07_计算机网络笔记-防火墙-iptables

最新推荐文章于 2022-12-13 10:45:12 发布
最新推荐文章于 2022-12-13 10:45:12 发布
阅读量878 收藏
点赞数
分类专栏: 计算机网络笔记 文章标签: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cPen_web/article/details/113778295
版权

文章目录


个人博客
https://blog.csdn.net/cPen_web

Linux防火墙概述

firewall	防火墙是防止别人进攻 --> 防火墙就是对进去的数据进行限制
防火墙不能检查病毒,查杀病毒

示例:查看内核版本

[root@cPen_A ~]# uname -r
3.10.0-1127.el7.x86_64

内核kernel:是Linux系统内部最核心的软件
包过滤机制netfilter:是Linux内核里的一个模块,对进出网卡的数据进行管理
防火墙:数据过滤机制
包过滤机制是netfilter,管理工具是iptables

内核 kernel的作用

1. cpu的管理
2. 进程管理
3. 内存的管理
4. 文件系统管理
5. 网络的管理 --> 防火墙
6. 其他硬件的管理

Centos8里防火墙服务不是iptables,是firewalld
	firewalld是一个新式的防火墙
	iptables是老式的防火墙

firewalld和iptables的区别

在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等
	firewalld是对iptables规则进行新的封装,底层仍然使用的是iptables基本的命令

https://www.cnblogs.com/grimm/p/10345693.html
https://blog.csdn.net/lilygg/article/details/84981537

内核态的进程优先级比用户态高,内核态可以访问用户态的空间。用户态不能访问内核态的空间
包过滤防火墙工作在TCP/IP的网络层

iptables的规则表、链结构

规则链

默认的5种规则链

INPUT				处理入站数据包
OUTPUT				处理出站数据包
FORWARD				处理转发数据包
POSTROUTING			在进行路由选择后处理数据包
PREROUTING			在进行路由选择前处理数据包

规则表

规则表是规则链的集合
默认的4个规则表

raw表				确定是否对该数据包进行状态跟踪 --> 新的数据包、还是一个旧的数据包
mangle表			为数据包设置标记 --> 给数据包打标志
nat表				修改数据包中的源、目标IP地址或端口 --> snat/dnat --> 路由功能
filter表			确定是否放行该数据包(过滤) --> 对进入主机本身进行过滤的

示例:查看表里有哪些链

[root@cPen_aliyun ~]# iptables -L -t filter 
[root@cPen_aliyun ~]# iptables -L -t nat
[root@cPen_aliyun ~]# iptables -L -t raw
[root@cPen_aliyun ~]# iptables -L -t mangle
参数 作用
-L list列出来
-t 指定表的名字
nat 具体的表的名字

表的优先级

raw --> mangle --> nat --> filter

规则链间的匹配顺序

入站数据:PREROUTING、INPUT
出站数据:OUTPUT、POSTROUTING
转发数据:PREROUTING、FORWARD、POSTROUTING

规则链内的匹配顺序

按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外)
若在该链内找不到相匹配的规则,则按该链的默认策略处理

图示:数据包过滤匹配流程
数据包
示例:只是防护好本机,不做路由器使用的情况

#清除filter表里的所有的链上的规则
iptables -t filter -F

# 192.168.88.80服务器

#	1.不允许其他的机器ping本机,但是本机可以去ping别人
#不允许其他电脑ping本机,但是允许本机ping其他的电脑 --> 不接收ping的requests包,但是接受reply response
iptables -t filter -A INPUT -p icmp --icmp-type 8 -j DROP

#	2.不允许其他的机器访问本机的80端口
iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

#	3.只是允许192.168.88.1这台电脑访问本地的22号端口
#设置INPUT链默认的规则为DROP
iptables -P INPUT DROP
iptables -t filter -A INPUT -s 192.168.88.6 -p tcp --dport 22 -j ACCEPT

#	抓包
[root@web-server ~]# tcpdump  -i ens33 -p tcp  src host 192.168.88.254 and  dst port 22 -n

脚本 - 清除防火墙规则

示例:脚本 - 清除防火墙规则

[root@cPen_A ~]# vim clear_iptables.sh
#!/bin/bash

#清除filter和nat表里的规则
iptables -t filter -F
iptables -t nat -F

#设置filter表里的INPUT链的默认策略为ACCEPT
iptables -t filter -P INPUT ACCEPT

#注:如果调试防火墙规则,出现错误,需要结合计划任务,比如5分钟执行脚本,清除防火墙规则

管理和设置iptables规则

iptables命令的语法格式
	iptables  [-t 表名]  管理选项  [链名]  [条件匹配]  [-j 目标动作或跳转]
几个注意事项
	不指定表名时,默认表示filter表
	不指定链名时,默认表示该表内所有链

