iptables设置无状态和有状态防火墙学习总结

最新推荐文章于 2024-03-30 23:41:04 发布
最新推荐文章于 2024-03-30 23:41:04 发布
阅读量490 收藏 4
点赞数 1
分类专栏: 西南科技大学安全程序设计 文章标签: 学习 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52519229/article/details/131253228
版权

iptables设置无状态和有状态防火墙学习总结

一、一些概念

1、netfilter

netfilter:在Linux内核中的一个软件框架,用于管理网络数据包。不仅具有网络地址转换(NAT)的功能,也具备数据包内容修改、以及数据包过滤等防火墙功能。利用运作于用户空间的应用软件,如iptable等,来控制Netfilter,系统管理者可以管理通过Linux操作系统的各种网络数据包。
下面是netfilter的五个钩子函数(hook):
在这里插入图片描述

2、iptables

我们可以使用 netfilter 构建一个简单的防火墙(自己编写C语言代码),实际上,Linux 已经内置了防火墙,也是基于 netfilter 的。这个防火墙叫做 iptables。 从技术上讲,防火墙的内核部分实现称为 Xtables,而 iptables 是一个用于配置防火墙的用户空间程序。 但是,iptables 通常用于指代内核部分实现和用户空间程序。

3、表(table),链(chain),规则(rule)

在这里插入图片描述

每个表包含几个链,每个链对应一个 netfilter Hook(上面介绍netfilter给出的图中有对应的执行时机)。基本上,每个链都指定了规则在何处执行。例如,FORWARD 链上的规则在NF_INET_FORWARD 上执行,INPUT 链上的规则在 NF_INET_LOCAL IN 上执行。 每个链都包含一组将被强制执行的防火墙规则。当我们设置防火墙时,我们会向这些链添加规则。
注:
INPUT链处理进入主机的数据
OUTPUT链处理出主机的数据
FORWARD链处理本机转发的数据

关于不同规则的执行顺序参考以下文章:
链接: https://www.jianshu.com/p/15bd803e3bb8

二、使用iptables

1、iptables命令结构

#命令格式:
iptables -t <table>  -<operation> <chain> <rule> -j <target>

添加规则命令:iptables -t 表类型 -A chain名 规则内容,规则又分为三部分:匹配(match)、目标(target)、动作(action)。

#以下面命令举例
#1、-A INPUT 表示向INPUT链的末尾添加新规则
#2、-p icmp --icmp-type echo-request 表示匹配ICMP报文类型为"echo-request"的数据包(即ping请求)
#3、-j ACCEPT表示对匹配到的数据包采取"ACCEPT"动作,即允许其进入系统
#注:1、属于chain 2、属于rule中的match 3、属于目标(target),也可以说是动作(action)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

2、常见命令

# 列出 NAT 表中所有的规则(没有行数) 
iptables -t nat -L -n 
#列出 FILTER 表中所有的规则(有行数)
iptables -t filter -L -n --line-numbers
#删除 NAT 表中所有的规则【在 docker 环境中不能轻易使用这个命令】
Iptables -t nat -F
#删除 FILTER 表中 INPUT 链的第二条规则
iptables -t filter -D INPUT 2 
#在 FILTER 表的 INPUT 链中添加一条规则,匹配 TCP 协议且目标端口为22 的流量,并将匹配的流量丢弃(DROP)
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

3、无状态防火墙

1)、实验拓扑如下:

在这里插入图片描述

2)、设置规则以防止外部机器(10.9.0.0/24)访问路由器机器,ping 除外。

#允许入站 ICMP 回显请求(ping),即允许远程机器 ping 这台机器
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#允许出站 ICMP 回显响应(pong),即允许此机器响应远程机器的 ping 请求
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
#将 OUTPUT 链的默认策略设置为 DROP。这意味着任何不符合 OUTPUT 链中任何规则的数据包都将被丢弃或拒绝。
iptables -P OUTPUT DROP
#将 INPUT 链的默认策略设置为 DROP。这意味着任何不符合 INPUT 链中任何规则的数据包都将被丢弃或拒绝。
iptables -P INPUT DROP

3)、请你修改路由器的 iptables 配置,使得容器 10.9.0.5 不可以 ping192.168.60.0/24 网络内的机器,但是 192.168.60.0/24 网络内的机器可以 ping 容器 10.9.0.5

#-s 10.9.0.5表示源地址
#-d 192.168.60.0/24表示目标地址(这里为一个网段)
#-j DROP表示匹配到的数据包被丢弃
iptables -A FORWARD -s 10.9.0.5 -d 192.168.60.0/24 -p icmp --icmp-type echo-request -j DROP

