【网络安全】linux安全之iptables防火墙技术

已于 2022-07-29 13:57:06 修改
阅读量787 收藏 10
点赞数 2
分类专栏: 网络安全 文章标签: 安全 web安全 linux
于 2021-04-17 14:52:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41982304/article/details/115793659
版权

一、iptables防火墙工作原理

         规则表:

                     具有某一类相似用途的防火墙规则

                     规则表是规则链的集合

                     默认的4个规则表

                     raw表:确定是否对该数据包进行状态跟踪(用的不多)

                     mangle表:为数据包设置标记(用的不多)

                     nat表:修改数据包中源,目标IP地址或端口

                     filter表:确定是否放行该数据包(过滤)

         规则链:

                    根据处理时机不同,各种规则被组织在不同的链中

                     规则链是防火墙规则/策略的集合

                     默认的5个规则链

                     INPUT:处理入站的数据包

                    OUTPUT:处理出站的数据包

                     FORWARD:处理转发的数据包

                     POSTROUTING:在进行路由选择后处理数据包

                     PREROUTING:在进行路由选择前处理数据包

         处理规则:

                     规则表的优先顺序

                              依次为:raw、mangle、nat、filter

                     规则链间的匹配顺序

                              入站顺序:PREROUTIN、INPUT【主机防火墙会用到】

                              出站顺序:OUTPUT、POSTOUTING【主机防火墙会用到】

                              转发数据:PREROUTING、FORWARD、POSTROUTING【网关防火墙】

                     规则链内的匹配顺序

                              > 按顺序依次进行检查、找到匹配的规则即停止(log策略会有例外)

                              > 若在该链内找不到相匹配的规则、则按该链的默认策略处理

         主机型防火墙(单网卡)包处理过程

         网关型防火墙(双网卡)包处理过程 

                

二、iptables防火墙基本语法

            iptables命令的语法格式: 

                     iptables   [-t 表名/小写]      管理选项/大写    [链名/大写]    [匹配条件/小写]     [-j 目标动作或跳转/大写]

            几个注意事项: 

                     >   不指定表名时,默认表示filter表

                     >  不指定链名时,默认表示该表内所有链

                     >  必须要指定匹配条件(除非设置规则链的缺省策略)

            iptables的常见选项及条件:

          iptables的常见数据包处理方式:

          iptables命令示例:

# 在filter表中input链中指定tcp通过
iptables -t filter -A INPUT -p tcp -j ACCEPT

# 没有指定表,默认过滤表,在input链中增加策略udp通过
iptables -I INPUT -p udp -j ACCEPT

# 没有指定表,默认过滤表,在input链中第二条增加策略icmp通过
iptables -I INPUT 2 -p icmp -j ACCEPT

# 没有指定表,默认过滤表,在input链中默认策略丢弃
iptables -p INPUT DROP

# 没有指定表,默认过滤表,列出input所有策略条目  --line-numbers 策略前面带上序号
iptables -L INPUT --line-numbers

# 没有指定表,默认过滤表,删除input链中第二条策略 
iptables -D INPUT 2

# 没有指定表,默认过滤表,清除过滤表所有策略
iptables -F

# 清除nat表所有策略
iptables -t nat -F

三、iptables防火墙应用案例

         SNAT:

# 访问外部服务器将本机地址192.168.10.0/24转化为 202.100.10.1
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j SNAT --to-source 202.100.10.1
# 进行地址伪装
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ppp0 -j MASQUERADE

         DNAT:

# 对外部网关将202.100.10.1转化为192.168.10.2 【目标地址转换】
iptables -t nat -A PREROUTING -i eth2 -d 202.100.10.1 -p tcp -dport 80 -j DNAT --to-destination 192.168.10.2

iptables -t nat -A PREROUTING -i eth2 -d 202.100.10.1 -p tcp -dport 443 -j DNAT --to-destination 192.168.10.2

         SSH远程访问:

> 网关策略
iptables -t nat -A PREROUTING -i eth2 -d 202.100.10.1 -p tcp -dport 2222 -j DNAT  --to-destination 192.168.10.2:22

ssh远程登录:  ssh -p 2222 root@202.100.10.1



> web服务器策略
允许内网服务器ping通外网,禁止外网ping内网服务器
iptables -A INPUT -i eth0 -p icmp --icmp-type Echo-Request -j DROP
iptables -A INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT

         拒绝telnet登录:

