防火墙的五表五链N规则---个人理解整理

已于 2022-05-30 16:10:54 修改
阅读量684 收藏 2
点赞数
分类专栏: # Linux操作系统 文章标签: centos linux 运维
于 2022-05-30 16:10:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jt_121217/article/details/125047779
版权

目录

selinux

netfilter、firewalld

Iptables

五表----有时候称四表(filter、nat、managle、raw )

五链

报文流向

N规则

防火墙检查:

selinux

selinux 是 Redhat/CentOS 系统特有的安全机制。不过因为这个东西限制太多,配置也特别繁琐所以几乎没有人去真正应用它。所以装完系统,我们一般都要把selinux关闭,以免引起不必要的麻烦。关闭 selinux 的方法为,使 “SELINUX=disabled”, 默认为 enforcing。
修改文件 vi /etc/selinux/config 

netfilter、firewalld

在centos6上的防火墙叫做netfilter,centos7上防火墙叫做firewalld,而它们底层都是基于iptables的。centos6和centos7都有iptables,这里的iptables是一个工具(或者叫命令)。

Iptables

五表----有时候称四表(filter、nat、managle、raw )

man iptables查看TABLES

filter 表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链

nat 表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链

managle 表用于给数据包做标记,然后根据标记去操作那些包,几乎用不到

raw 表可以实现不追踪某些数据包,几乎用不到

security 表在centos6中并没有(此时四表),用于强制访问控制(MAC)的网络规则,由Linux安全模块(如SELinux)实现,规则太复杂几乎用很少用。

规则优先:security -->raw-->mangle-->nat-->filter

常用到的表基本在nat、filter

五链

INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING

               INPUT:进来的数据包应用此规则链中的策略。(包含:filter,mangle)
           OUTPUT:外出的数据包应用此规则链中的策略。(包含:filter,nat,mangle,raw)

        FORWARD:转发数据包时应用此规则链中的策略。(包含:filter,mangle)
  PREROUTING:对数据包作路由选择前应用此链中的规则。(包含:nat,mangle,raw)
POSTROUTING:对数据包作路由选择后应用此链中的规则。(包含:nat,mangle,raw)

报文流向

  • 流入本机:PREROUTING --> INPUT–>用户空间进程
  • 流出本机:用户空间进程 -->OUTPUT–> POSTROUTING
  • 转发:PREROUTING --> FORWARD --> POSTROUTING

N规则

就是在表中添加管理具体链的规则

防火墙检查:

getenforce 查看当前 selinux 的状态,Enforcing 表示开启,Permissive 表示关闭。
setenforce 0 临时关闭 selinux
vi /etc/selinux/config 进入配置selinux文件,更改SELINUX=disabled,可以永久关闭selinux
systemctl disable firewalld 表示先停止防火墙服务
systemctl stop firewalld 表示关闭防火墙服务
5个表: filter,nat,mangle,raw,security
5个链: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
本机: PREROUTING →INPUT →OUTPUT →POSTROUTING
非本机:PREROUTING→FORWARD→POSTROUTING

