Firewall和Iptables

已于 2024-05-29 15:09:33 修改
阅读量635 收藏 10
点赞数 23
文章标签: 网络 服务器 运维
于 2024-05-29 15:09:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61468858/article/details/139296438
版权

防火墙

防火墙种类

软件防火墙:软件技术实现对数据包的过滤(iptables Firewall)

硬件防火墙:使用硬件设备对数据包过滤

使用软件防火墙Iptables/Firewall与linux操作系统内核中的netfilter系统内核模块交互,实现数据包的过滤

防火墙的类型

主机型防火墙:保护自己本机应用

网络型防火墙:保护其他服务器甚至服务器集群的应用安全

Firewall防火墙工具

四个区域

public(默认区域)

默认区域,仅允许部分服务通过

trusted

无条件信任区域

block

明确拒绝,并返回报文

drop

拒绝,直接丢弃,不返回报文

Iptables的四表五链

iptables的四表

①Filter表
iptables的默认表,用于对数据包过滤

包含三链:INPUT OUTPUT FORWARD

INPUT:入站链,配置入站规则(允许和拒绝)

OUTPUT:出站链,配置出站规则

FORWARD:流量转发链(防火墙把外部流量转发到集群内)

②NAT表
网络地址转换,包括源(SNAT)目的(DNAT)的地址转换和端口映射

包含三链:PREROUTING POSTROUTING OUTPUT

PREROUTING:客户端目标地址转换链。在容器中使用较多,把客户端的请求发送到主机上的对应端口,再通过主机端口与容器内部端口映射转发到容器内部

POSTROUTING:公司内部网络访问互联网时使用到的链,一般使用NAT转换,把私网地址转换成公网达到外部通信的效果,外部公网访问内部网络也通过NAT转换,把公网地址转换成企业内部的一个私网地址以后实现网络通信

③Mangle表
修改经过的数据包标志位,调整TTL值,设置Qos服务质量等,进行策略路由(选择使用网卡来进行数据的收发)等

包含五链:PREROUTING FORWARD POSTROUTING INPUT

④Raw表
配置数据包的早期处理,防止数据包洪水攻击,状态跟踪表,用于跟踪数据包

两条链:OUTPUT PREROUTING

iptables的五链

  1. INPUT
    • 用于处理进入本机的数据包。
  2. OUTPUT
    • 用于处理从本机发出的数据包。
  3. FORWARD
    • 用于处理经过本机但目的地不是本机的数据包(路由功能)。
  4. PREROUTING
    • 在NAT表中,用于处理到达本机、在路由决策之前的数据包。
  5. POSTROUTING
    • 在NAT表中,用于处理从本机发出、在发送到网络之前的数据包。

Iptables命令

格式

iptables [-t 表名] [-A/-I添加方式]链名[-p协议] [-s,-d源和目标地址] [--sport --dport源目标端口] [-j操作]

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

选项

-t table(表名) #不指定,默认为filter表

-A/-I 追加到表尾和插入到表头 #有上到下优先匹配,匹配到就停止

-p 协议 tcp/udp

查看Iptables列表

iptables -L		#以文字形式显示
iptables -nL	#以数字形式显示

准备两台主机

ip地址主机名
192.168.113.254docker
192.168.113.253ansible
[root@docker ~]# ping -c3 192.168.113.253
PING 192.168.113.253 (192.168.113.253) 56(84) bytes of data.
64 bytes from 192.168.113.253: icmp_seq=1 ttl=64 time=0.299 ms
64 bytes from 192.168.113.253: icmp_seq=2 ttl=64 time=0.239 ms
64 bytes from 192.168.113.253: icmp_seq=3 ttl=64 time=0.209 ms

修改Iptables规则,使得两台主机无法通信

首先安装iptables
yum install -y iptables-services.x86_64
启动iptables服务
systemctl start iptables.service
在ansible主机(253)上修改Iptables入站规则,拒绝接收docker(254)的icmp报文
iptables -t filter -I INPUT -p icmp -s 192.168.113.254 -d 192.168.113.253 -j REJECT
检查
[root@ansible ~]# iptables -nL  --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     1    --  192.168.113.254      192.168.113.253      reject-with icmp-port-unreachable
再次ping主机(253)发现无法ping通
[root@docker ~]# ping -c3 192.168.113.253
PING 192.168.113.253 (192.168.113.253) 56(84) bytes of data.
From 192.168.113.253 icmp_seq=1 Destination Port Unreachable
From 192.168.113.253 icmp_seq=2 Destination Port Unreachable
From 192.168.113.253 icmp_seq=3 Destination Port Unreachable

删除规则

先查看规则在第几行
[root@ansible ~]# iptables -nL  --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     1    --  192.168.113.254      192.168.113.253      reject-with icmp-port-unreachable
删除第一条规则
[root@ansible ~]# iptables -t filter -D INPUT 1
[root@ansible ~]# iptables -nL  --line-number
清空所有规则
iptables -t filter -F

