谈谈我对linux防火墙的理解

已于 2022-04-18 16:39:56 修改
阅读量947 收藏
点赞数
分类专栏: linux 文章标签: linux
于 2022-04-12 22:50:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32457341/article/details/124135915
版权

背景描述

最新在公司中接到了一个需求,需要我在linux上配置权限,需求如下:
(1)限制指定的ip访问我的机器;
(2)限制本机访问外部的ip信息(防止出现数据泄露);
主要是机器是我们组申请的,让其他人使用,禁止数据上传和下载的情况;

拿到这个需求,第一个想到的就是linux的防火墙;目前linux的防火墙主要是使用iptables和firewall;区别在于firewall是在redhat 7.0之后开始使用的;在拿到需求之后,首先试着使用firewall的方式,但是firewall无法满足需求(可能是自己没有研究透),firewall能够很好的阻止外部数据访问,但是对于由内向外的访问,无法做到很轻松容易,因此本篇文章主要是讲述iptables;

iptables介绍

本次文章主要是参考了以下的飞书文章:
https://firststory.feishu.cn/docs/doccnr9KMt9Ynbmv4oJIRWrh4vh

以下是对上述文章的一些理解:
(1)我们用iptables进行拦截,主要是拦截入站流量,出站流量和转发流量三种;
(2)iptables有5条规则链,分别是PREROUTING,INPUT,OUTPUT,FORWARD和POSTROUTING;

PREROUTING:路由选择前,路由选择前处理数据包;入站包及转发包都可以使用。
INPUT:路由选择后,目的地为本机,入站包才可以使用。
OUTPUT:本机产生的数据包对外转发,出站包才可以使用。
FORWARD:路由选择后,目的不为本机,转发包才可以使用。
POSTROUTING:离开本机网卡前,路由选择后处理数据包。所有数据包都可以使用,最后一步的处理,如SNAT,地址伪装。
在这里插入图片描述
当数据进来之后,会先经过prerouting,之后经过路由决策,判断是进行转发还是其他操作,如果是进行转发,跳入到forward进程,如果不是forward进程,此时会进入INPUT操作,INPUT操作会进行过滤操作;然后进入到自己的程序中,最后经过OUTPUT操作拦截过滤;再发往外部;
(3)对于INPUT和OUTPUT等拦截是采用链式结构的,即会进行一条一条的匹配,知道匹配完成位置;以INPUT为例,假设INPUT有5条规则,按照顺序一次是A,B,C,D,E;E为默认规则,流量进入INPUT,会依次匹配A,B,C,D,E规则,直至匹配完成位置;
(4)一般会设置一个默认规则,即所有规则都不匹配,则采用默认规则,在我们的案例中,对于INPUT,默认规则设置成屏蔽所有的INPUT流量;

iptables -P INPUT DROP

以下只是给了上述背景的解决办法;
#解决方案:
1.安装iptables和iptables-service;
2.清除之前的所有的权限(删除Filter表中所有的数据)

iptables -F

3.创建规则,设置related,established的规则,记住状态,对先前登录的不用过滤

iptables -A INPUT -p  tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

这里需要讲述,防火墙有两种,一种是每次访问都进行拦截,第二种是根据防火墙的状态进行拦截,上述的两个命令就是对于和之前建立的链接,以及相关的链接会直接放过;

4.配置指定ip的ssh的INPUT权限

iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT 
iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT

5.禁止INPUT其他所有ip为drop

iptables -P INPUT DROP

6.配置OUTPUT只能访问指定的ip

iptables -A OUTPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT

7.禁止OUTPUT其他所有的ip

iptables -P OUTPUT DROP

8.重新确认,没有问题将配置结果进行保存

iptables save

9.其他
针对iptables,还有一些常用的命令,具体如下:
查询当前配置的情况

iptables -vnL --line-number

在指定的位置插入:

iptables -I INPUT XXXX
iptables -I OUTPUT XXX
qq_32457341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谈谈我对docker的理解
09-30
作为一种新兴的虚拟化方式,Docker跟传统的虚拟化方式相比具有众多的优势。这篇文章给大家介绍了docker的优势及docker的三个基本概念,感兴趣的朋友一起看看吧
为什么开启防火墙后ssh不受影响
THMAIL的博客
03-28 2153
因为防火墙默认的public加了ssh这个服务了: firewalld除了指定开放端口外,还有个服务(service)的概念,可以用 firewall-cmd --zone=public --list-service 查看当前开启的服务,比如firewalld默认开启的有ssh服务,而ssh服务默认就是开启22端口,这样的好处就是把程序需要的端口用服务名称代替了,可以更好的去管理,服务开...
Linux防火墙详解
weixin_46971894的博客
03-27 2万+
防火墙介绍 inux防火墙主要工作在网络层,属于典型的包过滤防火墙。在RHEL中常用的有两种火墙工具iptables和firewalld,但软件本身其实并不具备防火墙功能,他们的作用都是在用户空间中管理和维护规则,只不过规则结构和使用方法不一样罢了,真正利用规则进行过滤是由内核netfilter完成的。 netfilter IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Lin
Linux系统安全防火墙篇之 IPTABLES
热门推荐
高飞的博客
12-15 31万+
防火墙的定义 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的...
linux防火墙配置
weixin_41038905的博客
03-08 4915
** 简介 ** 简单来说Netfilter管网络,selinux管本地。SELinux则可以理解为是作为Linux文件权限控制(即我们知道的rwx)的补充存在的 1、iptables是Linux下功能强大的应用层防火墙工具。iptables是用于设置防火墙,防范来自网络的入侵和实现网络地址转发、QoS等功能。说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个...
Linux——什么是防火墙防火墙的种类及各自的特点如何?
lmm0513的博客
04-23 2203
什么是防火墙? (1)防火墙是架设在不同信任级别的计算机网络之间的一种检测和控制设备 是一个控制和监测的瓶颈点(choke point),不同级别网络间的所有数据都必须经过检查,实现边界防护( perimeter defence ) 根据安全策略配置为允许、拒绝或代理数据的通过 必要时,提供NAT、VPN功能 防火墙的种类及各自的特点如何? (2)*安装是否使用专用设备划分,防火墙可分...
谈谈我对防火墙的认识.doc
11-18
谈谈我对防火墙的认识.doc
linux程序 设计 谈谈Linux理解
11-23
Linux是一个支持多用户多任务多进程实用性较好的功能强大而稳定的操作系统也是硬件平台支持最广泛的操作系统。Linux最大的特点在于GNU的一员遵循公共版权许可证(GPL)及开放源代码的原则使其成为发
谈谈我对Qt的理解.docx
11-27
。。。
Linux开启防火墙并开放在用端口
gyw1993的博客
08-30 766
linux开启防火墙并开放在用端口
Linux 防火墙的基本认识
学亮编程手记
08-15 347
Linux 防火墙的基本认识 2.1 Netfilter Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中 Netfilter 是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作 Netfilter官网文档:https://netfilte
linux系统防火墙访问服务器的影响
weixin_30656145的博客
07-13 519
一、刚部署好的linux服务器默认开启了防火墙,这时假如你在该服务器装一个tomcat并启动,在别的机器访问该tomcat是不成功的。需要关闭服务器防火墙才可以 二、service iptables status可以查看到iptables服务的当前状态。但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置 iptables -L在此说一下关于启动和关闭防火墙的命令:1) ...
Linux服务器 -- 防火墙
HH_beibei的博客
11-09 1688
防火墙是用来隔离内网与外网之间的设备,主要是防止不安全的数据访问内网,防止内网人员访问存在安全隐患的网站,控制不安全服务等作用。专业的分析,防火墙是位于两个或多个网络间,实施网络控制之间访问控制的一组组件集合。防火墙的本意是指古代使用木制房屋的时候,为了防止火灾的发生与蔓延,人们将坚硬的石块堆砌再房屋周围作为屏障,这种防护构筑物就被称为防火墙防火墙通过策略进行控制数据包的进出。
防火墙是什么?怎么理解
行云管家
01-06 3216
很多刚入行的运维小伙伴,不理解什么是防火墙,不了解防火墙和堡垒机的区别,今天我们小编就给大家简单说一下,让大家容易理解防火墙,以及防火墙和堡垒机的区别。 防火墙定义详细介绍 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网,它是一种位于内部网络与外部网络之间的网络安全防护系统,是一种隔离技术,允许或是限制传输的数据通过。 基于TCP/IP协议,主要分为主机型防火墙和网络型防火墙防火墙规则通常依据IP addresses、Domain
防火墙理解
qq_51563725的博客
09-08 1243
如果该报文时用于打开一个新的控制连接或数据连接,ASPF将动态的产生ServerMap表项, 对于回来的报文只有是属于一个已经存在的有效连接才会被允许通过防火墙。当-个连接被关闭或超时后,该连接对应的状态表将被删除,确保未经授权的报文不能穿过防火墙。硬件的防火墙主要保护我们的本地网络,软件防火墙主要功能是包过滤,而硬件防火墙中有可能还有除软件防火墙以外的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)以及VPN等,因此硬件防火墙比软件防火墙提供给用户更好的安全性,但是它的价格更高。
对于防火墙的个人理解
0xcc'Blog
06-20 1272
#0x00:防火墙目的 1.阻止外部访问内部 2.阻止内部访问外部 #0x01:阻截方法 部署在访问资源必经的链路上,对出入的数据包根据安全策略进行判定丢弃还是放行 #0x02:相关概念 实施安全策略的控制点 五元组:IP地址,源端口,目的IP地址,目的端口和传输层协议 ACL 访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝 NAT 网络...
Linux内容】Linux系统中的防火墙
weixin_42803444的博客
10-13 321
Linux内容】防火墙操作
谈谈你对Linux内核的理解
最新发布
05-31
Linux内核是操作系统的核心部分,它控制着计算机硬件的运行和资源的分配。它是一个开放源代码的内核,可以在各种硬件上运行,并且能够支持各种不同的操作系统。Linux内核具有很高的可定制性和可扩展性,可以根据用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值