Linux防火墙-4表5链

于 2024-09-27 21:36:17 发布
阅读量344 收藏 8
点赞数 4
分类专栏: Linux进阶 # Linux防火墙 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dessler/article/details/142602545
版权

作者介绍:简历上没有一个精通的运维工程师。希望大家多多关注作者,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

我们经过上小章节讲了Linux的部分进阶命令,我们接下来一章节来讲讲Linux防火墙。由于目前以云服务器为主,而云服务器基本上就不会使用系统自带的防火墙,而是使用安全组来代替了防火墙的功能,可以简单理解安全组就是web版的防火墙,我们主要从以下几个方面来讲解Linux防火墙:

Linux防火墙-什么是防火墙

Linux防火墙-4表5链(本章节)

Linux防火墙-filter表

Linux防火墙-nat表

Linux防火墙-常用命令

Linux防火墙-案例(一)

Linux防火墙-案例(二)

Linux防火墙-小结

我们上一节讲了门卫手里的小本本记录着很多规则,这些规则如果没有统一的规范来管理,就会显得很混乱,如果真有人来访无法快速找到规则,如果规则有冲突怎么办?今天我们就来讲防护墙里面的4表5链,可以通过它来管理所有的小本本里面的规则。

4表

  1. raw 表

    • 作用:主要用于决定是否对数据包进行状态跟踪的豁免处理。

    • 场景示例:在某些情况下,一些特殊的网络应用程序或者服务需要快速处理大量的数据包,并且不希望这些数据包受到 netfilter 状态跟踪机制的影响(因为状态跟踪可能会消耗一定的系统资源和时间),此时就可以在 raw 表中设置相应的规则,将这些特定的数据包标记为不受状态跟踪处理。例如,一些高性能的网络测试工具或者实时性要求极高的网络通信应用,就可以通过 raw 表来优化其网络性能。

  2. mangle 表

    • 作用:用于对数据包进行修改、标记等操作,以便后续的处理和分类。

    • 场景示例:企业网络中可能需要对不同类型的网络流量进行区分和标记,以便进行不同的处理策略。例如,可以使用 mangle 表对来自特定部门的网络流量进行标记,然后在后续的网络设备中根据这些标记进行流量整形(如限制带宽或优先处理)。另外,还可以在 mangle 表中修改数据包的 IP 头部的某些字段,如 TTL(Time To Live)值,以满足特定的网络拓扑或性能需求。

  3. nat 表

    • 作用:主要负责网络地址转换相关的操作,包括源地址转换(SNAT)和目的地址转换(DNAT)。

    • 场景示例:在企业网络中,当内部使用私有 IP 地址的设备需要访问外部网络时,就需要使用 SNAT 将内部设备的私有 IP 地址转换为公共 IP 地址。例如,一个公司内部有多个员工同时访问互联网,通过在 nat 表中设置 SNAT 规则,将他们的私有 IP 地址转换为公司的公共 IP 地址,这样就可以实现多个设备共享一个公共 IP 地址上网。而对于外部网络访问内部服务器的情况,就需要使用 DNAT 将外部网络请求的目标 IP 地址(通常是公共 IP 地址)转换为内部服务器的私有 IP 地址,实现内部服务器的对外提供服务。

  4. filter 表

    • 作用:主要用于过滤数据包,决定是否允许数据包通过或者丢弃。

    • 场景示例:这是最常用的一个表,用于实现基本的防火墙功能。例如,在企业网络中,可以在 filter 表的 INPUT 链中设置规则,阻止来自特定 IP 地址或者特定端口的数据包进入内部网络,以保护内部系统的安全。同时,也可以在 OUTPUT 链中设置规则,限制内部系统向外发送某些类型的数据包,防止敏感信息泄露或者恶意软件传播。在 FORWARD 链中,可以根据企业的网络安全策略,决定是否允许转发某些数据包,实现对网络流量的精细控制。

5链

  1. INPUT 链

    • 作用:用于处理进入本地系统的数据包。

    • 场景示例:当其他设备发送数据到本地 Linux 系统时,这些数据包在经过网络协议栈的初步处理后,会进入 INPUT 链进行进一步的过滤和决策。比如,当你在本地系统上运行一个 Web 服务器,外部用户通过浏览器访问该服务器时,其发送的 HTTP 请求数据包就会进入 INPUT 链。如果 INPUT 链中的规则允许该数据包通过,那么系统才会将其传递给相应的 Web 服务器应用程序进行处理;如果规则阻止了该数据包,那么它就会被丢弃。

