防火墙搭建及NET机制

最新推荐文章于 2024-07-14 12:06:26 发布
最新推荐文章于 2024-07-14 12:06:26 发布
阅读量2.6k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momokuku123/article/details/77972244
版权

(五)防火墙规则书写注意点小结(掌握)

  • 书写规则时的几个注意点

 
 
 
1)匹配规则越严格的需要放在越上面,越松散的放在越下面

 
 
 

 
 
 
2)规则的检查次序:规则在链上的次序即为检查时生效的次序,因此,其优化使用有一定的法则 

 
 
 

 
 
 
    
  
  
  1:同类规则(访问同一个应用),匹配范围小的放在前面,用于特殊处理

 
 
 

 
 
 
    
  
  
  2:不同类的规则(访问不同的应用),匹配范围大的放在前面,也就是规则被报文匹配次数多的放在前面

 
 
 

 
 
 
    
  
  
  3:应该将那些由一条规则描述的多个规则合并为一个规则,这样使得规则查询的效率提高
  • 防火墙规则优化实战示例

 
 
 

  
  
  1:开放ssh、web、telnet服务

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  # 由于 ESTABLISHED会经常被访问,因此写在第一个

 
 
 

 
 
 

  
  
      iptables -A INPUT -m 
  
  
  state --
  
  
  state ESTABLISHED -j ACCEPT 

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  # 特定的服务开放

 
 
 

 
 
 

  
  
      iptables -A INPUT -d 
  
  
  192.168
  
  
  .10
  
  
  .222 -p tcp -m multiport --dports 
  
  
  22,
  
  
  80,
  
  
  23 -m 
  
  
  state --
  
  
  state NEW -j ACCEPT 

 
 
 

 
 
 

  
  
      iptables -A INPUT -d 
  
  
  192.168
  
  
  .10
  
  
  .222 -p icmp --icmp-type 
  
  
  8 -m 
  
  
  state --
  
  
  state NEW -j ACCEPT 

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  # 所有的入栈报文,出栈全部被允许

 
 
 

 
 
 

  
  
      iptables -A OUTPUT -m 
  
  
  state --
  
  
  state ESTABLISHED -j ACCEPT

 
 
 

 
 
 


 
 
 

 
 
 


 
 
 

 
 
 


 
 
 

 
 
 


 
 
 

 
 
 


 
 
 

 
 
 

  
  
  2:开放ftp、ssh、web、telnet服务

 
 
 

 
 
 

  
  
  思考:对于ftp服务来说,有两个端口,
  
  
  2021,如果想使用RELATED关联追踪,应该让内核加载nf_conntrack_ftp模块

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  # 内核加载nf_conntrack_ftp模块

 
 
 

 
 
 

  
  
      modprobe nf_conntrack_ftp

 
 
 

 
 
 


 
 
 

 
 
 

  
  
  # 放行了ftp协议的数据连接的端口,由于端口是随机的,所以不要给定端口号,并且指明连接追踪是related和established

 
 
 

 
 
 

  
  