4、有状态防火墙

1)连接跟踪(connection tracking)

Conntrack是Linux内核中的一个模块,用于跟踪网络连接状态并维护相应的连接信息。它可以在IP层和TCP/UDP层之间提供一个抽象接口,使得上层协议可以不必关注底层的细节,而直接使用连接状态。

#检查路由器容器上的连接跟踪信息可以用以下命令
conntrack -L
#为了实时输出信息,我们用 watch 命令来定期执行上面命令
watch -n1 conntrack -L
#可以使用以下命令清空记录
conntrack -D

2)有状态防火墙的四个状态

  • NEW(新连接):表示这是一个新建立的连接,尚未进行任何数据传输。

  • ESTABLISHED(已建立连接):表示连接已经建立成功,并且数据可以正常传输。

  • RELATED(相关连接):表示这个连接与另一个连接有关联,例如FTP数据传输时建立的控制连接。

  • INVALID(无效连接):表示这个连接状态不合法,很可能是由于防火墙或其他安全设备的干扰导致的。

3)任务

  • 外 网 (10.9.0.0/24) 只 能 telnet 192.168.60.5 , 不 能 telnet 其 他 内 网(192.168.60/24)机子
  • 内部主机可以访问所有内部服务器和外网的服务器。
#所有已连接和相关连接数据包都允许通行
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#-s 10.9.0.0/24 -d 192.168.60.5的新连接数据包通行
iptables -A FORWARD -s 10.9.0.0/24 -d 192.168.60.5 -p tcp --dport 23 -m conntrack --ctstate NEW -j ACCEPT
#不允许外网通过telnet访问192.168.60.0/24网段主机(由于上一条规则192.168.60.5除外)
iptables -A FORWARD -s 10.9.0.0/24 -d 192.168.60.0/24 -p tcp --dport 23 -m conntrack --ctstate NEW -j DROP

