区别:SNAT是直接访问公网地址;DNAT是访问路由器

1.模拟内网通过路由器访问公网:(SNAT)

  • 实验介绍:模拟内网访问公网,服务器该如何配置
  • 实验环境:三台机器:192.168.66.11;192.168.66.12,20.20.20.12;20.20.20.13

11主机把网关指向12机器,12机器开启路由转发,13配置web服务器

  • 实验原理:

用A直接pingC是不通的,如果使用tcpdump -nA port 80抓包的话,会发现C可以抓到,但是A收不到返回信息

A指定网关到B的内网网卡,B的外网网卡正好是20.20,B把数据包转发给C,C把目标地址和源地址改变(S20.20.20.12;D192.168.66.11),但是C是公网不可能去指定网关到B的外网网卡,所以数据包回不去,为了解决这种情况,使用SNAT;A的数据包发送过来,路由器将源地址改变成C的网段的IP,这样公网就可以不需要配网关返回数据包了;因为公网不可能去配置网关,所以设置防火墙改变源地址IP

网关:访问局域网内没有的IP网址的时候,就交给和自己相同地址的网关处理,如果路由器里的另一张网卡是被访问的IP网段,那么就会把数据包发送

SNAT(源地址转换):在路由后改变发送过来的数据包的源地址为公网IP,这样公网客户端就可以将数据包返回,不需要配网关

  • 防火墙设置:

iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -o eth1 -j SNAT --to-source 20.20.20.12

指定192.168.66.0网段的IP,出口网卡是路由器的出站网卡在nat表的路由后,修改数据包源地址为20.20.20.12

2.模拟内网通过路由器访问公网:(SNAT)

  • 实验环境:两台机器:192.168.66.11;192.168.66.12,NATdhcp获取
  • 实验搭建:

11主机配置网关指定到192.168.66.12,添加DNS;12添加防火墙规则:iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -o eth1 -j SNAT --to-source 192.168.157.128

  • 测试:

外网通过路由器访问内网:(DNAT)

 

实验环境:三台机器:192.168.66.11;192.168.66.12,20.20.20.12;20.20.20.13

66.11主机是web服务器,66.12主机是路由器,20.13主机是公网客户

实验搭建:

66.11主机添加网关:echo "GATEWAY=192.168.66.12" >> /etc/sysconfig/network-scripts/ifcfg-eth0

66.12主机开启路由转发:vim /etc/sysctl.conf

66.12主机定义防火墙规则:iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to-destination 192.168.66.11

66.13主机下载apache:

实验结果:用公网的服务器curl web服务器、

端口映射:如果apache服务器的端口不是80了,那么些防火墙的规则的时候要

将apache的端口变成1234,vim /etc/httpd/conf/http 

路由器编写防火墙规则:iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to-destination 192.168.66.11:1234

访问测试:

 

 