      iptables -A INPUT -d 
  
  
  192.168
  
  
  .10
  
  
  .222 -m 
  
  
  state --
  
  
  state REL
最低0.47元/天 解锁文章
momokuku123
关注
架构-防火墙iptables
Struggle_Hard_Z的博客
12-25 1896
架构图详解 架构: 把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构 1.用户需求 用户带着域名提交访问请求 2.DNS 通过DNS解析域名找到该域名对应IP返回 3.防火墙(iptables) 也叫:包过滤防火墙 iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链 filter表
(二)Linux 防火墙----网络防火墙,NET,firewalld
weixin_45697293的博客
05-31 430
文章目录六. 网络防火墙综合实验:七. NAT2. SNAT3. DNAT(重点***)(端口映射,只能一对一)4. 转发(端口重定向redirect)重点八. firewalld服务(centos 7)firewalld zone分类预定义服务firewalld配置firewall-cmd 命令选项九. firewall其它规则管理rich规则rich日志规伪装和端口转发端口转发练习 六. 网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORW
防火墙用户认证与net相关配置
最新发布
weixin_73729058的博客
07-14 874
5,生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。4,办公区分为市场部和研发部,市场部IP地址固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;1,DMZ区内的服务器,办公区仅能在办公时间内(9:00 - 18:00)可以访问,生产区的设备全天可以访问.2,生产区不允许访问互联网,办公区和游客区允许访问互联网。
qmail于redhat9安装记录(转)
cuemes08808的博客
01-04 243
qmail于redhat9安装记录(转)  #!/bin/sh  # qmail installation in RedHat9 shrike  # creat by vegalou@ms39.hinet.net 2003/5/...
透明防火墙架设
weixin_34167819的博客
07-16 139
最近因公司需要上一个项目,需要用到透明防火墙,这里把实施过程写下来。 透明防火墙的优点很多,可在网络上的任意点架设,如果不设置IP在网络上几乎是***不到(因防火墙本身没有IP,但是否真的100%避免***,有没有其他特殊手段,这里还不敢断言。)架设透明就是两个步骤,首先把linux主机变为网桥,而网桥最少需要两块网卡。这里需要安装一个网...
防御保护防火墙的NET使用
m0_65858385的博客
01-26 489
因为需求一和二有HTTP等对不同服务的需求,所以对地址的创建根据需求进行进一步的细分创建(方便后续的操作),因此对DMZ中的FTP和HTTP,以及办公区的客户端和PC进行进一步的单独创建。要求二:办公区全天可以访问服务器区,其中10.0.2.20可以访问TP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10;要求二:办公区全天可以访问服务器区,其中10.0.2.20可以访问TP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10;
iptables防火墙
m0_57261942的博客
07-23 118
iptables防火墙 文章目录iptables防火墙防火墙概述:什么是防火墙?iptables的表链结构iptables基本管理iptables框架(四表五链)iptables命令的基本用法iptabels语法格式注意事项与规律:iptables常用选项iptables命令的使用案例创建规则查看iptables防火墙规则删除规则,清空所有规则设置防火墙默认规则filter过滤和转发控制创建常用主机防火墙规则以及网络防火墙规则防火墙分类iptables防火墙规则的条件主机型防火墙案例网络型防火墙案例**禁p
域名系统 DNS服务及Linux防火墙
GRAGON_W的博客
11-04 913
一、简述DNS服务器原理,并搭建主-辅服务器。 二、搭建并实现智能DNS。 三、使用iptable实现: 放行ssh,telnet, ftp, web服务80端口,其他端口服务全部拒绝 四、NAT原理总结 五、iptables实现SNAT和DNAT,并对规则持久保存。 ...
图文并茂详解iptables 防火墙工作原理及知识点
weixin_34087301的博客
08-17 512
防火墙相关概念iptables相关概念以及工作原理iptables中四表五链的原理及规则iptables中的基本命令详解------------------防火墙相关概念----------------------LINUX防火墙:隔离内部网络和外部网络的隔离技术。 介于3-4层的...
防火墙与网络地址转换(NAT)
qq_45331503的博客
04-14 1839
1:网络地址转换NAT 建立NAT的动机是IP地址减少。 NAT的工作原理就是重写通过路由器的数据包的识别信息(IP地址)。 传统NAT:基本NAT和NAPT(网络地址端口转换) 传统NAT包括基本NAT(网络地址转换)和NAPT(网络地址端口转换) 基本NAT 基本NAT只执行IP地址的重写。 本质上就是将私有地址改写位公有地址 不流行 缺点: 无法减少需要使用的IP地址 一个共有IP地址只能对应一个私有地址。 网络地址端口转换NAPT 使用端口来标识到底和NAT内部哪台私有主机关联。 一个共有
防火墙(firewall)详细介绍
热门推荐
Ye的博客
08-09 1万+
防火墙介绍、包过滤防火墙、代理防火墙、状态检测防火墙、ASIC架构防火墙、UTM防火墙、web应用防火墙
解剖NetGuard
BaiShi 在路上
04-13 7889
 原文链接:http://blog.chinaunix.net/u/12313/showart_62633.html本文对国产防火墙NetGuard作一简单点评, 阅读时最好配合NetGuard手册.该手册可到http://www.topsec.com.cn/bbs/查问 解剖NetGuard v1.0本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,
防火墙详解(一) 网络防火墙简介
Richardlygo的博客
11-24 4763
原文链接:https://blog.csdn.net/qq_46254436/article/details/105519624 文章目录 定义 与路由器和交换机的区别 发展历史 防火墙安全区域 定义 防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为 “防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证.
功能服务器比拼大擂台――防火墙服务器篇
王达专栏
10-26 1464
大家都知道防火墙的主要结构与我们所使用的服务器,甚至PC机差不多,它的防护机制通常是建立在软件系统之上(俗称“IOS”),与路由器差不多。而这种IOS并非普通意义上的***作系统,它要求既能满足网络设备应用需求,又需具有非常强的抵御攻击的能力,而不会像现在用的许多***作系统一样,存存这样或那样的安全漏洞。要开发这样的IOS系统谈何容易,所以一般仅限于少数几家大的网络设备商。正因如此,一直
防火墙服务器-iptables
m0_46095955的博客
08-04 596
iptables防火墙概念介绍 开放源代码的完全自由的基于包过滤的防火墙工具 iptables主要工作在OSI七层的二、三、四层 企业应用防火墙 企业访问并发量小: 应用软件防火墙进行防护 企业访问并发量大: 应用硬件防火墙进行防护 iptables防火墙工作原理 名词概念 容器: 装东西的一个器皿 表: 表(防火墙功能表)装入到防火墙服务(容器) 链: 链(具体功能说明)装入到防火墙的...
防火墙与NAT服务器
吾JC的博客
08-16 896
本篇文章介绍了防火墙与NAT服务器,主要包括Netfliter(数据包过滤机制)和TCP Wrappers(程序控制)的基本原理及设置、iptables的用法、NAT服务器相关概念等,并概括了防火墙规则的设置流程及方式。
基于 P4 的防火墙搭建
06-09
P4 是一种可编程数据平面技术,可以用于构建高效、灵活的网络设备。基于 P4 技术的防火墙可以实现更高效、更精确的数据包过滤和流量控制。以下是基于 P4 的防火墙搭建步骤: 1. 确定防火墙规则:根据实际需求,确定需要过滤的数据包类型和相应的过滤规则。例如,可以设置禁止访问特定的 IP 地址或端口。 2. 编写 P4 程序:使用 P4 语言编写防火墙程序,实现数据包过滤和流量控制功能。P4 程序可以在 P4 编译器中编译成可执行的二进制代码。 3. 配置防火墙设备:将编译后的 P4 程序加载到防火墙设备的数据平面中,并进行相应的配置,如网络接口配置、规则配置等。 4. 测试防火墙:对防火墙进行测试,检查其是否能够正确地过滤数据包和控制流量。可以使用网络流量生成器或者手动发送数据包进行测试。 需要注意的是,基于 P4 的防火墙搭建需要具备一定的网络和编程知识。同时,P4 技术还处于发展阶段,可能存在一些问题和限制。因此,在实际应用中需要进行充分的测试和验证,确保其稳定性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值