#所有已建立连接和已建立连接的关联连接允许通行,这个命令上面已经有了,可以不写,但是我将两点要求分开分析了,所以这里又写一遍
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#以下应该不用再解释了
iptables -A FORWARD -s 192.168.60.0/24 -d 10.9.0.0/24 -j ACCEPT
#这句代表所有的地址,不管内网外网均可连接
iptables -A FORWARD -s 192.168.60.0/24 -d 0.0.0.0/0 -j ACCEPT
#这句代表外网不能访问内网
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.60.0/24 -m conntrack --ctstate NEW -j DROP
hh哈哈hh
关注
专栏目录
状态检测防火墙
A soul tortured by desire
07-05 1169
防火墙原理、安全策略配置及优化注意事项
状态防火墙与无状态防火墙:深入理解网络安全的两大利器
网络技术联盟站
11-14 588
在这篇文章中,我们详细地探讨了有状态防火墙和无状态防火墙的工作原理、优缺点、适用场景、性能影响以及成本等方面。我们了解到,无状态防火墙由于其处理速度快和配置简单的特点,更适用于需要快速处理大量网络流量的场景,如小型办公网络、家庭网络等。而有状态防火墙则由于其可以提供更高级别的安全性和更强大的功能,更适用于需要高级别安全性的网络环境,如企业网络、政府机构等。然而,有状态防火墙的处理速度可能会慢一些,且配置通常比无状态防火墙更复杂。
iptables设置状态防火墙
不用此栏
02-27 1387
如果你是新手,请先看我写的《用iptables设置静太防火墙》 ,本文在此基础上写的,很多细节上的问题用它作参考。########################版权所有,转载请注明来自www.linuxsir.org 并写明作者########################在这里我必须要解释一下防火墙状态(state)比如,你用ssh远程访问,你的主机和远程主机会进行通信。静态的防火墙会这样
防火墙状态防火墙详解】
jsj18700625723的博客
03-28 5114
通常,防火墙可以保护内部/私有局域网免受外部攻击,并防止重要数据泄露。在没有防火墙的情况下,路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制,而防火墙不仅能够监控流量,还能够阻止未经授权的流量。
iptables--状态机制
香蕉一号
07-02 1516
iptables--状态机制1.概述2.conntrack记录3.用户空间的状态 1.概述 状态机制是 iptables 中特殊的一部分,其实它不应该叫状态机制,因为它只是一种连接跟踪机制。连接跟踪可以让 Netfilter 知道某个特定连接的状态。运行连接跟踪的防火墙称作带有状态机制的防火墙,以下简称为状态防火墙状态防火墙比非状态防火墙要安全,因为它允许我们编写更严密的规则。在 iptables 里,包是和被跟踪连接的四种不同状态有关的。它们是NEW,ESTABLISHED, RELATED 和INVA
状态防火墙与基于OVS流规则的防火墙(by quqi99)
技术并艺术着
09-19 6684
作者:张华 发表于:2014-08-19 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 理论部分 例:允许内网用户访问公网的web服务,如果采用包过滤的无状态防火墙技术的话,应该是: 序号 动作 源地址 源端口 目标地址 目标端口 方向 1 允许 ...
redhat linux防火墙状态,RedHat Linuxiptables防火墙设置
weixin_33514582的博客
05-12 1633
一般情况下iptables已经包含在Linux发行版中.运行#iptables --version来查看系统是否安装iptables启动iptables:#service iptables start查看iptables规则集#iptables --list下面是没有定义规划时iptables的样子:Chain INPUT (policy ACCEPT)target prot opt ...
linux防火墙iptables规则的查看、添加、删除和修改方法总结
09-15
本文介绍了如何对linux防火墙iptables规则进行查看、添加、删除和修改的操作,大家可以参考一下
Shell监控iptables运行状态
01-20
最近在调试服务器的iptables,自己做了个定时关iptables,但晚上回家很少开电脑,所以就没法去启动iptables,当然你可能会说,为什么不取消定时关闭iptables,我只能说个人的环境不一样,需求也就不一样. 脚本内容: 代码...
阿里云Centos配置iptables防火墙教程
01-20
虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的规则 一、检查iptables服务状态 首先检查iptables服务的...
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
### 一键配置CentOS iptables防火墙Shell脚本解析 #### 概述 本文将详细介绍一个用于一键配置CentOS系统中的iptables防火墙的Shell脚本。该脚本可以帮助用户简化新装系统的iptables配置过程,使其更加高效且易于...
状态防火墙和无状态防火墙到底有啥区别?
最新发布
网络技术联盟站
03-30 948
状态防火墙和无状态防火墙各有优缺点,适用于不同的网络环境和安全需求。有状态防火墙在提供更精细的安全控制和智能过滤方面具有优势,但可能会消耗更多的系统资源;而无状态防火墙则更加简单快速,适用于对性能要求较高、但安全需求相对简单的场景。在选择防火墙时,需要根据实际需求和网络环境来综合考虑各方面的因素。
什么是防火墙状态防火墙的工作原理。
weixin_65621133的博客
03-17 1030
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
初识防火墙
lin152235的博客
09-06 787
防火墙 是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。
什么是防火墙以及状态防火墙的工作原理
weixin_64311421的博客
03-16 813
防火墙的一些知识
防火墙概述(1)
qq_41819426的博客
03-28 1069
防火墙概述 防火墙网络上用于防御攻击和破坏的一种策略(或者说设备) 即放行正常流量,阻塞有害流量 防火墙的演变有如下三个阶段: 包过滤 在早期对于网络中存在的攻击和破坏现象,网络采用基于ACL的包过滤策略进行防御 这怎么理解呢? 也就是说,对于内外网的流量,我们的路由器对于每一个包中的流量都进行检测,如果发现了某些具有攻击倾向的数据包,再通过ACL去将这些IP进行封禁,达到防御的目的。 缺点: 1.对每个流量包进行过滤,效率低下。 2.这种防御非常被动,且在有大量流量的情况下的效果并不理想。 3.由于A
linux 防火墙配置失效,linux iptables 防火墙设置
weixin_31082779的博客
05-13 1339
可以通UI 启动防火墙run setup start firwall1.启动指令:service iptables start2.重启指令:service iptables restart3.关闭指令:service iptables stop开启:chkconfig iptables on关闭:chkconfig iptables off即时生效,重启后失效:开启:service iptable...
防火墙的基础知识——第一天
lml_0916的博客
09-08 1351
防火墙只要是借助硬件和软件的作用与内部和外部网络的环境间产生的一种保护的屏障,从而实现对计算机不安全网络因素的阻断。防火墙组织或隔离威胁计算机的东风西进入到内部,并由一个通过的路口对多进入的东西进行放行并且排查而隔离的就是非授权用户在区域间的;排查过滤的是对受保护网络有害的流量或者数据包的设备;并且防火墙向路由器一样具有基本的连通性。就好比古代的城墙一样,将我的国家领土围起来,只开一个门,并且我这个门还需要守卫进行把关。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值