linux访问控制(二)防火墙基础和netfilter模块简述

最新推荐文章于 2024-02-19 14:28:00 发布
最新推荐文章于 2024-02-19 14:28:00 发布
阅读量651 收藏
点赞数
分类专栏: linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinaltx/article/details/87479179
版权

一、一些防火墙的基础知识

1.1 按照协议栈划分防火墙
  1. 链路层防火墙:根据MAC地址定制处理规则
  2. 网络层防火墙:根据数据包中的协议类型(主要是IP/ICMP)和源目IP定制过滤规则
  3. 传输层防火墙:根据数据包中的协议类型(主要是TCP/UDP)和源目端口定制过滤规则
  4. 应用层防火墙:属于应用代理防火墙,性能要求最高。
1.2 特殊防火墙
  1. 域名防火墙
  2. 关联状态防火墙
  • 例如允许内网访问外网而外网无法访问到内网。
  • 要求防火墙具有追踪连接的能力,避免外部网络无法响应内部网络主动发起的请求。
1.3 按照逻辑划分防火墙
  1. 主机防火墙:针对单个主机进行防火。
  2. 网络防火墙:处于网络入口,针对网络入口进行防护,服务于防火墙背后的本地局域网。
1.4 按照物理状态划分防火墙
  1. 硬件防火墙:硬件+软件,针对特定硬件,高性能高成本
  2. 软件防火墙:运行在通用硬件平台上的软件防火墙,低性能低成本
1.5 防火墙部署原理
  1. 防火墙是一种基于一组用户定义的过滤规则来过滤进出的网络流量的安全系统。
  2. 防火墙的两个目标:消除不必要的通信,允许所有合法的通信自由通行。
1.6 常见防火墙拓扑:DMZ模式

在这里插入图片描述

  1. 控制策略
  • 内网可以访问外网:防火墙需要进行源地址(内网IP→外网IP)转换。
  • 内网可以访问DMZ:显而易见内网用户需要去管理DMZ中的服务。
  • 外网不能访问内网
  • 外网可以访问DMZ:显而易见DMZ本身就是提供服务的,防火墙需要进行目的地址转换(外网IP→内网IP)。
  • DMZ访问内网有限制:避免DMZ被攻陷后内网也容易瘫痪的后果。
  • DMZ不能访问外网
  1. 防火墙的作用
  • 防止DMZ服务被外网攻击。
  • 防止内网主动对外发起攻击。
  • 防止内网对DMZ区域发起攻击。
  • 防止DMZ区域对内网发起攻击。
  • 防止来自VPN和外部接入网的攻击。
  • 主机防火墙(通常为软件防火墙,如使用了netfilter框架的iptables工具)对每台主机的保护。

二、netfilter模块简述

2.1 真.简述
  1. netfilter是Linux的内核模块之一。
  2. netfilter自身也是模块化的
  • 必需模块(默认在内核中)
  • 可选模块
2.2 相关文件
  • /lib/modules/$kernel_ver/kernel/net/ipv4netfilter/
  • /lib/modules/$kernel_ver/kernel/net/ipv6netfilter/
  • /lib/modules/$kernel_ver/kernel/net/netfilter/
  • $kernel_ver是linux的内核版本
2.3 iptables与netfilter的关系
  • iptabls是管理和控制linux的内核模块netfilter的工具,是实现用户与linux内核交互的工具之一,定义类似于shell。
  • iptables可以让用户方便地进行动作和规则的指定。
  • iptables位于用户空间,netfilter位于内核空间。

三、netfilter基本结构

3.1 结构与组件

在这里插入图片描述

  • netfilter通过维护含有四个表(filter表、NAT表、mangle表、raw表)的内存块来起作用。
3.2 规则、链与表的关系
  1. 什么是规则?
  • 规则就是过滤语句与功能语句的组合。
  1. 什么是链?
  • 一条条具体的过滤规则组合在一起,成为了链。
  • 链又称为一个hook函数(钩子函数)
  1. 有哪些链?
  • PREROUTING:会在任何传入到网络堆栈中的流量触发,在内核第一次对数据包进行路由决策之前就会触发该钩子。
  • INPUT:若数据包是给本机的,路由会将数据包传到用户空间,但是在进行这个动作之前会触发该钩子。(配合FORWARD表可以将主机作为硬件防火墙)
  • FORWARD:若数据包不是给本机的,路由会将数据包发给其他主机(从主机的某网络接口流入再从主机的某网络接口流出),会在第一次路由决策之后触发该钩子。若数据包在这个阶段被丢弃了,则保护了接下来的主机。FORWARD钩子是对linux的ip_forward工具的一种安全性增强功处理。