  2. OUTPUT 链

    • 作用:主要处理本地系统产生的向外发送的数据包。

    • 场景示例:当本地系统中的应用程序(例如浏览器)发起一个网络请求时,该请求数据包在系统内部经过一系列准备工作后,会进入 OUTPUT 链。在 OUTPUT 链中,可以根据需要对这些数据包进行过滤和修改。比如,企业内部的安全策略可能要求所有从本地系统发出的数据包都必须添加一个特定的标识字段,那么就可以在 OUTPUT 链中设置相应的规则来实现这一功能。当数据包在 OUTPUT 链中完成处理后,才会被发送到网络上。

  3. FORWARD 链

    • 作用:负责处理需要转发的数据包,即那些不是本地系统的目标数据包,但需要通过本地系统转发到其他设备的数据包。

    • 场景示例:在一个作为网络中间设备(如路由器或具备路由功能的 Linux 系统)的场景中,当接收到一个数据包,并且根据路由规则判断该数据包的目标地址不是本地系统本身,而是要转发到其他网络设备时,这个数据包就会进入 FORWARD 链。在 FORWARD 链中,可以根据设定的规则决定是否允许转发该数据包。例如,在一个企业网络中,为了防止内部网络中的某些恶意设备通过转发数据包进行攻击,可以在 FORWARD 链中设置规则,只允许特定源地址和目标地址的数据包进行转发。

  4. PREROUTING 链

    • 作用:在数据包进入路由决策之前进行处理。

    • 场景示例:当一个数据包刚刚进入 Linux 系统的网络接口时,在进行路由判断(即确定数据包的目标地址以及应该将其发送到哪个网络接口)之前,会先进入 PREROUTING 链。在这个链中,可以进行一些数据包的修改和转换操作。比如,网络地址转换(NAT)功能中的目的地址转换(DNAT)通常就在 PREROUTING 链中实现。例如,企业内部的服务器使用私有 IP 地址,通过在 PREROUTING 链中设置 DNAT 规则,可以将来自外部网络的访问请求的目标地址转换为内部服务器的私有 IP 地址,从而实现外部网络对内部服务器的访问。

  5. POSTROUTING 链

    • 作用:在数据包经过路由决策并且即将离开本地系统时进行处理。

    • 场景示例:当本地系统已经完成对数据包的处理,并且根据路由规则确定了数据包的发送出口时,在数据包离开系统之前会进入 POSTROUTING 链。在这个链中,常见的操作是进行源地址转换(SNAT)。例如,在一个企业网络中,内部多个设备使用私有 IP 地址共享一个公共 IP 地址访问外部网络时,就可以在 POSTROUTING 链中设置 SNAT 规则,将内部设备的私有 IP 地址转换为公共 IP 地址,使得数据包能够顺利发送到外部网络。

表与链的关联

  1. raw 表:关联 PREROUTING 和 OUTPUT 链,在这些链中对数据包进行状态跟踪豁免处理等操作。
  2. filter 表:与 INPUT、FORWARD 和 OUTPUT 链相关,在这些链中依据防火墙规则对数据包进行过滤。
  3. nat 表:涉及 PREROUTING、OUTPUT 和 POSTROUTING 链,主要负责网络地址转换相关操作,如目的地址转换(DNAT)在 PREROUTING 链进行前期处理,源地址转换(SNAT)在 OUTPUT 和 POSTROUTING 链分步完成。
  4. mangle 表:涵盖 PREROUTING、INPUT、FORWARD、OUTPUT 和 POSTROUTING 链,在各链中实现数据包的修改、标记等,以满足不同阶段的网络处理需求。

总结

1.我们平时常用的表就是nat表和filter表

2.filter表其实就是一般而言的防火墙功能,用于控制普通流量的进出。

3.net表则主要用户控制网络地址转换,实际上功能就是和我们的路由器功能差不多。

 

