linux防火墙

最新推荐文章于 2022-11-21 18:08:00 发布
最新推荐文章于 2022-11-21 18:08:00 发布
阅读量465 收藏
点赞数 1
分类专栏: 阅读笔记 文章标签: iptables selinux 根据ip段过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/papaaa/article/details/82835413
版权

linux防火墙

iptables


- 先来弄清楚iptables和netfilter的关系。iptables防火墙由Netfilter项目(http://www.netfilter.org)开发,自2001年1月在Linux2.4内核发布以来就是Linux的一部分了。

- Netfilter是由Linux提供的所有包过滤和包修改设施的官方项目名称,但这个术语同时也指Linux内核中的一个框架,它可以用于在不同的阶段将函数挂接(hook)进网络栈。另一方面,iptables使用Netfilter框架旨在将对数据包进行操作(如过滤)的函数挂接进网络栈。

- 所以,你可以认为Netfilter提供了一个框架,而iptables在它之上建立了防火墙功能。

- 同时iptables还指同名的用户层工具,它解析命令行并将防火墙策略传递给内核。术语表(table)、链(chain)、匹配(match)、目标(target)只有在iptables的上下文中才有意义。

使用iptables进行包过滤

iptables一共有四张表,称为filter, nat, mangle, raw。filter用于过滤,nat用于网络地址转换,mangle用于给数据包做标记以修改分组数据的特定规则,raw表则独立于Netfilter连接跟踪子系统。

因此,如果你的目标是保护主机安全,那么着重考虑的是filter表,而如果像OpenStack那样,目的是做网络地址转换,就用NAT表,而mangle则用于QoS(服务质量控制),如对打上某个标记的分组数据分配较多带宽等等。

每个表都有自己的一组内置链,用于还可以对链进行自定义。

对filter表来说,最重要的是内置链INPUT/OUTPUT/FORWARD。顾名思义,INPUT应用于外部网络进入到本地主机的数据包,OUPTU则应用于从本地主机发送到外部网络的数据包。FORWARD则可以理解为将本地主机作为路由器,数据包从本地主机经过,但目标位于本地主机的下游。
对于NAT来说,最重要的就是搞清楚PREROUTING和POSTROUTING链了。这个可以这么简单的理解,数据包从外部流入,在进入主机前给它PREROUTING,也就是“预路由”,即改变分组数据的目标地址或端口号。通常所说的端口转发就是在这里了。

举个简单的例子,在OpenStack的网络管理中,通常一个虚拟机会有一个外网IP和一个内网IP,那么节点的iptables规则里面就会有类似这样的语句


- iptables -t nat -A PREROUTING -d 115.12.XX.XX -j DNAT --to-destination 192.168.1.111
- iptables -t nat -A POSTROUTING -s 192.168.1.111 -j SNAT --to-source 115.12.XX.XX
 这条语句的意思就是目标地址为虚拟机外部地址115.12.XX.XX的数据包会被iptables重定向(修改数据包的目的地址)到192.168.1.111,同时,从192.168.1.111发出的数据包,iptables会将其源地址修改为115.12.XX.XX。从内部这里没有涉及端口,如果有端口,再加上--dport和--sport即可。
 
 注意一点,如果不指定表名,则默认是filter表。
  • 另外指出发行版的一点不同,在RHEL系(CentOS/Fedora)上,可以使用
service iptables restart
或
systemctl restart iptables.service
来重启iptables服务以加载默认的规则,而在Debian系(Ubuntu一众)则没有iptables这个服务,如果需要清空所有iptables规则,则需要

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCPET
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

SELinux

  • 首先明白一点,SELinux是干什么用的,同样是为了计算机的安全,那么它和iptables的功能有重叠吗?

  • 答案是没有。

  • 它们的定位是不同的。iptables是防火墙,防范来自网络的入侵和实现网络地址转发、QoS等功能,而SELinux则可以理解为是作为Linux文件权限控制(即我们知道的rwx)的补充存在的。

  • 我们知道,Linux的文件权限主要是rwx三类,即读、写、执行。撇开那些特殊的如s/u/t位不提,这三个权限控制真的能保证系统的绝对安全吗?

