信息安全课程11、12:防火墙(iptables/netfilter)

最新推荐文章于 2023-11-13 18:45:46 发布
最新推荐文章于 2023-11-13 18:45:46 发布
阅读量324 收藏
点赞数
分类专栏: 信息安全课程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m_pNext/article/details/119116209
版权

信息安全课程11:防火墙(iptables/netfilter)

均为个人笔记,欢迎纠错

课程链接

iptables 发展历史

ipfirewall —> ipchains —> iptables

iptables 和 netfilter 的关系

用户空间的 iptables 指定防火墙的规则;
内核空间的 netfilter 真正实现防火墙的功能

policy

policy 更像是处理包的基本态度,
全部接受或扔掉,在这个基础上剔除或选择一些特定的包

iptables 默认有 4 个表
raw mangle nat filter
内置 5 种链
input output forward prerouting postrouting
不是每个表都有全部种类的链

信息安全课程12:防火墙(netfilter/iptables)

均为个人笔记,欢迎纠错

课程链接

可加载内核模块(Loadable Kernel Module,LKM):动态加载,无需编译内核、重启系统。

所有的LKM 都包含 2 个最基本的函数:

int init_module(void) /用于初始化所有成员/
{

}

void cleanup_module(void) /用于退出清理/
{

}

编译时,与使用 gcc或者g++ 的应用层代码不同,LKM 使用Makefile,kbuild
典型的 LKM 的 Makefile 如下:

obj-m += hello-world.o
all:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
clean:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

IP 层的 hook 有 5 个:
NF_IP_PRE_ROUTING
NF_IP_LOCAL_IN
NF_IP_FORWARD
NF_IP_POST_ROUTING
NF_IP_LOCAL_OUT
iptables 中链的 5 种类型正好与之对应。

netfilter 返回码
返回码 含义
NF_DROP 丢弃数据包
NF_ACCEPT 保留数据包
NF_STOLEN 忘记数据包
NF_QUEUE 用户空间的队列数据包
NF_REPEAT 再次调用此钩子函数

这么理解,这 5 个 hook 就是 5 个点,在 ip 层处理数据包的流程中可能有的 5 个点;
包经过这 5 个点的时候可以钩住它,先不让它进入流程的下一步,而是进行某些处理;
这些处理可以自定义,写成一个个函数,就是钩子函数;
这些函数有固定的格式,返回值在返回码中选,比如,如果当前钩子函数处理完包就进入 ip 层处理流程的下一步,该函数就可以返回 NF_ACCEPT。

