iptables防火墙

最新推荐文章于 2024-07-23 11:47:42 发布
最新推荐文章于 2024-07-23 11:47:42 发布
阅读量1k 收藏 12
点赞数 7
文章标签: php apache 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75135871/article/details/140032304
版权

防火墙 的定义

        防火墙是一种由硬件和软件组合而成,在内部网和外部网之间,专有网与公共网之间构造的保护屏障,用以保护用户资料和信息安全的一种技术

防火墙的作用

        主要在于及时发现并处理计算机网络运行时可能存在的安全风险,数据传输等问题,从而实现对计算机不安全网络因素的阻断。确保网络正常运行,保障信息安全,为用户提供良好的网络体验

防火墙分类

        逻辑上分类:主机防火墙和网络防火墙

                主机型防火墙:针对单个主机进行防护

                网络型防火墙:针对网络进行保护,保护内部的局域网

        物理上分类:硬件防火墙和软件防火墙

                硬件防火墙:在硬件上实现进行防火墙功能,性能高,成本高

                软件防火墙:依靠软件来实现防火墙功能,性能低,成本低

Linux包过滤防火墙

        Linux防火墙是一种功能强大的信息包过滤系统
        net filter

                是一种内核中的一种包过滤功能体系

                称为Linux防火墙“内核态”

        iptables

                位于/sbin/iptables,是防火墙规则的管理工具

                称为;inux防火墙的“用户态”

        包过滤的工作层次

                主要是网络层,针对IP数据包

                体现在对数据包内的IP地址,端口等信息的处理上

IPtables的表,链结构

        规则表       

                表的作用:容纳各种规则链

                表的划分依据:防火墙规则的作用相似

        默认包括4规则表

                raw表:是否对数据包进行状态追踪

                mangle:是否为数据包设置标记

                nat表:是否修改数据包中的源,目标iIP地址或端口号

                filter表:是否放行该数据包(过滤)

         规则链

                规则的作用:对数据包进行过滤或处理

                链的作用:容纳各种防火墙规则

                链的分类依据:处理数据包的不同时机

        默认包括5种规则链

                INPUT: 处理入站数据包

                OUTPUT:处理出战数据包

                FORWARD:处理转发数据包

                POSTROUTING链:在进行路由选择后处理数据包

                PREROUTING链:在进行路由选择前处理数据包

        默认的表,链结构示意图

数据包过滤的匹配流程

        规则表之间的顺序 

                raw→mangle→nat→filter

         规则链之间的顺序

                入站:PREROUTING→INPUT

                出站:OUTPUT→POSTROUTING

                转发:PREROUTING→FORWARD→POSTROUTING

        规则链内的匹配顺序

                按顺序依次检查,匹配即停止(LOG策略例外)

                若找不到相匹配的规则,则按该链的默认策略处理

        匹配流程示意图

编写防火墙规则

        数据包的常见控制类型

                ACCEPT:允许通过

                DROP:直接丢弃,不给出任何回应

                REJECT:拒绝通过,必要时会给出提示

                LOG:记录日志信息,然后传给下一条规则继续匹配

        1.iptables安装

                1.确认开启iptables防火墙(要使用iptables防火墙,要确认firewall防火墙关闭)

systemctl status firewalld            //查看firewalld的运行状态
systemctl stop firewall                //停止firewalld服务
systemctl disable firewalld            //设置开机默认关闭

                2.使用yum安装iptables

yum -y install iptables-services iptables    //安装软件包

                3.启动防火墙,并设置开机自启动

systemctl start iptables.service
systemctl enable iptables

        2.基本语法,数据包控制

                        

        查询具有的iptables规则(-t指定查询表)

                -nL:查询

[root@bogon ~]# iptables -t raw -nL        //查看指定raw表
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

                -F :清空防火墙规则

iptables -t raw -F        //清理指定raw表

                -A   -I  添加规则

iptables -t filter -A INPUT -p icmp -j REJECT
//-t filter: 指定了要操作的表为 filter。iptables 防火墙系统中有多个表,但 filter 表是最常用的,它用于处理进入(INPUT)、转发(FORWARD)和离开(OUTPUT)的数据包。
//-A INPUT: 这意味着向 INPUT 链(chain)追加(Append)一条新规则。INPUT 链用于处理到达本地系统的数据包。
//-p icmp: 这指定了这条规则应用于 ICMP 协议的数据包。ICMP 是“Internet Control Message Protocol”的缩写,常用于网络诊断(如 ping 命令)和其他网络控制功能。
//-j REJECT: 这指定了当数据包与这条规则匹配时应该采取的动作。REJECT 意味着数据包将被拒绝,并且会向发送方返回一个错误消息(例如,对于 ICMP 数据包,这可能是一个“主机不可达”或“端口不可达”的消息

                -D 删除防火墙规则

[root@bogon ~]# iptables -t filter -nL --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
2    REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
3    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           
4    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
[root@bogon ~]# iptables -t filter -D INPUT 3

