Linux里的防火墙:netfilter简介与Iptables的使用(上)

最新推荐文章于 2023-05-20 14:15:43 发布
最新推荐文章于 2023-05-20 14:15:43 发布
阅读量148 收藏 1
点赞数
文章标签: 运维 网络


什么是防火墙?

防火墙可以是像360,金山,卡巴斯基等软件,也可以是硬件,我们来用OSI七层模型来划分的话。那么分为:

1. 三层防火墙:它只负责检查数据从进入到第三层,还有从第三层流出,是否符合它规定的条件,如果是,那么就放行,反之就拦截。

2.七成防火墙:它负责数据输入到第七层,与从第七层到流出,它的检查范围更加广泛,但是消耗的系统资源也就更多。这也是为什么现在市面上大多数防火墙方案都是两者结合的原因


防火墙如何生效?

我们刚知道,防火墙分为3层和7层,那么我们想让防火墙生效,就必须放在特定的地方,例如:你的目的是防止入侵破坏,而你把防火墙放在了数据传出的地方,那么它就起不到作用,因为你的系统已经受到破坏了。如下图:


那么Linux中的防火墙是什么样的?

linux1.0时代
ipfw:早期的freebsd,功能有限,它定义的规则基于内核,要想让它生效,必须重启
内核,就是重启OS

linux2.0 后来的发展:软件式的防火墙
ipchains : 做了很大的改进,可以定义N条规则成为一个链来工作

iptables: 现在,ipchains的发展,可以在链的基础上定义表,里面有多个链


注意:ipchains和iptables工作在用户空间,是用户定义的规则,它们本身不属于防火墙基于端口,可以实现防火的功能


netfilter : 真正意义上的防火墙

所以要想让防火墙生效,我们就需要将它放置在TCP/IP协议栈(TCP/IP stack)的几个特殊的位置,作者设计了五个放置位置:在这五个位置上定义拦截,来实现防火墙的功能。这五个位置,分别是

INPUT(数据流入)

PREROUTING(路由前)

POSTROUTING(路由后)

FORWARD(转发)

OUTPUT(数据流出)

理解了防火墙的概念,现在我们来学习iptables,iptables详细用法由于比较长,放在下面一个文章中:

iptables的详细用法:http://blog.csdn.net/deansrk/article/details/6704170


1.假设一台主机只允许172.16.0.0网段可以使用ssh远程连接到本机,如何实现

分析:

1)到本机内部访问的最好定义在INPUT

2)从本机内部出去的最好定义在OUTPUT

iptables -t filter -A INPUT -s 172.16.0.0/16 172.16.100.1 -p tcp --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

2.一台服务器172.16.14.1只允许172.16.0.0/16访问80:22,且不允许172.16.0.1访问80:22,并且只放行建立连接后的数据。(防止反弹性木马)

ptabels -A INPUT -s 172.16.0.1 -p tcp --dport 22 -j DROP ptabels -A INPUT -s 172.16.0.1 -p tcp --dport 80 -j DROP ptabels -A INPUT -s 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT iptabels -A INPUT -s 172.16.0.0/16 -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -L -n -v Chain INPUT (policy DROP 7013 packets, 660K bytes) pkts bytes target prot opt in out source destination 0 0 DROP tcp -- * * 172.16.0.1 0.0.0.0/0 tcp dpt:22 0 0 DROP tcp -- * * 172.16.0.1 0.0.0.0/0 tcp dpt:80 2548 200K ACCEPT tcp -- * * 172.16.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 172.16.0.0/16 0.0.0.0/0 tcp dpt:80 3 484 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 4180 packets, 4043K bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 6381 packets, 577K bytes) pkts bytes target prot opt in out source destination 556 64420 all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED


3.服务器A于客户端C要经过防火墙B的转发来访问,如下表对应的关系,要求C可以访问到172网段,B有两个地址192.168.0.28和172.16.14.10,只允许192.168.0.48可以访问到服务器A的80端口和22端口,其他的都不能访问。(需要开启3台虚拟机)

服务器A 防火墙B 客户端C
172.16.14.10:80 FORWARD C 80:22 192.168.0.48
172.16.14.10:22 FORWARD policy DROP

1)配置C的默认网关为192.168.0.28

route add default gw 192.168.0.28

2)开启A的httpd和sshd服务,如果没有请先安装

service httpd start service sshd start

3)配置B的iptables

iptables -A FORWARD -c 192.168.0.48 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -c 192.168.0.48 -p tcp --dport 80 -j ACCEPT iptables -P FORWARD DROP iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination ACCEPT tcp -- 192.168.0.48 172.16.14.10 tcp dpt:80 ACCEPT tcp -- 192.168.0.48 172.16.14.10 tcp dpt:22 Chain OUTPUT (policy ACCEPT) target prot opt source destination

4)在C上ping一下 172.16.14.10 应该不通,然后使用ssh连接A ,再使用elinks测试下A的httpd服务是否正常

ssh 172.16.1410 elinsk http://172.16.14.10 #如果能连接到测试页说明正常

5)将C的ip换为192.168.0.58看还能不能ssh或者访问到测试页

ifconfig eth0 192.168.0.58 ssh 172.16.1410 #应该脸不上 elinsk http://172.16.14.10 #应该不能显示任何内容,两样都满足说明防火墙生效