参考链接:https://blog.csdn.net/qq_20332637/article/details/80247991

m_pNext
关注
专栏目录
2024 软考信息安全工程师 知识点,2024年最新网络安全开发者必须收藏的8个开源库
2401_83973995的博客
04-12 1343
FTP-21(20数据连接,21控制连接)/SSH-22/Telnet-23/SMTP-25/DNS(udp)-53/web-80/POP3-110/SNMP-161/HTTPS-443/共享文件夹&打印机—445/RIP-520/MSSQL-1433/Oracle-1521/L2TP-1701/mysql-3306/远程桌面-3389/redis-6379。应用容文是完整的容灾解决方案,实现了应用级的远程容灾,真正实现了系统和数据的高可用性。
2024全国职业技能大赛-网络安全赛题解析———防火墙iptables(超详细)_网络安全职业技能大赛 请提交iptables允许ssh端口10022通过的命令(1)
2301_77033672的博客
05-02 815
3.Linux系统禁用23端口;4.Linux系统禁止别人ping通;5.Linux系统为确保安全禁止所有人连接ssh除了192.168.1.1这个ip;6.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包;7.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;8.禁止本机ping任何机器;9.禁止任何机器ping本机;10.为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的
大作业12-防火墙设置-iptables
xiaoyuerp的博客
11-12 321
1 firewalld和netfilter 1. 临时关闭selinux(防火墙) : setenforce 0 [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce 2. 永久关闭selinux(防火墙),编辑...config配置文件 :(好多服务,受限于selinux,关闭selinux也不会有太大的安全问题...
小白到运维工程师自学之路 第四十二集 (iptables防火墙基本设置)
REUSNN的博客
06-26 191
如有错误欢迎各位大佬批评指正,我们共同进步。以上就是iptables的基础配置。
2023 软考信息安全工程师 知识点
UP's blog
11-13 2438
2023软考信息安全工程师通过啦! 软考知识点总结,及2023题目回忆分析
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1264
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络层防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
iptables/netfilter介绍、样例实验和配置规则
dhRainer的博客
10-26 658
iptables/netfilter介绍、样例实验和配置规则0x 01 前言0x 02 表,链以及规则1、表(tables)2、链(chains)3、规则(rules)0x 03 利用Iptables进行网络地址转换实例展示1、环境:2、需求描述0x 04 Iptables常见配置命令和操作一、链及NAT的基本操作1、清除所有的规则2、设置链的默认策略。一般有两种方法。3、列出表/链中的所有规...
【liinux网络(五):iptables防火墙工具(SNAT、DNAT)】
Mits_Ximu的博客
08-22 196
iptables 防火墙工具、SNAT DNAT
总结:防火墙iptables
wauzy的博客
07-26 431
iptables基本认识 Netfilter组件 内核空间,集成在linux内核中 官网文档:https://netfilter.org/documentation/ 扩展各种网络服务的结构化底层框架 内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具 (iptables)向其写入规则 由信息过滤表(table)组成,包含控制
linux 下的 iptables/ netfilter 防火墙 深度理解 前篇
bie_niu1992的专栏
05-12 817
一 概述 iptables 其实不是真正的防火墙,我们可以把它理解为一个客户端代理,用户通过iptables 这个代理,将用户的安全设置执行到对应的“安全框架”中,这个安全框架才是真正的防火墙。这个框架的名称叫做netfilter 。 ...
netfilter框架概述
rondyning的博客
05-25 2823
1 Netfilter 1.1 netfilter概述 Netfilter是linux 2.4.x引入的一个子系统,它是一个通用的、抽象的框架。其不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点被调用。 内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、
信安软考 第八章 防火墙技术与原理运用
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
09-19 1908
防火墙实质上就是访问控制的一个产品。
2021年下半年软考信息安全工程师下午案例题及解析
热门推荐
qq_68147327的博客
09-20 1万+
2021年下半年软考信息安全工程师下午案例题
关于netfilter总结及包过滤防火墙实现
rian_lemon的专栏
04-22 6661
一.Netfilter简介从Linux Kernel 2.4开始,一个新的网络包过滤框架替代了原来的pchains/ipfwadm系统,那就是netfilteriptables。作为内核网络协议堆的一个扩展子集,netfilter可以在内核空间非常高效的进行包过滤,网络地址转换(NAT)和包重组等功能。同时,新的Netfilter/Iptables框架设计采取了更优的软件设计策略,如模块化设
2021年软考信息安全工程师下午真题(考生回忆版)
长期承接网络通信领域商务合作
01-07 1万+
真题内容为考生回忆 如有完整真题或者更全的大佬,请在下面留言。感谢! 只供学习交流使用,请勿用于商业用途! 2021年下午一共四道题 第一题 1、政府网站等报几级、几年一次。三级,1年一次 2、sql注入命令 3、防火墙类型 4、华为交换机镜像端口配置 5、报文乱码用什么编码查看 6、入侵检测特点 7、入侵检测配置 第二题 1、ssh默认端口:22 2、和ssh一样的安全管理协议 3、上述是否遭受攻击 4、该日志是在Linux下的路径名称 5、rw 用数字表示 6、》是什么意思 7、重启ssh 命令 8、s
Linux网络相关的命令、firewalld和netfilter、netfilter5表5链介绍、iptables语法
rain_yunlx的博客
01-25 355
一、Linux网络相关的一些命令 1. 查看网卡的命令 ifconfig -a                     ip addr                                这两个命令都可以查看网卡,当网卡down掉的时候是看不到的,使用 -a可以查看到 ifdown   ifup +网卡名        可以关闭和开启网卡 hostnamectl set-h
这个系统为基于_MATLAB的水果分级系统_,以橘子为例_,通过检测橘子的面积,直
10-01
这个系统为基于_MATLAB的水果分级系统_,以橘子为例_,通过检测橘子的面积,直径大小和色泽率饱满_shuiguofenji
基于Html与Ajax技术的2024年课程作业表格设计源码
10-01
课程作业项目采用Html与Ajax技术实现,共计包含37个文件,其中Java源文件7个,JavaScript文件6个,CSS样式文件5个,Map文件4个,HTML文件2个,还包含1个Git忽略文件、1个JAR包文件、1个属性文件、1个Maven构建文件和1个命令行脚本文件。项目主要围绕Ajax表格设计展开,适合作为相关课程的学习和实践案例。
【超强组合】基于matlab樽海鞘算法SSA-BP-Adaboost数据分类预测【含Matlab源码 8185期】.zip
最新发布
10-01
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2023b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化-BP-Adaboost数据分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化-BP-Adaboost数据分类预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化-BP-Adaboost数据分类预测 4.4.3 灰狼算法GWO/狼群算法WPA优化-BP-Adaboost数据分类预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化-BP-Adaboost数据分类预测 4.4.5 萤火虫算法FA/差分算法DE优化-BP-Adaboost数据分类预测 4.4.6 其他优化算法优化-BP-Adaboost数据分类预测
RHEL防火墙配置详解:Netfilteriptables的区别
直到2.4版本内核,包过滤机制变成了netfilter,管理防火墙命令工具变成了iptables。 2. netfilteriptables的区别 Netfilter是Linux内核中实现包过滤防火墙的内部结构,不是一文件或程序的形式存在,属于“内核态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值