在这里插入图片描述

  • OUPUT:用户空间产生的出栈流量在进入内核空间时会触发该钩子。(在第二次路由决策之前)
  • POSTROUTING:从内核空间而来,通过网络接口出去的流量在进行转出路由决策(可能是第一次也可能是第二次)之后,在转出之前会触发该钩子。
  1. 什么是表?
  • 每个表存放了不同的链相似规则
  1. 有哪些表?
  • filter表:过滤规则表
  • nat表:地址转换表,可以转换源目地址和源目端口
  • mangle表:修改数据标记位规则表,用来实现对数据包的拆分、打标记和还原。
  • raw表:跟踪数据规则表,用来增强防火墙性能
  1. 表和链的关系示意图?

在这里插入图片描述

在这里插入图片描述

  1. 数据包在linux内核中被谁拦截了?
  • 数据包在linux内核的网络堆栈中被不同的过滤钩子(链)按照一定顺序匹配并处理了
  1. 数据包什么时候会触发这些钩子?
  • 数据包在传入或者传出网络系统、传入或传出用户控件时,会通过网络堆栈,会触发这些钩子
  1. 那iptables的角色是什么?
  • 与iptables相关联的linux内核模块在这些钩子处进行注册。
  • iptables使用注册成功的钩子控制网络堆栈中的流量动向来实现防火墙的功能。
  1. 那iptables可以注册多少个钩子?
  • 默认注册了五个默认的钩子
tyson Lee
关注
专栏目录
Linux协议栈-netfilter(1)-框架
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter 是内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
iptables(linux防火墙)原理和配置
m0_46267075的博客
08-15 802
文章目录前言 前言
Linux防火墙Firewall和Iptables的使用
haizeiCSDN_java的博客
02-21 326
Linux中有两种防火墙软件,CentOS7.0以上使用的是firewall,CentOS7.0以下使用的是iptables Firewall 开启防火墙(两种都可以): systemctl start firewalld service firewalld start 关闭防火墙(两种都可以): systemctl stop firewalld service firewalld stop 查看防火墙状态(两种都可以): systemctl status firewalld service firew
内核防火墙netfilter入门
奋斗中拥有
10-28 4033
内核防火墙netfilter入门作者:yawl (mailto:yawl@nsfocus.com)主页:http://www.nsfocus.com日期:2000-10-07目录:-. 前言. 分析三. 例子代码四. 附录:与2.2在应用方面的区别简介五. 后记-.前言  在linux2.2内核中的防火墙ipchains已经被用户广泛认可,它提供了完整的防火墙功能(包过滤,地址伪装,透明代理),
网安实验6-Linux防火墙访问控制
YkingH的博客
03-31 766
网安实验6,实现Linux防火墙访问控制,河大同学看过来,详细教程在这里~
netfilter模块及iptables基本概念
数据库
11-23 201
㈠ netfilter linux一般都是作为服务器使用,对外提供一些基于网络的服务 通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能 常见的访问控制包括:哪些IP可以访问服务器,可以使用哪些协议,哪些接口,是否需要对数据包进行修改等等 如服务器可能受到来自某IP的攻击,这时就要禁止来自该IP的所有访问 linux的内核集成了网络访问的控制功能,通...
Linux-防火墙
wangwei1110a的博客
12-06 927
文章目录Linux-防火墙一.防火墙简述1. 从<防护范围>进行分类2. 从<物理级别>上进行分类3. 从<功能逻辑>上进行分类4. 堡垒主机.firewalld1、启动:firewall 防火墙服务2、了解:firewall 的规则文件3、了解:Zone 区域4、查看Linux-防火墙 一.防火墙简述 ​ 1. 从<防护范围>进行分类 ## ★ 主机防火墙:针对<单个主机>进行<网络防护>。 ## ★ 网络防火墙:针对<整个网
linux 下的 iptables/ netfilter 防火墙 深度理解 中篇
bie_niu1992的专栏
05-29 848
一 概述 前篇主要提到了用户空间 iptables 1.3.5 源码对规则的处理。但是并没有涉及内核空间netfliter 模块的处理。用户空间上的规则要生效最终肯定是通过传给内核空间的netfilter,让netfliter这个老大哥处理。因此抛出两个问题。 用户空间的是怎么获取内核空间已经存在的规则,或者用户空间是如何将需要netfilter处理的规则下发给内核?简而言之,规则在用户空间是如...