示例:查看规则

[root@cPen_A ~]# iptables -L
[root@cPen_A ~]# iptables -L -v
最低0.47元/天 解锁文章
mycpen
关注
专栏目录
Linux命令笔记-RHEL6.8x64(VM)
04-29
### Linux命令笔记-RHEL6.8x64(VM) #### 一、帮助命令 Linux 系统提供了多种方式来获取命令的帮助信息,这有助于用户更好地理解和使用各种命令。 1. **`whatis`**:这是一个简短的帮助命令,可以快速提供关于一个...
计算机网络day16 防火墙 - iptables - netfilter - iptables的四表五链 - iptables命令 - iptables的匹配条件 - iptables端口实验
最新发布
lpfstudy的博客
08-03 1005
iptables的条件:1.协议:tcp udp icmp-p protocol 小写的p-p icmp --icmp-type 8 ping请求报文-p icmp --icmp-type 0 ping响应报文2.端口号:3.ip地址-s source4.mac地址5.状态6.其他ens33接口上不接收tcp三次握手的第一个包--》不允许新的连接产生了常见的数据包处理方式ACCEPT:放行数据包DROP:丢弃数据包REJECT:拒绝数据包,给一个回复。
Python 规则1 规则表设计
yukai08008的博客
05-17 592
说明 发现最后还是绕到了规则上面。这里做一个简单的设计。 内容 本质上,表就是图。 规则就是从左到右的一个变化,所以本身就是一个函数。函数的入参就是左边,出参就是右边。但规则更像是一个待触发的函数,有可能一次判别所有的规则(函数)都不会触发。规则快速的执行则是BFS遍历过程。 现在有了FuncDict,所以函数只要用名称替代就可以了。算法的开始需要一些初始化的入参,所以每个规则集/表的第一行是入规则判断,最后一条是出规则。 规则表 rule_set rule_id name descript
linux配置———iptables命令
夏天
08-29 1021
yiqian iptables 是Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
计算机网络 - iptables 防火墙
qq_48391148的博客
04-06 2423
目录 1. iptables 的四表五链 1.1 规则链 1.1.1 默认的5种规则链 1.1.2 规则链间的匹配顺序 1.1.3 规则链内的匹配顺序 1.2 规则表 1.2.1 默认的4个规则表 1.2.2 规则表之间的优先顺序 1.3 数据包过滤匹配流程 2. iptables命令的语法格式 2.1 设置规则内容: 2.2 列表查看规则 2.3 清除规则 2.4 策略: 2.5 定时清除iptables规则 2.6 自定义规则链 2....
网络安全学习--包过滤规则P174-P175
m0_51943976的博客
06-30 1751
包过滤规则包过滤防火墙实验需要用到的虚拟机 包过滤防火墙 iptables 工具 具有四个功能(表) raw mangle 这两个表实现数据流量的跟踪与整型 nat --网络地址转换 filter --过滤 实验 需要用到的虚拟机 一台xp,两台linux ...
linux学习笔记
11-20
2. 防火墙设置:掌握iptables或firewalld,实现端口开放、规则制定等防火墙功能。 3. DNS解析:理解DNS工作原理,使用nslookup或dig查询域名解析。 六、服务器部署 1. Web服务器:安装和配置Apache或Nginx,部署...
Linux笔记.zip
07-08
12. **防火墙和安全**:理解`iptables`防火墙规则的配置,以及`ufw`用户友好界面的使用,以增强系统安全性。 通过深入学习这些知识点,并结合实际操作,你将能够熟练地在Linux环境中工作,并为进一步的进阶学习打下...
沃尔玛推出Linux-AMD品牌机.pdf
09-07
它支持多种路由协议,采用Frees/WAN实现VLAN功能,利用iptables建立防火墙,软件组件包括GNU工具、Apache HTTP服务、OpenSSH服务、iproute2等,展现了Linux在网络安全和网络管理上的强大能力。 Debian认证的笔记本...
Linux学习笔记(搬运).zip
01-05
Linux的安全性是其优势之一,熟悉iptables防火墙规则)和 SELinux(强制访问控制)的概念和配置,有助于保护系统免受攻击。 十、shell提示符与环境变量 自定义shell提示符和理解环境变量如PATH,可以提高交互体验...
re规则表正则表达式
12-20
re规则表正则表达式
2.防火墙--规则链与规则表(iptables)
午夜安全
08-01 3964
2.防火墙--规则链与规则表(iptables) 2.1规则链 规则链是防火墙规则(策略)的集合。 默认的5种规则链 INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING:在进行路由选择后处理数据包 PREROUTING:在进行路由选择前处理数据包 2.2规则表 规则表是规则链的集合。 (1)默认的4个规则表 ra...
防火墙的前世今生
qq_23930765的博客
12-13 1407