主要参考:selinux 、firewalld 、 netfilter 及其5表5链_Jolie的技术博客_51CTO博客

以及度娘

测试?不,打杂的
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables表和链最清晰解释
01-15
Iptables表和链最清晰解释 下文有个词mangle,我实在没想到什么合适的词来表达这个意思,只因为我的英语太差! 我只能把我理解的写出来,这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。 以本地为目标(就是我们自己的机子了)的包
iptables5表5链浅析
m0_65187145的博客
10-08 844
iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。
2018.1.24 7周3次课
weixin_34233618的博客
01-24 116
七周三次课(1月24日)10.11 Linux网络相关 10.12 firewalld和netfilter 10.13 netfilter5表5链介绍 10.14 iptables语法10.11 Linux网络相关用ifconfig命令查看网卡IP前面曾用过ip addr这个命令来查看系统的IP地址。其实在centos 7之前,我们使用最多的命令是ifconfig,它类似于W...
iptables之forward
weixin_33859504的博客
04-01 5350
1. forward链的作用 2. 实现 1. forward链的作用   根据数据报文的流向,若数据报文是由本机转发的则会经由以下几个链prerouting --> forward --> postrouting。  forward实现的是数据转发的功能,当数据报文经过本机时,网卡接收数据报文至缓冲区,内核读取报文ip首部,发现报文不是送到本机时(目的ip不是本机),由内核直接送到...
linux netfilter路由表,linux网络相关,firewalld和netfilter,netfilter5表5链介绍,itptables语法...
weixin_30152861的博客
05-13 353
Linux网络相关: 如果没有 ifconfig 命令 那么需要安装一个包(yum install net-tools)如果 ifconfig 命令查看不到网卡的话,那么可以使用 ifconfig -a 查看(网卡down掉时使用这个命令)down=网卡被关闭ifdown 网卡名字 关闭网卡ifup 网卡名字 开启网卡在远程终端上面使用了 ifdown 关闭了网卡,那么必须在本地机器上面使用 if...
iptables深度总结--基础篇
yanzhuang521967的博客
04-17 1213
对iptables命令的总结
iptables四表五链
m0_57730097的博客
12-06 667
五个链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING filter是默认表,过滤规则表,根据预定义的规则过滤符合条件的数据,真正负责主机防火墙功能,这个表定义了三个链。 INPUT:负责过滤所有目标是本机地址的数据包,通俗来说就是过滤进入主机的数据包 OUTPUT:处理所有源地址是本机地址的数据包 FORWARD:负责转发流经主机的数据包。起到转发的作用,和NAT关系很大。 NAT表负责网络地址转换,即来源与目的的IP地址和port的转换。和主机本身无关,一般.
Linux-iptables(filter表)详解
qq_62311779的博客
06-12 4050
目录一、iptables简介 :(1)基本认识:(2) 四表五链: 1、“四表”是指 iptables 的功能 2、“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。每个规则表中包含 多个数据链,防火墙规则需要写入到这些具体的数据链中。 3、 iptables的结构: 4、图解:​二、安装iptables服务: 三、路由转发配置: 四、filte表: ——查看 filter 的详细规则—— INPUT 入站链(找我的:—— FORWAR
iptables表、链、规则
weixin_52034407的博客
04-21 805
关于iptables的表、链、规则的简单介绍
防火墙的基本知识&工作机制&三表五链
Zhangxu0606的博客
08-22 1097
1.什么是防火墙 防护墙的基本知识 1.防火墙,也成为防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入互联网; 2.防火墙是位于内部网和外部网之间的屏障,它是按照系统管理员预先设定定义好的规则来控制数据包的进出; 3.防火墙是系统的第一道防线,其作用是防止非法用户的进入,保障内网的安全性,保证内外网之间数据的流通性 4.防火墙从诞生开始,已经历了四个发展阶段: 基...
迪普防火墙FW1000-MA-N调试文档—20180823.docx
08-27
迪普FW1000-MA-N防火墙,该型号防火墙前面板共有8个以太网口,以太网口0~6一般做为业务口,7口做为以太网配置口,CONSOLE口为串口调试口,CONSOLE口需要通过串口线和超级终端进行调试,当以太网配置口的ip被修改或者...
防火墙-多通道协议与Server-map表项.docx
09-06
防火墙-多通道协议与Server-map表项.docx
防火墙访问控制规则配置--教案整理.pdf
11-08
防火墙访问控制规则配置--教案整理.pdf
05-防火墙发展史 05-防火墙发展史
最新发布
01-07
05-防火墙发展史
Hillstone-EVE,山石防火墙虚拟机
04-12
Hillstone-EVE,山石防火墙虚拟机
Debian 查看与修改IP,设置多ip,network与networkManager配置
热门推荐
搞怪小新
11-17 1万+
一、查看ip地址,使用ip addr。2、设置静态ip地址,以及多ip。二、修改ip地址/etc/network/interfaces。
SUSE Linux 15 If ‘netstat‘ is not a typo you can use command-not-found to lookup the package...
搞怪小新
08-11 5679
suse Linux不支持netstat命令,可用ss命令
CentOS_6.5 x86_64系统安装及配置
搞怪小新
10-16 4235
CentOS_6.5 x86_64系统安装 一、资源准备: CentOS 6.5系统镜像有32位和64位两个版本,生产服务器如果是大内存(4G以上内存) 建议安装64位版本CentOS-6.5-x86_64-bin-DVD1.iso 1、CentOS 6.5的系统安装方式分为:图形安装模式和文本安装模式; 2、安装CentOS 6.5系统的计算机内存必须等于或者大于628M(最小
Debian 在线更新apt-get update失败,源地址修改
搞怪小新
11-18 2206
修改Debian安装源地址
如何在防火墙出站规则中禁用time-exceeded类型的ICMP包
06-08
禁用time-exceeded类型的ICMP包可能会影响网络的正常运行,因此在实施此类规则之前,应该评估该规则可能带来的风险和影响。如果您确定需要禁用time-exceeded类型的ICMP包,可以按照以下步骤在防火墙出站规则中实现: 1. 打开防火墙配置界面,并找到出站规则设置。 2. 创建一个新规则,选择协议类型为ICMP。 3. 在规则设置中,找到有关ICMP类型和代码的选项。选择ICMP类型为11,表示time-exceeded类型的ICMP包。 4. 将规则设置为禁止该类型的ICMP包通过防火墙出站。 5. 保存并应用新规则。 请注意,禁用time-exceeded类型的ICMP包可能会对网络性能和可靠性产生影响,并且可能会使某些网络故障难以排除。建议在实施此类规则之前,先进行充分的测试和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值