day13防火墙

最新推荐文章于 2024-07-12 13:45:39 发布
最新推荐文章于 2024-07-12 13:45:39 发布
阅读量117 收藏
点赞数
分类专栏: 互联网架构 文章标签: 运维 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_1617271856/article/details/121131410
版权

day12防火墙

昨日内容复习

1、keepalived的作用是什么?
	在集群中生成VIP,主要用于高可用。
	
2、keepalived脑裂怎么解决?	
	通过keepalived自带的脚本执行功能,不停的检测代理的服务,如果不正常做对应的处理。
	
3、keepalived抢占式与非抢占式之间的区别
	抢占式是按照优先级分配VIP,非抢占式一旦得到VIP,就在改变了。非抢占式不会造成延时或者错误。

4、Nginx重定向的关键字
	rewrite [匹配内容] [从定向到的内容] [重定向规则];
	return [状态码] [重定向到的URL]

5、重定向的四种模式
    last		本条规则匹配完成后,停止匹配,不再匹配后面的规则
    break		本条规则匹配完成后,停止匹配,不再匹配后面的规则
    redirect	返回302临时重定向,地址栏会显示跳转后的地址
    permanent	返回301永久重定向,地址栏会显示跳转后的地址

1、什么是防火墙

1、什么是防火墙
	防止恶意流量访问的软件就叫做防火墙。
2、防火墙的种类
    软件防火墙
        firewalld、iptables

    硬件防火墙
        F5

    firewalld和iptables的区别?
        firewalld更简单
            firewalld底层操作的还是iptables。

   iptables更底层
       iptables底层操作是系统内核流量的走向。
       四表五链
3、什么是iptables       
	防火墙软件。
	#iptables注意事项
    1.匹配规则是从上往下一次执行的
    2.只要匹配上规则,就不会在往下执行
    3.如果都没有匹配到规则,就执行默认规则
    4.默认规则最后执行,默认允许所有
    5.经常使用的规则往前放
# 4、什么是包过滤防火墙
数据包。
过滤数据包的防火墙就是包过滤防火墙
    #四表:
    filter表——过滤数据包
    Nat表——用于网络地址转换(IP、端口)
    Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
    Raw表——决定数据包是否被状态跟踪机制处理
    #五链
    1) PREROUTING: 主机外报文进入位置,允许的表mangle, nat(目标地址转换,把本机地址转换为真正的目标机地址,通常指响应报文)#对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
    2) INPUT:报文进入本机用户空间位置,允许的表filter, mangle #进来的数据包应用此规则链中的策略
    3) OUTPUT:报文从本机用户空间出去的位置,允许filter, mangle, nat #外出的数据包应用此规则链中的策略
    4) FORWARD:报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去,允许filter, mangle#转发数据包时应用此规则链中的策略
    5) POSTROUTING:报文经过路由被转发出去,允许mangle,nat(源地址转换,把原始地址转换为转发主
    机出口网卡地址)#对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)
4、什么是规则
	防火墙规则右称之为防火墙策略,主要是描述执行什么防火墙功能的记录。

防火墙底层操作原理

在这里插入图片描述

网络流入流出转发流程图

在这里插入图片描述

总结:表的作用各有不同,链的位置各有不同。表中的链就是将表的功能放到链的具体位置去执行。

2、防火墙的增删改查

# 安装iptables服务端
[root@web01 ~]# yum install iptables-services -y
# 启动iptables
[root@web01 ~]# systemctl start iptables
# 防火墙表与链之间的关系
filter: 负责做过滤功能:INPUT、OUTPUT、FORWARD
nat: 	负责网络地址转换:PREROUTING、INPUT、OUTPUT、POSTROUTING
mangle: 负责修改数据包内容:PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
raw: 	负责数据包跟踪:PREROUTING、OUTPUT

filter: INPUT ------------------> FORWARD ---------------> OUTPUT
nat:	PREROUTING ----------> INPUT ----------> OUTPUT -----------> POSTROUTING
mangle: PREROUTING ---------> INPUT --------> FORWARD -------> OUTPUT --------> POSTROUTING
raw :   PREROUTING ---------> OUTPUT
---------------------------------------------------------------------------													input等
#格式    :iptables -t 表名 选项 链名称 条件 动作
# 查 
		[root@web01 ~]# iptables -L

		[root@web01 ~]# iptables -vnL

		[root@web01 ~]# iptables -vnL -t nat
		
#.查看防火墙规则序号 删除修改用得到
[root@lb01 ~]# iptables -nL --line-numbers
		
---------------------------------------------------------------------------
# 增加 :"链"的匹配规则是从上到下的,一旦匹配上了就无法在往下进行匹配了。

	# 追加 -A, --append 追加一条规则到链中
		
    # 插入 -I, --insert 插入一条规则,插入到顶部

	案例1:不允许访问本机
		iptables -t filter -A INPUT -p ALL -j DROP
	
	案例2:要求172.16.1.0可以访问web01,其他的请求全部拒绝
		#先让172.16.1.0这个网段可以访问
		iptables -t filter -A INPUT -p ALL -s 172.16.1.0/20 -j ACCEPT
		#在禁掉所有
		iptables -t filter -A INPUT -p ALL -j DROP

