2021-8-25
iptables防火墙
防火墙的基础知识
一.防火墙的分类
低并发安全防护-软件防火墙
高并发安全防护-硬件防火墙
防火墙知识深入讲解
一.防火墙概念简介
1.基于数据包过滤防火墙
2.基于数据包进行处理
(1)实现内网访问外网
当从内网访问到外网的时候,要把内网映射成外网,才能进行与外网的通信
(2)实现外网访问内网
利用防火墙就可以实现外网访问内网,就像内网穿透
比如访问国外网站,就会通过安装一些软件到系统里,就能实现在操作系统内安装了一个客户端,然后这个客户端访问服务端,这个服务端上就具备了内网穿透能力,让你的这台主机相当于内网穿透
二.防火墙企业应用场景
1.实现数据包安全控制功能-filter
2.局域网共享上网-nat
3.内网穿透功能-nat
三.iptables工作流程图
filter基本数据包过滤原理
当数据包达到防火墙,iptables防火墙关注的主要是数据包里的地址信息和服务端口信息。主要是对源地址、目标IP地址、源端口、目标端口进行过滤。
应用层的过滤防护的处理可以通过waf。
规则条目:先配置优先匹配,后配置会在前面未匹配上在进行匹配
1.假设有一个用户 10.0.0.1/24
现在有两个规则 1.允许10.0.0.0/24网段主机都能访问
2.禁止10.0.0.1/24网段主机都能访问
现在用户两个条件都满足,由于第一条先配置,所以就会优先匹配,所以该防火墙会允许该用户访问
nat基本数据包处理原理
1.实现共享上网-内网访问外网:
在内网主机没有外网网卡的时候,要想访问外网的时候都把内网主机的流量数据包发给防火墙,通过防火墙处理后,再把内网主机的流量数据包转出去。所以在内网主机那配置一个网关,指定iptables服务器,作为一个访问外网的关卡。当流量数据包达到iptables服务器后,该防火墙就会对这些流量数据包将内网主机源地址转换成公网地址。之后内网主机就能临时的去访问外网了
2.内网穿透上网-外网访问内网:
假设要从外网访问内网的存储服务器,可以利用iptables实现内网穿透,也可以利用VPN。临时的话就可以使用iptables,那么就可以通过iptables对外网服务器的数据包的外网主机访问目标主机地址转换成内网地址
防火墙的实践配置操作
一.防火墙四表概念
1.filter表:实现防火墙过滤功能默认表
INPUT(进去)、OUPUT(出去)、FORWARD(经过)
2.nat表:实现IP和端口映射
OUTPUT、PREROUTING、POSTROUTING
3.mangle表
4.raw表
二.iptables实操
1.配置内网
2.重启一下网络服务,查看内网是否配置好
3.连接以下xshell
4.防止多个防火墙发生冲突,先关闭系统里默认的防火墙
5.安装iptables防火墙
6.查看是否启动iptables防火墙,启动iptables防火墙
查看防火墙默认的策略配置
如何改变防火墙策略,把默认的策略配置清除
把默认的配置清除后,重启一下防火墙服务,会发现刚刚的默认清除的配置任然还在,所以在删除配置后,还得保存一下
查看一下iptables防火墙的配置文件的文件的路径
查看一下iptables防火墙的配置文件的文件
所以可以通过把清除默认配置保存追加到iptables防火墙的配置文件中,并查看确认已清除
安装一下HTTP的服务器
发现安装失败
由于刚刚安装服务器失败,所以到官网寻找对应的文件的下载链接
安装一下wget
wget 下载一下服务器的配置文件
把下载好的工具放到指定位置
重启nginx服务器,并查看该服务器的端口,由于防火墙虽然开启,删除配置文件后,是默认允许所有的服务的
,所以外网访问内网成功
查看外网主机的IP地址为多少
知道外网主机IP地址,禁止外网访问内网服务器
刷新刚刚的访问,发现访问失败