(目前这功能只有路由器与交换机用的最多)4、第四代防火墙:真正防火墙开始普及其实算是第四代防火墙开始,第四代叫做UTM(统一威胁管理)时代,将状态防火墙、IPS、防病毒、URL过滤、行为管理、DPI、VPN等功能融合到一台防火墙上,博主最开始学习防火墙是从思科的PIX时代开始的,主打卖点就是远程接入的VPN,后来接触了华为的USG系列后,发现功能更加多,特别是应用控制、多种选路机制,更加的迎合于本土化的需求,随着项目接触华为的防火墙更多,也自购了两台二手的USG2110-F的,那会模拟器ENSP还没出现。
A模块——iptables练习
wcx54088的博客
10-11 444
A模块iptables
iptables 中职赛题部分题解
phoenix1nirvana的博客
06-05 875
zuij 禁止转发来自3C-97-0E-77-7F-67的数据包 Iptables –A FORWARD –m mac –mac-source 3C-97-0E-77-7F-67 –j DROP 禁止别人ping本机 Iptables –A INPUT –tcp icmp –icmp-type 8 –j DROP 禁止自己ping别人 Iptables –A OUTPUT –tcp icmp –icmp-type 8 –j DROP 开放指定端口 Iptables –A INPUT –.
2021全国职业技能大赛-网络安全赛题解析———防火墙iptables(超详细)
热门推荐
Aluxian_的博客
10-26 1万+
2021全国职业技能大赛-网络安全赛题解析———防火墙篇模块A防火墙的基本规则操作什么是防火墙iptables):有问题私信博主 模块A防火墙的基本规则操作 什么是防火墙iptables): IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这
模糊pid规则表_模糊PID(fuzzy PID)仿真举例
weixin_39765625的博客
01-28 1万+
前言 模糊控制提出至今已有半个世纪,但在控制领域至今仍未工程上广泛应用。但学习了解还是很有必要的,matlab/simulink有专门的模糊控制的库,足以说明其重要性,本文通过简单的simulink模糊PID控制为例,对matlab模糊控制进行介绍。模糊控制 之所以称为模糊,意思就是你的输入或对应的输出并不具体,具有模糊性。模糊控制器的构成主要包括输入模糊化,模糊推理,去模糊化三个...
iptables的规则表和链
qq_38892883的博客
07-27 2211
参考地址:https://www.cnblogs.com/kevingrace/p/6265113.html 本文内容是参考的以上链接,做了一下版式的整理,由于在我的本地笔记上已经做过了。所以就贴图了。    ...
条件取反_iptables系列------第四篇:iptables匹配条件总结之一
06-01
好的,让我来给你总结一下iptables的常见匹配条件: 1. 匹配协议:使用 `-p` 参数指定协议,常见协议包括 TCP、UDP、ICMP等,例如: ``` # 匹配 TCP 协议 iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. 源/目标地址:使用 `-s` 和 `-d` 参数指定源地址和目标地址,例如: ``` # 允许来自 IP 地址为 192.168.1.100 的主机访问 SSH 服务 iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT # 允许向 IP 地址为 192.168.1.100 的主机发送 HTTP 请求 iptables -A OUTPUT -d 192.168.1.100 -p tcp --dport 80 -j ACCEPT ``` 3. 匹配端口:使用 `--dport` 和 `--sport` 参数指定目标端口和源端口,例如: ``` # 允许访问 SSH 服务 iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许从本地主机向远程主机发送 HTTP 请求 iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ``` 4. 匹配数据包的状态:使用 `--state` 参数指定数据包的状态,例如: ``` # 允许已经建立的 TCP 连接通过 iptables -A INPUT -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许 ICMP 数据包通过 iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT ``` 5. 匹配 MAC 地址:使用 `-m mac --mac-source` 参数指定源 MAC 地址,例如: ``` # 允许来自 MAC 地址为 00:11:22:33:44:55 的主机访问 SSH 服务 iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT ``` 这些是iptables的常见匹配条件,希望能对你有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mycpen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值