	案例3:要求在案例2的基础上,允许192.168.15.1可以访问?
		iptables -t filter -I INPUT -p ALL -s 192.168.15.1 -j ACCEPT

	案例4:只允许其他网络ping web01
	
		iptables -t filter -I INPUT -p ICMP  -j ACCEPT
	案例5:只允许自己ping web01
	
		iptables -t filter -I INPUT -p ICMP -s 192.168.15.7 -j ACCEPT
#修改	案例修改  修改需要指定表名称 链名称 序列号 后面改内容
	iptables -t filter -R INPUT 1 -p icmp -j DROP # 修改 规则

---------------------------------------------------------------------------

# 删
	-F, --flush 清空
	iptables -F  : 清除所有的防火墙规则
	iptables -t filter -D INPUT 1 删除需要指定表名称 链名称 序列号
---------------------------------------------------------------------------
#格式    :iptables -t 表名 (选项) 链名称 条件 动作
#####(选项) 增删改查
-t: 指定操作的表
-n, 禁止反向解析
-v, 显示数据包详情
-A, --append 追加一条规则到链中
-D, --delete 删除链中的规则
-I, --insert 插入一条规则,插入到顶部
-R, --replace 修改
-L, --list 列出当前的规则
-S, --list-rules 列出所有的规则
-F, --flush 清空
-Z, --zero 清空计数器( 包数量 、包大小)
-N, --new-chain 创建一个自定义 链
-X, --delete-chain 删除一个自定义链
-P, --policy 指定链的默认策略
#链名称 INPUT OUTPUT FORWARD  等
---------------------------------------------------------------------------
##条件匹配
-p  : 指定对应的管理流量类型
    TCP		:tcp协议
    UDP		:udp协议
    ICMP	: ping 
    ALL		: 所有协议
 -s 源地址 #谁访问
 -d 目标地址 #访问谁
 --sport 源端口 
 --dport 目标端口 
 
---------------------------------------------------------------------------    
##动作匹配
-i : 进来的网卡
-o : 出去的网卡
-m : 指定模块
-j : 转发模式
    ACCEPT 将数据包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链。(允许通过)
    REJECT 拦阻该数据包,并传送数据包通知对方。
    DROP 丢弃包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。(不允许通过)
    REDIRECT 将包重新导向到另一个端口,进行完此处理动作后,将会继续比对其它规则。

1、要求只有172.16.0.0网段的能够登录web01
	#设置开启172.16.0.0这个网段
	iptables -t filter -A INPUT -p ALL -s 172.16.0.0/20 -j ACCEPT
	#在设置所有禁用
	iptables -t filter -A INPUT -p ALL -j DROP
	
2、访问web01的8080端口转发至80端口
	iptables -t nat -A PREROUTING -p ALL --dport 8080 -j REDIRECT  --to-ports  80