iteye_11590
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1233
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
netfilteriptables基本概念
weixin_30540691的博客
08-22 100
网络访问控制 网络访问控制可以简单理解为防火墙,常用的网络访问控制有:哪些IP可以访问服务器, 可以使用哪些协议,哪些接口,是否需要对数据包进行修改等。 netfilter netfilter是通过iptables进行调用的。 netfilter非常重要的两个概念:过滤点和表。 netfilter的流程。 常用功能 如下图。 iptable...
Linux防火墙策略实现(netfilteriptables
燕雀踏青云
04-09 707
一、iptables的规则表和链 1.1 表(tables) 提供特定的功能,iptables内置了4个表: filter表:实现包过滤 nat表:网络地址转换 mangle表:包重构(修改) 表 对应链 作用 filter表 INPUT、FORWARD、OUTPUT 过滤数据包 内核模块:iptables_filter. Nat表 PREROUTING、POSTROUTING、OUTPUT 用于网络地址转换(IP、端口) 内核模块:iptable_nat Mangle表 PRE
防火墙——iptables防火墙(四表五链、防火墙配置方法、匹配规则详解)
最新发布
Axic123的博客
05-20 2855
IP信息包过滤系统,它实际上由两个组件netfilteriptables组成主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。
linux系统防火墙iptables命令规则及配置
weixin_33726318的博客
06-26 360
防火墙概述: 在互联网上我们的主机随时都有被攻击的可能,因此我们需要用到防火墙机制来保护我们互联网上的主机,在我们主机上面,防火墙主要是通过一些规则来限制一些不安全因素的网络信息传输,准确的说,防火墙就是制定一些有顺序的规则,来管理所负责的范围内的主机数据封包的一种机制,通过防火墙我们能够分析和过滤进出主机或者网络的封包数据,从而将一些不安全因素的包隔离...
Linux防火墙内核中NetfilterIptables的分析.pdf
09-07
Linux防火墙内核中NetfilterIptables的分析.pdf
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
"Linux 防火墙 Netfilter-iptables 扩展机制及应用研究" 本文主要研究了 Linux 防火墙 Netfilter-iptables 扩展机制及应用,旨在解决 Linux 防火墙的扩展性和维护性问题。论文首先分析了 Linux 2.4 内核的 ...
LINUXIPTABLES防火墙的基本使用教程
01-20
可以使用Linux防火墙netfilter的用户态工具 iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个表可以配置多个链: * 对于filter来讲一般只能做在3个...
Linux下基于Netfilteriptables防火墙的构建.pdf
09-06
Linux下基于Netfilteriptables防火墙的构建.pdf
Linux防火墙netfilter的编程接口libiptc简介.pdf
09-06
Linux 防火墙 netfilter 的编程接口 libiptc 简介 libiptc 库是 Linux 防火墙 netfilter 的一个编程接口,可以使用 libiptc 库来查询、修改、增加、删除 netfilter 的规则、策略等。大家熟知的防火墙管理工具 ...
linux防火墙 iptables/netfilter详解
Cold_mood的博客
08-05 939
iptables/netfilter的工作原理,架构,匹配规则及保存规则
iptables/netfilter防火墙介绍与使用
weixin_34318326的博客
12-24 97
一、iptables/netfilter的基本介绍 iptables/netfilterLinux主机上的一个防火墙软件组合,其中iptables是一个防火墙规则定义软件,netfilter是内核中的一个功能(规格实施模块),负责所编写的规则的生效使用。 netfilter将报文的流进流出路径分为五个链,所有的报文都必须流经这五个链中的其中几个。五个链分别是:PRERO...
Linux下Netfilter/IPTables防火墙案例分析
weixin_33766168的博客
08-27 416
一、概述 在计算机领域内,防火墙是一种能够依照设定的规则,对网络传输进行控制,以确保信息安全的软硬件组成的防护系统。 Linux的Netfilter/IPTables架构 Netfilter/IPTables架构是Linux系统提供的自带的防火墙,它包含在Linux 2.4以后的内核中,功能十分强大,可以实现包过滤、NAT网络地址转换)、数据包的分割等功能。 N...
Linux iptables防火墙规则配置的两个坑
lujian1989的专栏
09-06 8849
Linux iptables防火墙规则配置的两个坑,包括规则保存和规则生效机制
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1275
Netfilter是什么? NetfilterLinux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。 NetfilterLinux的关系 NetfilterLinux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的...
iptables详解
wdt3385的专栏
12-25 4882
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
Linux使用iptables设置防火墙
Xiaowo
04-17 7051
因为老师留作业要对Netfilter内核模块进行扩展编程,因此在此之前先学习了一下iptables的用法,笔记一下,忘了就来看看。首先推荐一篇不错的博客,作为参考补充: http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.htmliptables和netfilter先说一下iptables和netfilter的关系:netfilter
Linux防火墙iptables/netfilter(一)
tianchaoshangguo的博客
08-10 1045
Linux防火墙iptables/netfilter(一) 防火墙大家都不陌生,或者说都听说过,现实中的防火墙是将一个区域内的火隔离开来使之不蔓延到另一个区域,计算机领域的防火墙与之功能类似,也是为了隔离危险。在如今广阔的互联网领域内,我们一般会相信一个叫做“黑暗森林”的法则。对于这个法则大家可以去搜索一下,它是在《三体》系列小说中写出来的,大致意思是在黑暗丛林中我们无法判断对方对自己是否有恶意...
使用 netfilter/iptablesLinux(内核 2.4.x)配置防火墙
shanyou的专栏
03-11 2560
Mugdha Vairagade(vmugdha@indiatimes.com)独立开发人员2002 年 9 月netfilter/iptables 是与最新的 2.4.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器,则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。M
Linux防火墙与代理服务器:netfilter/iptables详解
netfilter/iptables作为Linux防火墙的核心组件,为系统提供了强大的网络管理和安全防护能力。理解和掌握它的工作原理、语法以及规则配置,对于Linux系统管理员来说是至关重要的网络安全技能。通过合理的规则设置,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值