以Apache Http服务器为例(好像在说SELinux的时候那些前辈总是喜欢拿这个来举例子)。当一台服务器上跑着HTTP服务,我们访问这台服务器时是以apache用户来访问系统上的文件的,在HTTP的DocumentRoot目录下的文件对我们来说是可读的,而同样,单纯看rwx的权限,/etc/passwd这个敏感文件对apache用户也是可读的,因为它的权限位是-rw-r--r--,也就是对o(thers)是可读的,因此可以这样认为,网络攻击者如果可以以apache用户登录系统,它就可以查看/etc/passwd文件,知道系统中有哪些用户等等信息。但如果开启了SELinux就不会出现这种情况。为什么呢?

你可以用ls -Zl来查看SELinux有关的信息(前提是开启了SELinux服务)

 可以看到,在默认的HTTPDocumentRoot目录下的文件有

- system_u:object_r:httpd_sys_content_t:s0

 这样的安全上下文,其中的类型字段httpd_sys_content_t即表明这是http的内容文件,可以被http程序访问。显然其他目录下的文件没有同样的类型字段。这也就是为什么当你手动修改了DocumentRoot目录之后虽然在iptables里已经开放了网络访问,但仍然无法打开网页的原因了——因为apache用户对你新指定的目录下的文件没有读取的权限,因此SELinux是建立在Linux标准的权限控制基础上的增强型Linux。

还需要注意一点,当你复制一个文件到另一个目录时,新复制的文件会继承目标目录的SELinux上下文,而如果是移动文件则会保留源文件的SELinux上下文(context)。

例如需要让新目录可以被apache访问,需要对新目录执行

linux系统中查看己设置iptables规则

  • 1、iptables -L

查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。

说明:-L是–list的简写,作用是列出规则。

  • 2、iptables -L [-t 表名]

只查看某个表的中的规则。

说明:表名一共有三个:filter,nat,mangle,如果没有指定表名,则默认查看filter表的规则列表(就相当于第一条命令)。

举例:iptables -L -t filter

  • 3、iptables -L [-t 表名] [链名]

这里多了个链名,就是规则链的名称。

说明:iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五个规则链。

举例:iptables -L INPUT

注意:链名必须大写。在Linux系统上,命令的大小写很敏感。

  • 4、iptables -n -L

说明:以数字形式显示规则。如果没有-n,规则中可能会出现anywhere,有了-n,它会变成0.0.0.0/0

  • 5、iptables -nv -L

包含chain INPUT,chain OUTPUT等链
说明:你也可以使用“iptables -L -nv”来查看,这个列表看起来更详细,对技术人员更友好

通过iptables 过滤IP段

  • 封单个IP

iptables -I INPUT -s IP地址 -j DROP

  • 封IP段

iptables -I INPUT -s 192.168.1.0/24 -j DROP

  • 解封:

iptables -D INPUT -s IP地址 -j REJECT

如:
$iptables -t filter -I INPUT -s 10.108.0.0/16 -j ACCEPT
$ iptables -t filter -I OUTPUT -s 10.108.0.0/16 -j ACCEPT

命令的语法格式 匹配即停止
iptabless [-t 表名] 选项 [链名] [条件] [-j 目标操作] ##不打 [-t 表名] 默认为filter
iptables -t filter -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j REJECT ##拒绝192.168.4.100主机用tcp协议访问我的端口22(即不能用ssh访问为)
选项:
-A追加规则
-I插入规则 ##插入第一个行
-L查看规则
-D删除规则:REJECT,DROP,ACCEPT
条件:
源 协议 目标
-s -p --dport
###########################################################
iptables -I INPUT -s 192.168.4.100 -p tcp --dport 80 -j REJECT ##拒绝192.168.4.100主机用tcp协议访问我的端口80(即不能用80端口访问我的web网页)
iptables -I INPUT -s 192.168.4.100 -p icmp -j REJECT ##拒绝192.168.4.100主机用icmp协议访问我(即不能ping我)

注意事项/整体规律
-可以不指定表,默认为filter表
-有规则先匹配规则,没有规则匹配默认规则
-选项/链名/目标操作用大写字母,其余都小写

欢迎使用Markdown编辑器

你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。

新的改变

我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:

  1. 全新的界面设计 ,将会带来全新的写作体验;
  2. 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示;
  3. 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示;
  4. 全新的 KaTeX数学公式 语法;
  5. 增加了支持甘特图的mermaid语法1 功能;
  6. 增加了 多屏幕编辑 Markdown文章功能;
  7. 增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能,功能按钮位于编辑区域与预览区域中间;
  8. 增加了 检查列表 功能。

功能快捷键

撤销:Ctrl/Command + Z
重做:Ctrl/Command + Y
加粗:Ctrl/Command + Shift + B
斜体:Ctrl/Command + Shift + I
标题:Ctrl/Command + Shift + H
无序列表:Ctrl/Command + Shift + U
有序列表:Ctrl/Command + Shift + O
检查列表:Ctrl/Command + Shift + C
插入代码:Ctrl/Command + Shift + K
插入链接:Ctrl/Command + Shift + L
插入图片:Ctrl/Command + Shift + G

合理的创建标题,有助于目录的生成

直接输入1次#,并按下space后,将生成1级标题。
输入2次#,并按下space后,将生成2级标题。
以此类推,我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

删除文本

引用文本

H2O is是液体。

210 运算结果是 1024.

插入链接与图片

链接: link.

图片: Alt

带尺寸的图片: Alt

当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

  • 项目
    • 项目
      • 项目
  1. 项目1
  2. 项目2
  3. 项目3
  • 计划任务
  • 完成任务

创建一个表格

一个简单的表格是这么创建的:

项目Value
电脑$1600
手机$12
导管$1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列第二列第三列
第一列文本居中第二列文本居右第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:

TYPEASCIIHTML
Single backticks'Isn't this fun?'‘Isn’t this fun?’
Quotes"Isn't this fun?"“Isn’t this fun?”
Dashes-- is en-dash, --- is em-dash– is en-dash, — is em-dash

创建一个自定义列表

Markdown
Text-to- HTML conversion tool
Authors
John
Luke

如何创建一个注脚

一个具有注脚的文本。2

注释也是必不可少的

Markdown将文本转换为 HTML

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 Γ ( n ) = ( n − 1 ) ! ∀ n ∈ N \Gamma(n) = (n-1)!\quad\forall n\in\mathbb N Γ(n)=(n1)!nN 是通过欧拉积分

Γ ( z ) = ∫ 0 ∞ t z − 1 e − t d t   . \Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,. Γ(z)=0tz1etdt.

你可以找到更多关于的信息 LaTeX 数学表达式here.

新的甘特图功能,丰富你的文章

Mon 06 Mon 13 Mon 20 已完成 进行中 计划一 计划二 现有任务 Adding GANTT diagram functionality to mermaid
  • 关于 甘特图 语法,参考 这儿,

UML 图表

可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图::

张三 李四 王五 你好!李四, 最近怎么样? 你最近怎么样,王五? 我很好,谢谢! 我很好,谢谢! 李四想了很长时间, 文字太长了 不适合放在一行. 打量着王五... 很好... 王五, 你怎么样? 张三 李四 王五

这将产生一个流程图。:

链接
长方形
圆角长方形
菱形
  • 关于 Mermaid 语法,参考 这儿,

FLowchart流程图

我们依旧会支持flowchart的流程图:

Created with Raphaël 2.2.0 开始 我的操作 确认? 结束 yes no
  • 关于 Flowchart流程图 语法,参考 这儿.

