防火墙的基本概念及iptables四表五链详解

最新推荐文章于 2024-05-07 07:13:27 发布
最新推荐文章于 2024-05-07 07:13:27 发布
阅读量2.3k 收藏 21
点赞数 3
分类专栏: 计算机网络&操作系统基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigar_/article/details/107955498
版权

防火墙的基本概念及iptables四表五链详解

1.防火墙的基本概念

  • 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的就是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。

  • 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。

  • 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。

2.防火墙的分类

从逻辑上讲,防火墙大体可以分为主机防火墙和网络防火墙:网络防火墙和主机防火墙互不影响,可以理解为网络防火墙负责外(集体),主机防火墙负责内(个人)

  • 主机防火墙:主要针对单个主机进行防护
  • 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网

从物理上讲,防火墙可以分为硬件防火墙和软件防火墙:

  • 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,成本高,性能高
  • 软件防火墙:应用处理软件逻辑运行于通用平台之上的防火墙,成本低,性能低

3.防火墙的功能

  1. 入侵检测功能
    网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。
  2. 网络地址转换功能
    利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。
  3. 网络操作的审计监控功能
    通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。
  4. 强化网络安全服务
    防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。

Linux中存在iptables和firewalld两种防火墙
iptables:更接近数据的原始操作,精度更高
firewalld:更易操作

4.防火墙的三表五链

防火墙的三张表分别为:filter表,nat表,mangle表,
五条链分别是INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING

INPUT和OUTPUT均包括经过内核和不经过内核的信息
FORWARD是经过内核的路由转发信息
POSTROUTING是不经过内核路由之后的信息
PREROUTING是不经过内核路由之前的信息

5.表功能及内核模块

如果要访问某台主机上面的http服务,必须先经过那台主机的内核允许,才可以进行访问
防火墙其实也是在内核上面开启的一个服务 防火墙里面有表格,写一些规则,允许哪个主机访问什么服务,这个表格由iptables进行控制

表名称功能内核模块
filter负责过滤功能,防火墙iptables_filter
nat(Network Address Translation)网络地址转换iptables_net
mangle拆解报文,修改,重新封装iptables_mangle
raw决定数据包是否被状态跟踪机制处理

第一张表:filter表:放的是经过内核的ip,可使用的链: input output forward
第二张表:nat表:放的不是经过内核的服务,可使用的链: input output postrouting prerouting
第三张表:备用表格mangle:可使用的链: input output forward postrouting prerouting
第四张表:raw表: 关闭nat表上启用的链接追踪机制:可使用的链:output prerouting

6.防火墙常用的行为动作

动作说明
ACCEPT允许数据包通过
DROP直接丢弃数据包,不给任何回应,此时客户端会不停地去向服务器发送数据包,发送超时才会有反映应
REJECT拒绝数据包通过,必要时会给数据发送端一个响应信息,如果客户端的请求被拒绝,就会收到拒绝的信息
SNAT源地址转换,解决内网用户用同一个公网地址上网的问题
MASQUERADE是SNAT的一种特殊形式,适用于动态的,临时会变的ip上
DNAT目的地址转换

7.数据包流向分析

在这里插入图片描述
在这里插入图片描述
基本步骤

  1. 数据包到达网络接口,比如 eth0
  2. 进入 raw表的 prerouting链,这个链的作用是赶在连接跟踪之前处理数据包
  3. 如果进行了连接跟踪,在此进行处理
  4. 进入 mangle 表的 prerouting链,在此可以修改数据包,比如 tos 等参数
  5. 进入 nat 表的 prerouting链,可以再做 DNAT ,但不要做过滤
  6. 决定路由,交给本机或者转发至其他主机

如果数据包需要转发

  1. 进入 mangle 表的 forward链,这是第一次路由之后,在决定第一次路由后,在最后的路由决定之前,仍然可以对数据包进行更改
  2. 进入 filter 表的 forward链,在这里可以对所有转发的数据包进行过滤,需要注意的是,经过这里的数据包是转发的,方向是双向的
  3. 进入 mangle 表的 postrouting链,到这里已经完成了所有的路由决定,但是数据包仍然在本地,我们依然可以进行某些修改
  4. 进入 nat 表的 postrouting链,这里一般做的是 SNAT ,不在这里进行过滤
  5. 进入出去的网络接口

如果数据包进入本机

7 )进入 mangle 表的 input 链,这是在路由之后,交由本地主机之前,我们也可以进行一些相应的修改
8 )进入 filter 表的 input 链,在这里我们可以对流入的所有数据包进行过滤,无论它来自那个网络接口
9 )交给本地主机的应用程序进行处理10 )处理完后进行路由决定,看该往哪里发出
11 )进入 raw表的 output 链,这里是在连接跟踪处理本地的数据包之前
12 )连接跟踪对本地的数据包进行处理
13 )进入 mangle 表的 output 链, 可修改数据包,但不进行过滤
14 )进入 nat 表的 output 链,可以对防火墙自己发出的数据做 nat
15 )再次进行路由决定
16 )进入 filter 表的 output 链,可以对本地出去的数据包进行过滤
17 )进入 mangle 表的 postrouting链,同上一种情况第 9步,但是这里不仅对经过防火墙的
数据包做处理,还对防火墙自己产生的数据包进行处理
18 )进入 nat 表的 postrouting链,做 snat,但不进行过滤
19 )进入出去的网络接口