Linux防火墙——iptables(四表五链)
qq_44870887的博客
08-05 3141
一.iptables概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 1、netfilter/iptables关系 netfilter: • 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 • 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: • 属于“用户
Iptables防火墙原理
小胡子
08-13 509
一、IPTABLES概念 iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。从设备上分类,防火墙分为软件防火墙、硬件防火墙、芯片级防火墙。从技术上分类,防火墙分为数据包过滤型防火墙、应用代理型防火墙。这是因为四层模型的每一层都可以应用防火墙防火墙的发展史就是从墙到链再到表的过程,也即是从简单到复杂的过程。为什么规则越来越...
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍了linux防火墙之netfilter模块的hooks注册、调用、测试等情况。
Linux内核防火墙Netfilter的原理及应用分析
01-01
Linux内核防火墙Netfilter的原理及应用分析
linux netfilter 模块,linux – 类似netfilter的内核模块,用于获取源...
weixin_42503456的博客
05-13 188
这篇文章现在有点过时了.您不理解的文本仅适用于3.11以下的内核版本.对于新内核(> = 3.11)如果您确定您的代码仅用于内核> = 3.11,则可以对输入和输出数据包使用下一个代码:udp_header = (struct udphdr *)skb_transport_header(skb);或者更优雅:udp_header = udp_hdr(skb);这是因为ip_rcv()已...
linux 防火墙设置、访问ip限制、iptables命令
frgzs的博客
10-10 5994
ip访问限制 限制所有 iptables -P INPUT DROP; 加白名单 iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT 端口访问限制 限制端口80,https443 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP iptables -A INPUT -s
Linux网络防火墙【2】 Linux内核网络netfilter module
chengfangang的专栏
03-26 1009
上篇中讲到了 netfilter的基本框架,现在 我写个 netfilter 框架下的module, 演示一下如何使用 netfilter module定制 自己的功能模块。 我个人使用的是linux 版本是3.13.5.不同的版本,内核可能会有差异,但是 总体是还是没有变化的。 netfilter 框架提供了 5个hook点。如下图 /* 这是hook点的定义, 对应于 上图中的
netfilter
最新发布
weixin_38184628的博客
02-19 1024
iptables,ip 说明这个工具工作在 ip 层,tables 说明这个工具的工作方式,通过多个表来工作。iptables 基于 netfilter 来实现,常常被用来做防火墙,通过 iptables 可以对报文进行过滤,修改或者 NAT。iptables 包括的概念比较多,功能很丰富,当然也很复杂,本文中只对一些基本的概念和操作做梳理。
Linux下使用Netfilter框架编写内核模块
weixin_42915431的博客
12-30 9017
上篇文章我们从内核源码的角度分析Linux Netfilter框架下,hook钩子是如何被执行的,这次我们写个简单的示例代码,详细介绍下如何使用Netfilter框架编写内核模块
linux中的防火墙之iptables
xinhao233的博客
12-04 1366
1、相关概念: 规则:其实就是管理员预设定的的条件,规则存储在内核空间的信息过滤表中,这些规则分别指定了源地址,目的地址,传输协议及服务类型等所有待检查数据包的特征和目标。当数据包与规则不匹配时,将该数据包送往该链中下一条规则检查;当数据包与规则匹配时,iptables就根据规则所定义的方法处理数据包,如通过(ACCEPT),丢弃(DROP),拒绝(REJECT),排队(QUEUE)或者返回(R
Linux Netfilter防火墙内核设计与自定义模块开发
NetfilterLinux操作系统内核中的一个关键组件,用于实现高级网络访问控制,主要通过包过滤机制来管理和监控网络流量。它构成了Linux防火墙的核心部分,允许用户定义规则以控制进出系统的网络数据包。 Netfilter的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值