Suweika
关注
27 防火墙不同区域之间是如何通信
qq_56248592的博客
07-07 771
2 在PC机上配置对应对IP地址 (该要启用的接口一定要启用 IP地址 子网掩码 网关 一定要查看好)3 将配置好的IP地址对应的不同接口加入到不同的区域上去。1 给防火墙配置IP地址。目标实现不同区域的通信。目标实现不同区域的通信。WEB页面配置IP地址。
防火墙添加mysql_给Mysql服务添加防火墙策略,就这么简单
weixin_29910561的博客
01-19 921
如果你的Mysql数据库安装在centos7的系统上,并且你的操作系统启用了防火墙。应用要访问mysql数据库,你有2个解决方案。方案一:停止防火墙服务方案二:在防火墙中添加策略,让应用能正常访问mysql服务端口停止Centos7防火墙查看防火墙运行状态[root@mysql ~]# firewall-cmd --staterunning停止防火墙服务[root@mysql~]#system...
金融科技&大数据产品推荐:BIGDAF——专业的Hadoop大数据安全防火墙
数据猿
10-18 747
BIGDAF是国内第一个网关级Hadoop大数据安全防火墙,也是目前唯一通过公安部认证的Hadoop安全防护产品,具备“软件-硬件-云”多样化产品形态 官网 | www.datayuan.cn 微信公众号ID | datayuancn 本产品为数据猿推出的“金融科技价值—数据驱动金融商业裂变”大型主题策划活动第一部分的文章/案例/产品征集部分;感谢
Docker——Harbor
whb1751178448的博客
03-30 403
文章目录一、Harbor 介绍二、Harbor主要功能1、基于角色访问控制(RBAC)2、镜像复制3、LDAP4、镜像删除和空间回收5、图形页面管理6、审计7、REST API三、Harbor核心组件解释四、Harbor服务部署(一)Harbor安装(二)维护管理Harbor(三)创建 Harbor 用户(四)移除 Harbor 服务容器同时保留镜像数据/数据库 一、Harbor 介绍 Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方
linux iptables使用注意
china_bobo的专栏
01-14 584
iptables里的规则,优先级是从上至下的,遇到符合条件的规则,通过后,就会直接解析生效,不会解析后面的规则。 所以要注意,比如想指定端口号,开放给指定的ip访问,ACCEPT要在drop的前面,不然是不会有正确效果的,类似以下: iptables -I INPUT -p tcp --dport 9300 -j DROP iptables -I INPUT -s 10.132.39.116
FW/IDS/IPS/WAF等安全设备部署方式及优缺点
热门推荐
chenyulancn的专栏
12-29 6万+
现在市场上的主流网络安全产品可以分为以下几个大类: 1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。FW可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。 FW部署位置一般为外联出口或者区域性出口位置,对内外流量进
【网络安全】WAF概述及各项功能
命运的旋律的博客
12-05 4050
WAF概述及各项功能 文章目录WAF概述及各项功能01.WAF的基本概念四大基本作用WEB安全业务连续系统加速数据分析02.WAF概述及各项功能WEB攻击防护敏感信息防泄漏网页防篡改DDOS防御DDOS攻击DDOS防御WEB扫描03.WAF的部署WAF的组网结构 01.WAF的基本概念 四大基本作用 WEB安全 WEB攻击防护 敏感信息防泄漏 网页防篡改 业务连续 DDOS攻击防御 系统高可...
linux 设置防火墙ip网段,网络防御-防火墙设置IP网段规则
weixin_42319436的博客
05-10 1958
熟悉linux系统的朋友,都应该知道系统防火墙的威力,我们一般在网络的世界里,只会开放某些端口进行对外服务。但是开放也意味着会受到攻击,如何降低风险,这里将分享一点知识给大家,希望大家喜欢。让我们加把锁实际需求为了更形象讲解好处,我以我的两个实际需求例子来说明限制IP的好处。需求1:由于我所在的办公室有固定的出口IP,这样的话,就方便我限制IP登录某些公网IP。需求2:我要开放A服务器给某些内网其...
Cisco PIX 500系列防火墙产品简介
03-04
Cisco Secure PIX防火墙是一个高速专用防火墙设备,能在不影响网络性能的情况下提供强大的安全。新的PIX 515机箱通过一个成本更低的...加上PIX 520(支持250,000个连接),目前Cisco提供无与伦比的专用防火墙产品家族。
中网烽火Ⅱ型防火墙解决方案
03-03
最大支持多达500,000个并发连接数,20条VPN隧道,4个10/100Mbps网口最大达到 1056Mbps的吞吐量,充分满足用户使用各种网络接入的访问需求。是市场定位于中小型企业、教育等行业、基层政府机关和企业分支机构的理想...
iptables添加ACCEPT规则,注意顺序,需要REJECT规则之前
runnerchen1的专栏
03-04 7124
1. 查看 iptables --line -nvL INPUT 得到第一列的num序号 2. 允许100.xxx.xxx.10机器访问本机8888端口,此处num应该比REJECT规则序号小,否则ACCEPT生效 iptables -I INPUT num -s 100.xxx.xxx.10-p tcp --dport 8888-j ACCEPT ...
linux防火墙规则优先级,Linux防火墙规则示例
weixin_35133280的博客
05-12 566
网上看到一个Linux防火墙规则示例,记录下来,以备查用sbin/iptables -P INPUT DROP/sbin/iptables -I INPUT -p tcp–dport 80 -j ACCEPT/sbin/iptables -I INPUT -p tcp–dport 22 -j ACCEPT/sbin/iptables -A INPUT -j DROP/sbin/iptables -...
WAF应用防火墙
HHH's Blogs
06-03 4038
WAF学习笔记: 技术攻击: (OWASP Top-10) SQL Injection 参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 什么时候可能发生SQL Injection:假设我们在浏览器中输入URLwww.sample.com,由于它只是对页面的简单请求无需对数据库动进行动态...
iptable 理解
王者再次归来
07-27 2989
这个当初我理解不了,主要是没把netfilter理解清楚。 Netfilter是集成在内核中的,用来定义存储各种规则的。Iptalbe是修改这些规则的工具,修改后存在netfilter里面。 数据包进入LINUX服务器时,先进入服务器的netfilter模块中进行判断处理。   Netfilter包含有三种表,三种表下共包含有五种链,链下面包含各种规则。即表包含若干链,链包含若干规则。  ...
几种常见的安全设备(防火墙、IDS、IPS等)
居上
07-01 1万+
1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。FW可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。 FW部署位置一般为外联出口或者区域性出口位置,对内外流量进行安全隔离。部署方式常见如下 : 2.IDS类 此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有
安全防御
qq_45980518的博客
03-14 899
linux 安全防御概述 常见的攻击手段与安全防御设备 基础类防火墙 何为防火墙 防火墙的分类 iptables工作结构 iptables历经的构造变化 iptables相关原理 iptables语法规则 书写规则 常见动作类型及选项 通用匹配 隐含匹配 显式匹配 SNAT规则 DNAT规则 常见Iptables相关命令 SELinux SELinux 前世今生 Selinux 实现模型 Selinux 在 Linux 中的地位变化 SELinux 布尔值 布尔值配置命令
防火墙顺序规则
weixin_39722409的博客
09-07 5565
总规则顺序------数据进来,进行比对判断。 一条一个动作执行,上面一条比对符合后,执行“accept”,就和下面规则没有关系了。 1.a情况 比对符合,就执行后面的动作,后面动作有三个(accept,reject,drop)。(比对通过,做动作,不理会下面规则。如被过滤后还有数据,往下走。) 1.b情况 比对不符合,又没有被rejct或drop,就继续下一条规则的比对。 2. 如此一个个规则下...
机器人路径优化:基于强化学习Q-learning算法的移动机器人路径优化MATLAB
最新发布
10-04
机器人路径优化:基于强化学习Q-learning算法的移动机器人路径优化MATLAB
error2003hy000
05-09
error 2003 hy000是MySQL数据库中一个常见的错误代码,它通常意味着MySQL无法建立到数据库的连接。当出现这种错误时,用户需要检查连接字符串,确保它们正确。当MySQL无法确定连接字符串时,它会抛出此错误代码。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值