修改Iptables默认规则

#先添加一下22端口放行,以免远程连接断开
iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT

iptables -t filter -P INPUT  DROP
检查(发现默认策略已经变为DROP状态)
[root@docker ~]# iptables -t filter -nL
Chain INPUT (policy DROP)
浮沉╮┊600
关注
  • 23
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptablesfirewall的区别
04-29
iptablesfirewall的区别
centos7 关闭firewall安装iptables并配置
10-13
centos7默认安装了firewall.如果不需要这个,可以把这个关闭,并且把iptables给装上去,并且把相关平常使用比较多的端口进行配置
同时开启firewalliptables
NetRookieX的博客
02-19 3225
使用向导 With the iptables service, every single change means flushing all the old rules and reading all the new rules from /etc/sysconfig/iptables, while with firewalld there is no recreating of all the...
Linux中的火墙:firewalliptables
dddxxy的博客
06-05 3597
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所...
Linux防火墙FirewallIptables的使用
haizeiCSDN_java的博客
02-21 254
Linux中有两种防火墙软件,CentOS7.0以上使用的是firewall,CentOS7.0以下使用的是iptables Firewall 开启防火墙(两种都可以): systemctl start firewalld service firewalld start 关闭防火墙(两种都可以): systemctl stop firewalld service firewalld stop 查看防火墙状态(两种都可以): systemctl status firewalld service firew
Linux操作系统中firewalliptables介绍
liitdar的博客
07-02 4033
在RHEL 7系统中,firewall取代了iptables。其实从本文中firewall的架构图中能够看到,在service层面,两者是平级的,不过firewall却还是调用了iptables的command,去执行内核的netfilter(如3.2节描述的那样),所以才有人说firewall是CentOS 7下管理iptables的新命令。
firewalliptables对比介绍
爱情码头的博客
03-13 1万+
firewall1、Introduction 在具体介绍zone之前介绍几个相关的名词,因为如果不理解这几个名词zone就无从入手。target:默认行为,有四个可选值:default、ACCEPT、%%REJECT%%、DROP,如果不设置默认为defaultservice:这个在前面学生已经给大家解释过了,他表示一个服务port:端口,使用port可以不通过service而直接对端口进行设置i...
Linux关闭防火墙firewalliptables命令
红烧柯基的博客
06-21 1万+
每次都记不住关闭防火墙命令,特在此记录下! 1:查看防火状态 systemctl status firewalld service iptablesstatus 2:暂时关闭防火墙 systemctl stop firewalld service iptablesstop 3:永久关闭防火墙 systemctl disable firewalld chkconfig iptables off 4:重启防火墙 systemctl enable firewalld service...
CentOS7中的firewalliptables
伏虎游侠的博客
08-26 1万+
https://www.cnblogs.com/yunman/p/7919096.html   CentOS中防火墙程序主要是firewalliptables,CentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-services来安装。        说明:以下演示均在CentOS7中进行,其他版本也大同小异 ...
Linux系统防火墙配置firewalliptables
千月落
03-31 8954
开放端口80 firewall-cmd --zone=public --add-port=80/tcp --permanent
Linux 防火墙 FirewallIptables 的使用
白白白鲤鱼的博客
06-12 352
Linux 防火墙 FirewallIptables 的使用
Linux之iptablesfirewall超详解
热门推荐
weixin_64051859的博客
07-31 2万+
Linux之iptablesfirewall超详解
iptables-firewall:iptables 规则生成和管理脚本
07-10
iptables 防火墙高机能iptables设定スクリプト。 ======================= PACKET FLOW EXAMPLE========================= config == ROLES=(SSH) SSH=(BLOCK_COUNTRY "file{1,2}|TRACK_PROWLER|DROP" LOCAL_COUNTRY...
mykubernetes#linux#firewalliptables1
07-25
1、 停止并禁用 firewalld 2、安装iptables-services、iptables-devel 3、启用并启动iptables 4、查看ipta
firewall:使用 iptables 在 Linux 中生成防火墙的 bash 脚本集。 基于
06-08
防火墙使用 iptables 在 Linux 上管理防火墙的脚本。... # ./firewall portscannersshguard 安装 sshguard 后,您可以向 iptables 添加规则。 这也将自动设置 sshguard 以在端口 22 上工作。您仍然需要打开端口 22
不出网上线CS的各种姿势(内网横向)
最新发布
qq_64395221的博客
06-21 923
在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行,但是目标主机并不会直接上线的,需要我们自己用链接命令(link <ip>)去连接它。经常是拿下一台边缘机器,其有多块网卡,用于连接内外网,内网机器都不出网。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。一样,建立pystinger连接之后,直接生成payload在业务主机执行,业务内网主机192.168.111.236即可成功上线。
Java——包
Stewie Lee的博客
06-21 838
包是Java命名空间机制的一部分,用于将相关的类、接口和子包进行分组,以避免命名冲突和提高代码的可维护性,以及控制类、接口等的访问范围。在一个Java源文件的开头使用package关键字来声明它所属的包。
Spring Boot如何集成WebSocket
fengjing81的专栏
06-21 439
在Spring Boot中集成WebSocket,你通常可以使用Spring框架提供的WebSocket支持,包括STOMP(Simple Text Orientated Messaging Protocol)和SockJS(用于浏览器和WebSocket服务器之间的通信的库,提供了多种传输方式)。在你的pom.xml(Maven)或build.gradle(Gradle)中添加Spring Boot的WebSocket和STOMP支持的相关依赖。配置WebSocket。// 显示接收到的消息。
掌握rpc、grpc并探究内在本质
m0_63230155的博客
06-18 1161
在go语言中自带了net/rpc包,在这个包中包含了对rpc的封装,可以理解为就是之前提到的与其中是go内部提供的一种默认的序列化方式。在前面的内容中给大家介绍了rpc的功能、案例以及go中net/rpc的实现,在目前的业界中项目的开发技术u运用越来越多,如多种语言的结合开发,多平台的结合开发。在这种情况下就会带来新的问题,如rpc如何设计可以很好的支持版本的迭代发展问题在各个项目中对于rpc的交互如何实现跨平台跨语言的问题针对普通rpc在通讯中存在的问题google提出grpc来解决。
Failed to start IPv4 firewall with iptables.
05-28
Description=IPv4 firewall with iptables After=syslog.target network.target [Service] Type=oneshot ExecStart=/usr/libexec/iptables/iptables.init start ExecStop=/usr/libexec/iptables/iptables.init stop...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值