                -P :设置默认规则

iptables -t filter -P INPUT DROP        //设置默认规则为丢弃

        规则匹配

                 通用匹配

                        协议匹配 

                                -p 协议名

[root@bogon ~]# iptables -t filter -A INPUT ! -p tcp -j ACCEPT

                        地址匹配

iptables -t filter -A INPUT -S 192.168.2.1 -j ACCEPT
 iptables -t filter -A INPUT -S 192.168.2.0/24 -J ACCEPT

                                -s源地址,-d目的地址

                        接口匹配

iptables -t filter -I INPUT -i ens33 -s 192.168.2.0 -p udp -j ACCEPT

                                -i入站网卡,-o出站网卡

                常用的隐含匹配条件

                        端口匹配:--sport 源端口, --dport 目的端口

                        允许为网段 192.168.4.0/24 转发 DNS 查询数据包

[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A FORWARD -d 192.168.4.0/24 -p udp --sport 53 -j ACCEPT

                        ICMP类型匹配:--icmp-type ICMP类型

                        禁止从其他主机 ping本机,但是允许本机 ping 其他主机

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP 
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT 
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP

                常用的显示匹配条件

                        多端口匹配:-m multiport --soprts 源端口列表

                                             -m multiport --dports 目的端口列表

                        允许本机开放 25、80、110、143 端口

[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

                        IP范围匹配: -m ipranage --src-range IP范围

                        禁止转发源 IP 地址位于 192.168.4.21 与 192.168.4.28 之间的 TCP数据包

[root@localhost	~]#	iptables	-A	FORWARD	-p	tcp	-m	iprange	--src-range 192.168.4.21-192.168.4.28 -j DROP

                        MAC地址匹配: -m mac --mac-source MAC地址

                        根据 MAC 地址封锁主机,禁止其访问本机的任何应用

[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP

                        状态匹配: -m state --state连接状态

                        禁止转发与正常 TCP 连接无关的非--syn 请求数据包(如伪造的网络攻击数据包)

[root@localhost ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

最新小梦
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Iptables防火墙策略详解
qq_42941888的博客
03-04 2665
Iptables防火墙策略详解 一、iptables Linux 系统的防火墙——netfilter/iptables IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables 关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则
iptables防火墙总结
热门推荐
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
iptables 防火墙配置
来日可期的博客
09-15 3970
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。
iptables防火墙配置
weixin_45948376的博客
11-23 6599
实验 iptables防火墙配置 实验的目的 熟悉防火墙的基本原理。 熟悉包过滤防火墙的测试。 实验内容 1)学习Linux防火墙的基本架构 2)学习IPtable的基本原理 3)学习IPtable的使用方法 实验环境 1)虚拟机:Linux主机 2)宿主机:Windows客户端 实验原理 防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防
iptables防火墙规则
weixin_43757555的博客
09-15 1583
防火墙的分类 主机型防火墙:主要保护的是服务器本机(过滤威胁本机的数据包) 网络型防火墙:主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器Iptables介绍 Linux内核默认支持软路由功能,通过修改内核参数即可开。 永久保存写入规则文件:service iptables save 规则文件位置:/etc/sysconfig/iptables Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能: [ root@proxy ~] # echo 0 > /
Linux中iptables防火墙
SmileLife_的博客
05-12 1379
一、iptables防火墙概述 netfilter/iptables:ip 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对IP数据包,体现对包内的IP地址、端口信息等处理。 1.1 netfilter/iptables的关系 netfilter:属于“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptable
iptables防火墙详解
Shawn的个人博客
04-07 3520
自定义链可以方便的管理不同的规则,方便后期规则的修改,但是需要注意的是,自定义链并不能直接使用,而是需要被默认链引用才能够使用。
Iptables防火墙策略
Liu_Fang_Hong的博客
06-14 1143
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
Linux安装iptables防火墙
superSubfn
04-13 3436
1. 查询是否有安装 打开/etc/sysconfig/目录,查看是否有 iptables文档 2. 安装iptablesiptables-service service iptables status // 检查是否安装了iptables yum install -y iptables // 安装iptables yum update iptables // 升级iptables yum install iptables-services // 安装ipt
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
Linux Ubuntu系统iptables防火墙配置
11-11
配置iptables防火墙的主要目的是保护服务器安全,防止未经授权的访问和恶意攻击,以及避免不必要的服务暴露,提高系统的稳定性和安全性。通过制定精确的规则,可以阻止非法探测,确保只有指定的主机能够访问特定的...
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
Vue3+ element plus 前后分离admin项目安装教程
luck332的专栏
07-21 594
前后分离admin项目安装基于 vue3.x + CompositionAPI + typescript + vite + element plus + vue-router-next + pinia,适配手机、平板、pc 的后台开源免费模板,希望减少工作量,帮助大家实现快速开发。
PHP小课堂】PHP中的数组函数学习(一)
硬核项目经理
07-22 838
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
BUUCTF [WUSTCTF2020]朴实无华
weixin_73399382的博客
07-22 511
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
MICA:面向复杂嵌入式系统的混合关键性部署框架
最新发布
openEuler_的博客
07-23 1016
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值