dessler
关注
专栏目录
Linux防火墙——iptables(四)
qq_44870887的博客
08-05 3131
一.iptables概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 1、netfilter/iptables关系 netfilter: • 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 • 是内核的一部分,由–些数据包过滤组成,这些包含内核用来控制数据包过滤处理的规则集 iptables: • 属于“用户
Linux防火墙 - netfilter的四概述
angelqucheng的博客
05-09 1959
Linux防火墙 - netfilter的四概述 iptables作为Linux发行版自带的防火墙管理工具,通过调用内核netfilter模块实现流量的转发、控制、跟踪功能,是Linux内核中实现包过滤的内部结构。 四概念 四:filter、nat、mangle、raw 五:PREROUTING、FORWARD、INPUT、OUTPUT、POSTROUTING filter——...
Linux防火墙——四
weixin_47219818的博客
08-03 1202
文章标题 一、iptables1、iptables与Netfilter2、四(重要)3、iptables语法格式二、Firewalld1、Firewalld概述2、Firewalld和iptables的关系(两个都属于工具)3、Firewalld网络区域 一、iptables 1、iptables与Netfilter iptables是Linux防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作 Netf
linux防火墙篇--Firewalld防火墙基础
aran2002的博客
05-23 3515
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
Linux---防火墙
zhoutong2323的博客
06-10 923
这儿主要介绍Linux系统本身提供的软件防火墙的功能,即数据包过滤机制。数据包过滤,也就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决定该连接为放行或抵挡的机制。由于这种方式可以直接分析数据包头部数据,包括硬件地址,软件地址,TCP、UDP、ICMP等数据包的信息都可以进行过滤分析,因此用途非常广泛。
Linux防火墙之“四
cjzcc1996的博客
07-16 1897
防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包:iptables和firewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络防火墙(iptables) Firewalld:只用于管理Linux防火墙的命令程序,属于“用...
linux防火墙
m0_71518373的博客
08-14 2787
linux防火墙软件iptables的相关信息和使用方法
解密-防火墙linux开放端口-详细网安指南
2401_84915584的博客
07-21 1033
Linux防火墙这块儿的内容比较多,一直以来,都是一个使用者的角色,最近在看一些防火墙相关的知识,简单列一下,大家也可以了解一下。
linux-网络管理-防火墙配置
Flying_Fish_roe的博客
09-17 1438
防火墙是保护计算机系统和网络免受未经授权访问和网络攻击的安全机制。Linux 系统中,防火墙通过控制进入和离开网络的数据包,实现网络流量的过滤和管理。Linux 上的防火墙配置工具有多种,其中最为常用的是iptables和现代firewalld,以及一些其他如ufw这样的简化管理工具。Linux防火墙工具如iptablesfirewalld和ufw提供了灵活强大的网络安全管理手段。通过配置和管理防火墙规则,可以有效控制网络流量,防止不必要的外部访问,同时保护系统免受潜在的网络攻击。
linux-防火墙-iptables 的四和SNAT与DNAT详解(理论加实验)
BIGmustang的博客
08-02 1113
文章目录前言:一 . Liunx包过滤防火墙概述:1. Netiflter介绍2. iptables的结构2.2 默认包括4个规则二.数据包过滤的匹配流程:2.1规则之间的顺序:2.2 规则内的匹配顺序三. iptables 安装与命令使用3.1 iptables安装与关闭3.2 iptables的基本语法:3.3 查看规则列:3.5规则的匹配条件:3.6常用的隐含匹配条件端口匹配:3.7 常用的显示匹配条件四 .SNAT与DNAT策略概述及实验4.1 SNAT 原理4.2 SNAT策略实验
Linux防火墙--IPtables配置策略思路
「 虚幻私塾」
01-12 471
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475阅读目录 一、防火墙简介 二、IPtables介绍 三、iptables包过滤流程 iptables工作流程 四、iptables的45作用关系及工作原理 1.tables四的作用 2.chains的作用 五、iptables安装 1.关闭selinux
Linux网络之iptables 防火墙——四/五、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 953
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting :对数据包做路由选择之后,将应用此中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个,在每个规则中包含不同的规则,处理数据包的不同时机分为五种,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则中。
Linux —— 网络基础(一)
学习C++的小陈同学
09-22 1016
本篇只是简单的建立一个关于网络的基本概念和框架,有很多概念上不太完整,只是自己为了自己在初入学习网络时的简单粗俗理解,方便后续深入的学习网络相关的知识,如果有需要纠错的地方,可以评论一起讨论。
Linux 安装redis主从模式+哨兵模式3台节点
最新发布
一千个读者就有一千个哈姆雷特
09-27 274
Linux 安装redis主从模式+哨兵模式3台节点
linux】gcc makefile
Quietcoder的博客
09-24 1065
在静态接中,接器(如GNU的。
linux 源代码编译
Lxn2zh的博客
09-27 1191
有时候会在linux上下载源码包,然后进行编译成可执行的文件,这个过程需要经过configure、make、make install、make clean四个步骤。configure 为这个程序在当前的操作系统环境下选择合适的编译器和环境参数来编译该代码。make install 将已编译好的可执行文件安装到操作系统指定或默认的安装目录下。make 对程序代码进行编译操作,会将源码编译成可执行的目标文件。make clean 删除编译时临时产生的目录或文件。
Linux 网络安全守护:构建安全防线的最佳实践
weixin_62641226的博客
09-23 974
通过定期更新系统、强化用户权限管理、配置防火墙、使用SSH安全连接、定期备份数据、监控系统日志以及安装安全工具,用户可以有效提升Linux系统的安全性,构建坚固的网络安全防线。Linux系统通常内置了防火墙工具,如`iptables`和`firewalld`。用户应根据实际需求,设置合适的规则,限制不必要的端口和服务。可以使用`rsync`、`tar`等工具进行备份,确保在发生安全事件时能够快速恢复。此外,定期审查用户账户和权限,及时删除不再使用的账户,确保只有必要的用户能够访问系统。
Linux ping c实现
xuyun0565的专栏
09-24 383
linux下ping程序的c实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值