导出与导入

导出

如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ,生成一个.md文件或者.html文件进行本地保存。

导入

如果你想加载一篇你写过的.md文件或者.html文件,在上方工具栏可以选择导入功能进行对应扩展名的文件导入,
继续你的创作。

  1. mermaid语法说明 ↩︎

  2. 注脚的解释 ↩︎

your_blue_sky
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux防火墙
Moshizhu的博客
05-01 647
系列文章目录 提示:这可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、iptables防火墙Linux过滤防火墙概述四五链规则链之间的匹配顺序:小结二、使用步骤1.引入库2.读入数据总结 前言 防火墙可以分为硬件防火墙和软件防火墙 硬件防火墙 例如华为E9000 ,有专门的操控界面,按要求操作 软件防火墙 例如 iptable
Linux系统防火墙的简单使用
最新发布
qq_39688441的博客
01-30 748
买了云服务器呢,当然绕不过防火墙喽。这我的云服务器买的CentOS 7.9 操作系统的,默认是有防火墙,咱就先来看看怎么用吧。
Linux防火墙基本使用
anluo233的博客
10-12 248
4.动态设置防火墙,将http加入公开的防火墙(这种方法下次重启还是会失效):firewall-cmd --zone=public --add-service=http。静态设置防火墙(永久方式):firewall-cmd --zone=public --add-serice=http --permanent。3.查看防火墙的公开状态名单:firewall-cmd --zone=public --list-all。2.查看防火墙状态:firewall-cmd --get-default-zone。
linux防火墙(firewalld和iptables
肥猫警长的博客
11-01 5289
写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网)及端口 及服务3.1.3其它
Linux 防火墙操作(CentOS)
JiaShun.Li的博客
11-21 2021
相信各位小伙伴在部署环境时经常需要操作Linux防火墙;一是自己做个记录,二是有需要的朋友也可以用到。一般修改防火墙配置后需要重启防火墙。这整理了一些防火墙的常用操作; 以下操作都是在Cent OS 7.6 版本上操作的,请注意自己的操作系统版本,可能会有些不太一样。
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2380
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
Linux防火墙firewall的使用
ck784101777的博客
07-10 2万+
使用软件:firewall 作用: 隔离 众多的策略,允许出站,严格控制入站 firewalld服务基础 • 系统服务:firewalld • 管理工具:firewall-cmd(命令)、firewall-config(图形化界面) 一、四个基本区域 根据所在的网络场所区分,预设保护规则集 – public:仅允许访问本机的ssh dhcp ping服务 – trusted:允许任...
linux防火墙(firewalld)简单使用
随便写写
10-08 1767
firewalld Linux下有几种方式对网卡上的流量进行过滤,一种是firewalld,一种是iptables。 firewalld是防火墙,可以设置可信任的网络链接可网卡,支持IPv4和IPv6,支持动态的添加规则。 iptables不仅仅可以当作防火墙使用,它可以对流量设置各种各样的规则,比如端口转发、开放端口等,比firewalld更为强大。 下面就简单记录下firewalld的使用方式。 1. 开启服务 firewalld一般是Linux下的自带服务,可以通过systemctl启动。 首先查
linux防火墙配置详解之(iptables
热门推荐
m493096871的博客
12-09 5万+
iptables 防火墙中有三张(iptables) 名称分别是 filter   包含      input  forward    output     nat (net address transfer) 地址转换 包含       input  prerouting  postouting output mangle 包含   input prerouting  forward   ...
Linux服务器防火墙Iptables命令使用详解
han156的博客
11-05 3万+
iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用PREROUTING,也可以满足要求,但是如果用户的要求是让服务器提供转发功能,添加到PREROUTING链中,"转发"功能也将
[ linux ] 工作中常用的防火墙操作
qq_51577576的博客
12-05 795
linux防火墙操作
iptables防火墙开放、关闭某端口
liujing666888的专栏
12-11 8949
开放某端口:iptables -I INPUT -p tcp --dport 80 -j ACCEPT 关闭某端口 : iptables -D INPUT -p tcp --dport 80 -j ACCEPT 屏蔽某个IP请求 : iptables -I INPUT -s 192.168.0.1 -j DROP (屏蔽单个IP192.168.0.1) 屏蔽IP请求 : iptables
Linux防火墙(firewalld)使用方法
weixin_51697917的博客
11-06 8768
防火墙服务操作: 启动防火墙# systemctl start firewalld 关闭防火墙# systemctl stop firewalld 重启防火墙# systemctl restart firewalld 查看防火墙状态# systemctl status firewalld 设置防火墙开机启动# systemctl enable firewalld 关闭防火墙开机启动# systemctl disable firewalld 常用命令(加--permanent参数才会写入配置文
Linux防火墙:全面学习与资源汇总
Linux防火墙Linux系统中一个关键的安全组件,它在保护系统免受未经授权的网络访问方面发挥着重要作用。在Linux环境中,防火墙通常被用来设置规则,控制进出系统的网络流量,以确保系统的隐私、稳定性和安全性。本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值