_nigar
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
详解Android 利用Iptables实现网络黑白名单(防火墙)
01-05
为了使读此简笔的人对Iptables有一个简单的了解,此处强行百度了一波概念,如果想深入的了解Iptables的各种配置规则和内核对其的管理运行机制请自行www.baidu.com,这些并不是本简笔的目的所在。 闲言少叙,开始正文...
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
POSTROUTING与PREROUTING区别
Jis的专栏
12-30 1万+
POSTROUTING与PREROUTING区别 标题: prerouting和postrouting不理解 我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING,可是做透明代理的时候确是用PREROUTING。这是为什么呢? 回复: sunnygg pre还是post是根据数据包的流向来确定的。 通常
iptables 基础知识与命令速查
最新发布
2402_83140078的博客
05-07 1175
当一条链中的规则数量非常多时,有针对 httpd ,也有针对 sshd 的,这样我们维护 iptables 规则就非常痛苦。而自定义链,就是用 iptables 链的方式,来实现 “规则” 分组的功能。使用如下命令来新建自定义链而此时还没有其他链引用 IN_WEB ,因此会显示引用自定义链,就是把该链当成和 ACCEPT、REJECT 一样的动作就行。意思是:匹配上的报文全部发往这些链中。若想把 IN_WEB 的链名改成 WEB ,可以使用-E参数若想删除自定义链,可以使用-X命令。
iptables防火墙原理详解
weixin_34226706的博客
02-06 577
1. netfilter与iptables Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控...
PREROUTING 和 POSTROUTING, SNAT 和 DNAT 剖析
Criss_Leung的专栏
09-15 5055
位置: PREROUTING 和 POSTROUTING是位于NAT中的两条数据中转链。 NAT: NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。 NAT原理:  1.当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的
android流量防火墙iptables原理详解
08-27
Android 流量防火墙 Iptables 原理详解 Android 流量防火墙是一种基于 Iptables防火墙解决方案,旨在限制单个应用的联网状态。Iptables 是一个功能强大的 IP 信息包过滤系统,可以用于添加、编辑和删除规则,...
Linux netfilter/iptables知识点详解
01-09
Netfilter中有三个主要的概念:规则、、链,等级依次递增。 规则是对特定报文的处理说明,包括匹配字段和action。 链是一组规则的集合。 是链中相同功能的规则集合。 规则 链 链可以看作网卡和内核协议栈...
Linux_net_internal.rar_linux 内核详解_linux驱动编程
09-22
描述中的“详解”意味着我们将涉及的内容会非常详细,不仅会涵盖基础概念,也会包含高级主题,旨在为读者提供全面的了解。 Linux内核是操作系统的核心,负责管理硬件资源,提供系统调用接口,并处理进程调度、内存...
iptables防火墙
oyyy3的博客
11-01 372
目录 一.基础概述 1.netfilter/iptables关系 二.四五链 1.四个table:filter、nat、mangle、raw 2.六链:input output forward preroute psotroute 3.内核中数据包的传输过程 三.iptables安装与使用介绍 1.安装 2.控制类型 3.管理选项 5.iptables 1.添加新的规则 2 查看规则列 3.设置默认策略 4.删除规则 5.清空规则 四.介绍几种规则的匹配 1.通用匹
iptables
zion--6135的博客
07-20 669
iptables-tnat-AOUTPUT-ptcp-d192.168.2.101--dport55-jDNAT--to-destination192.168.2.10053//实现把192.168.2.101的55端口的报文,转发到192.168.2.10053。路由器----交换机---LAN内的电脑1(192.168.1.1),电脑2(192.168.1.2)--->路由器收到---->给电脑1回复ip地址--->电脑1拿到一个ip地址。ip地址不是路由器。.........
Iptables防火墙的四五链概念以及使用技巧
江晓龙的博客
07-08 3169
防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。 Iptables有五种不同的链,分
iptables 防火墙命令解析
chichooyy的博客
03-02 2371
防火墙iptables有三个要素:,链,规则。 五个链: INPUT OUTPUT FORWARD PEROUTING POSTROUTING 四个: raw mangle nat filter(优先级:raw --> mangle --> nat --> filter) 以下内置链可以满足对iptables基本配置: INPUT:进来的数据包应用此规则链中的策略; OUTPUT:外出的数据包应用此规则链中的策略; FORWARD:转发数据包时应用此规则链中的策略;
linux 防火墙iptables详解
隔壁老猪
04-16 1661
一、iptables和链1.iptables/netfilter netfilter: hooks function :钩子函数,真正执行工作的 iptables:定义规则的,用户空间的命令行接口 钩子函数:内核的功能 netfilter:内核级别已经支持v6 iptables:主要...
IPtables详解
姚某人的博客
06-04 1178
IPtables:简介: iptablesIPtables:命令参数: IPtables:实例:
Iptables详解
lufei0920的博客
03-10 1095
iptables/netfilter: Packets Filter Firewall: 包过滤型防火墙: Firewall:隔离工具,工作于主机或网络的边缘处,对经由的报文根据预先定义的规则(识别标准)进行检测,对于能够被规则匹配到的报文实行某种预定义的处理机制的一组套件: 硬件防火墙:CPU级别就可以封包和解包,提供26个字母,硬件逻辑;在硬件级别实现部分功能的防火墙。 软件防火墙:应用软件逻辑在通用硬件基础上实现。 主机防火墙: 网络防火墙: ipfw --> ipchians
Linux-iptables初识
weixin_30622107的博客
07-16 157
Linux-iptables初识 了解 iptables是与Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好的控制IP信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种强大的工具,可用于添加、编辑和去除规则,这些规则是在做信息包过滤决定时,...
Linux防火墙深度解析:iptables, firewalld与nftables详解
- FORWARD链与NAT:详细解释了防火墙如何控制内外网络流量,并讨论了源地址转换(SNAT)、目标地址转换(DNAT)和REDIRECT转发的应用。 - 真实案例:分享了马哥教育原校区防火墙的具体配置,展示如何将理论知识应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值