迪迦张
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows操作系统进阶:防火墙基础和Windows Defender
m0_51456787的博客
07-31 2209
一、基本内容1、了解防火墙的基本内容2、掌握WindowsDefender图形化界面防火墙操作3、掌握WindowsDefender命令界面防火墙操作。
Android底层网络防火墙,Android系统中实现网络防火墙的方法
weixin_29663861的博客
05-26 595
防火墙顾名思义就是作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界点上。而网络防火墙是一个位于计算机与它所连接的网络之间的软件。所有网络通信在计算机里流入流出都要经过防火墙。而防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。重要的是防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木 马,也可以禁止来自特殊站点的访...
Linux学习14 防火墙技术(包含深度系统使用可视化配置工具)
编程圈子-谢厂节的博客
01-25 1599
Linux下的防火墙技术,iptables,netfilter,UFW等
linux系统---防火墙
zk584715834的博客
02-17 2113
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。简单理解为是筛选和过滤流量,对需要的流量进行放行,对不需要或者有威胁的流量进行拒绝由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包。
防火墙
yingqianmeng的博客
09-24 337
一、防火墙一 (一)概述 1.介绍 (1)netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” Netfilter是Linux操作系统核心层内部的一个数据包处理模块。 (2)iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux防火墙的“用户态” (3)注意 netfilter和iptables都可以...
Day2 防火墙介绍
SEIKI_的博客
11-09 2182
只能检测单一报文的IP TCP UDP不能在应用层进行分析 导致无法支持多通道协议 只能放行所有端口 存在安全风险。14.报文进行策略匹配时是按照switch语句的思路进行匹配(即只会在第一个匹配的策略时跳出)安全策略是按照一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。17.开启状态检测后,如果没有首包特征,哪怕报文符合条件也会被丢弃。逐包检测 同一个会话的所有报文都必须经过安全检测,效率低下 速度慢。5.区域内流量默认放行,使用指令可拒绝放行。现存的网络地址不需要重新规划。
Day 38 防火墙技术IPtables
xlv133922的博客
05-23 993
​ iptables其实并不是真正的防火墙,我们可以把他理解为一个客户端的代理,用户是通过iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙。这个框架叫做netfilter​ netfilter 内核态 位于内核空间​ iptables 用户态 位于用户空间注意:​ 企业环境内部服务器需关闭Linux自身防火墙;(解决安全问题尽量不给服务器配置外网IP.需要访问的话,就使用代理转发)因为高并发,iptables会加大延迟。
Day 39 防火墙技术Firewalld
xlv133922的博客
05-23 1031
​CentOS7中默认将原来的防火墙iptables升级为了firewalld,firewalld跟iptables比起来至少有两大好处;​firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效firewalld在使用上要比iptables人性化很多,即使不明白“四张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能​ 通过firewall-cmd工具,可以使用 --direct选项在运行时间里增加和删除链。
Day5防火墙双机热备
SEIKI_的博客
11-24 212
VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。1.VRRP的图示(虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决。2.传统的VRRP不能实现传统防火墙状态的一致性 可能是链路故障导致内网切换 外网未切换 组别状态不一致。7.通过两个防火墙之间的心跳线进行控制。
防火墙day04.pdf
01-25
笔记 PDF
day21、防火墙.pdf
01-30
day21、防火墙.pdf
0day检测工具2023
06-27
8. **集成防御**:与其他安全产品(如防火墙、入侵检测系统)协同工作,提供全方位的保护。 在文件名“day2023”中,可能包含了2023年关于0day攻击的相关数据、更新日志或者检测规则。这可能是工具的重要组成部分,...
0day-Exp包
05-13
对于企业或个人来说,预防0day攻击的最佳策略是保持软件的及时更新,安装最新的安全补丁,同时配合使用防火墙、入侵检测系统等多层次的安全防护措施。此外,了解和学习关于0day漏洞的知识,提升安全意识,也是非常...
强大的0day神器
05-01
最佳实践包括保持软件更新、安装最新的安全补丁、使用入侵检测系统(IDS)、入侵预防系统(IPS)以及防火墙,并提高用户的安全意识,避免点击不明链接或下载可疑附件。 5. **漏洞管理**:企业应实施严格的漏洞管理...
聊聊如何在内网下构建大模型微调环境
最新发布
python1234567_的博客
07-12 487
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
设备运维、教学直播...浅析远程控制在医疗专网环境下的应用
oray2013的专栏
07-11 322
随着跨院会诊的需求出现,安全高清的远程是为患者提供更加专业和全面的诊断意见的必要条件,医院内网下设备部署向日葵Q2Pro,同时为各类医院科室专家分配向日葵账号,当有远程诊疗需求发生时,医生仅需添加指定设备,即可在手机或电脑上发起远程操作,实时获取患者的检查数据,及时响应任何紧急情况。向日葵的远程系统采用了先进的RSA&AES非对称加密技术和安全协议,确保所有的数据传输都是安全的,其次使用控控接入医院内部的设备终端,使得控控上网,医院内部设备不联网,高度保障了医院内部的数据安全不被未授权访问。
昇腾环境下使用docker部署mindie-service
yuanlulu的博客
07-08 324
MindIE是基于昇腾硬件的运行加速、调试调优、快速迁移部署的高性能深度学习推理框架。它包含了MindIE-Service、MindIE-Torch和MindIE-RT等组件。我主要用MindIE-Service的功能,这个组件对标的是vllm这样的大语言推理框架。
Boost Security with SSH/SFTP Public
q2315702359的博客
07-08 1194
  SocketTools .NET Edition eliminates password vulnerabilities and simplifies access management for secure file transfers and server communication.  SocketTools .NET Edition by Catalyst Development Corp. is a development library designed to simplify adding
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第一篇 嵌入式Linux入门篇-第二十六章 安装超级终端软件
BeiJingXunWei的博客
07-11 373
USB 转串口,也叫‘U 转串’,可以把没有串口的电脑虚拟一个串口出来,这样就让电脑具备了串口的功能,从而可以使得开发板和 PC 之间通过串口通讯了。(这里需要提醒一下,用户插入的 USB 接口不一样,显示的端口号也会不一样,大家只需要关注‘USB 转串口’插入后,增加的那一个串口号,这个增加的串口号需要大家记住,在超级终端的设置中会用到。首先使用串口线连接到开发板的串口(红色箭头指的地方),串口线的另一端连接U转串口,然后连接到电脑usb口上,连接方式如图所示,图片上连接的串口是调试串口。
linux中查看防火墙状态
05-16
在Linux中,可以通过以下命令查看防火墙状态: 1. 查看iptables状态: ```bash sudo iptables -L ``` 如果返回以下信息,则说明iptables已经启用: ``` Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination ``` 2. 查看firewalld状态: ```bash sudo systemctl status firewalld ``` 如果返回以下信息,则说明firewalld已经启用: ``` ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2021-11-15 10:53:58 CST; 1 day 4h ago Docs: man:firewalld(1) Main PID: 1112 (firewalld) Tasks: 2 (limit: 26213) Memory: 18.5M CGroup: /system.slice/firewalld.service └─1112 /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid Nov 15 10:53:58 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon... Nov 15 10:53:58 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon. ``` 注意:上述命令需要在root权限下运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值