iptables -t filter -I INPUT -p tcp  -dport 23 -j REJECT

          常用命令

iptables -nL INPUT --line-numbers

iptables -P INPUT DROP

iptables -P INPUT ACCEP

iptables -A INPUT -s 192.168.244.1 -j ACCEPT

没枕头我咋睡觉
关注
专栏目录
安全技术防火墙——iptables防火墙
zhou641694375的博客
08-29 1418
提示:这里可以添加本文要记录的大概内容:提示:以下是本篇文章正文内容,下面案例可供参考位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包iptables --version 查看版本查看命令的帮助(说明书)......
Linux系统安全iptables防火墙
最新发布
2301_77899321的博客
02-08 1830
iptables是一个Linux系统上的防火墙工具,它用于配置和管理网络数据包的过滤规则。它可以通过定义规则集来控制进出系统的网络数据流,从而提供网络安全保护。
iptables防火墙应用全分析
10-19
iptables防火墙应用全分析,可以参考看看
linux防火墙iptables原理及使用
weixin_30629653的博客
06-13 401
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“...
iptables实现网络防火墙(一)
Eumenides_s的博客
10-23 1199
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    关于防火墙的相关概念,我们在之前的文章中已经进行了相关的介绍,这里就不再重复。感兴趣的朋友可以移步    初识Linux防火墙    今天重点记录一下,如何使用iptables来搭建网络防火墙,实现控制访问。 实验环境准备    如果要实现网络防火墙,至少需要三台主机A,B,C,B用来搭建网络防
服务器安全iptables iptables
linuxlsq的博客
09-21 3497
服务器安全iptables 感谢老男孩老师为我们讲解iptables  优化之路 iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低
【第七章】iptables和firewall防火墙技术
dqforgive的博客
07-07 1323
四种方法配置网卡 1、编辑配置文件 [root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 TYPE=Ethernet BOOTPROTO=none DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=yes IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FAILURE_FATAL=no NAME=eno16777736 //网卡名
linuxiptables防火墙
TTSuzuka的博客
11-02 1109
iptables就是经常听说的电脑防火墙,主要是防止别人恶意访问。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
Linux iptables防火墙:构建安全网络策略
iptables防火墙Linux系统中用于网络访问控制的一种内核级防火墙机制,它是基于netfilter网络架构实现的,主要用于在网络层对数据包进行筛选和管理,以确保网络安全。"包过滤"技术的核心是检查数据包的五元组,包括...
防火墙简介(一)——iptables防火墙
想成功,靠自己
03-18 1912
@TOC 一、iptables防火墙 1、iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 2、netfilter 和 iptables ①、netfilter netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处
iptables防火墙
weixin_55609833的博客
05-24 982
iptables防火墙一、Linux防火墙基础1.1Linux防火墙的两种称呼1.1.1netfiler1.1.2iptables1.1.3netfilter/iptables关系1.2iptables概述1.3四表五链1.3.1 四表1.3.2五链1.4数据包到达防火墙时,规则表之间的优先顺序1.5规则链之间的匹配顺序1.5.1主机型防火墙:1.5.2网络型防火墙:1.5.3规则链内的匹配顺序1.6数据包过滤的匹配流程1.7iptables语法总结二、编写防火墙规则2.1 iptables的安装2.2 i
SNAT&DNAT策略
白雪滑落树梢
10-02 2778
文章目录前言一总结 前言 一 总结
Linux系统——iptables网络安全服务
u010547141的博客
12-06 443
Iptables网络安全服务 iptables哲学 使用iptables的最高境界,永远都不使用哲学 1) 不给外网IP。 2) 大并发场景不开Iptables,硬件防火墙。 网站访问效率,网站安全性,永远是相悖 部署安全要把基础网络都弄明白尤其是基础网络知识这块 网络安全基础学习条件: 基础知识:网络基础 osi,tcp/ip,http,icmp协议。 三次握手,四次断开,11...
iptables安全技术防火墙
manyulanlanlu的博客
07-25 283
流入本机:prerouting(看需不需要把外网地址转换成内部可以访问的地址,必须要直接到input链)→input链(让不让数据包进入本机,让它进就直接访问用户进程httpd服务)→用户进程(httpd服务)......请求访问......响应(响应就是输入要返回)→数据要返回用户。管理选项:(除了v,n都是大写)--line-numbers 规则带编号 例 iptables -t nat -L -n --line-number iptables -t nat -L --line-number。
iptables技术分享
weixin_34279061的博客
12-28 95
这里以一条iptabls的命令来分析Iptables的代码,该条规则尽量设计比较多的iptables的命令行参数。假设要下的规则为:iptabls –A INPUT –i eth0 –p tcp --syn –s 10.0.0.0/8 –d 10.1.28.184 –j ACCEPT该规则是将源地址段在10.0.0.0/8范围之内的主机发送的SYN包,接受的网口为eth0,且目的地址为10.1.2...
Linux 防火墙 iptables技术
weixin_55611415的博客
05-26 150
Linux 防火墙 iptables技术iptables概述四表五链匹配顺序及规则相关配置命令格式示例 iptables概述 Linux系统的防火墙实际上是由两个组件 netfilter 和 iptables 组成 主要工作在网络层,针对IP数据包。对包内的IP地址、端口等信息进行处理 netfilter 内核空间的防火墙功能体系 由数据报过滤表组成,表里有规则 iptables 用户空间的防火墙管理体系 一种命令程序(/sbin/iptables) 一般这两个统称为iptables 四表五链 iptabl
iptables 防火墙详解
热门推荐
shenyuanhaojie的博客
09-16 3万+
文章目录前言1. iptables 概述2. iptables 的表、链结构2.1 **ptables的四表五链结构介绍**2.1.1 **四表五链**2.1.2 **四表**2.1.3 **五链**2.2 **数据包过滤的匹配流程**(数据包到防火墙是)3. 编写防火墙规则3.1 iptabes 安装3.2 iptables 基本语法、数据包控制类型3.3 添加、查看、删除规则等基本操作3.3.1 iptables 命令的常用管理选项3.3.2 添加新的规则3.3.3 查看规则列表3.3.4 删除、清
iptables技术
xxoo00xx00的博客
11-27 602
为了最大效力的发挥iptables的能力这三个项目是; 1)psad:iptables日志分析程序,和积极回应工具 2)fwsnort:将snort规则转换成等价的iptables规则的脚本 3)fwknop:iptables的单数据包授权spa的一个实现IDS:网络入侵检测系统 IPS:网络入侵防御系统纵深防御纵深防御是军事上借用的一个原则,它通常指在计算机安全领域,它规定我们必须在任意系
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值