Linux下的防火墙(firewalld和iptables,地址伪装,地址转发)

最新推荐文章于 2024-09-29 16:48:22 发布
最新推荐文章于 2024-09-29 16:48:22 发布
阅读量1.3k 收藏 13
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ranrancc_/article/details/99685479
版权

文章目录

一、防火墙的基本知识

1、防火墙的定义

  • 防火墙,也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网,防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障,它按照系统管理员预先定义好的规则来控制数据包的进出,防火墙是系统的第一道防线,主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,其作用是防止非法用户的进入。保障内网的安全性、保证内外网之间数据的流通性。
  • 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术,防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信,也就是说,如果没有防火墙,内网和外网之间就没办法进行交流。

2、防火墙的分类

  • 防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙。
  • 从结构上来分,防火墙有两种:代理主机结构和路由器+过滤器结构;内部网络过滤器(Filter)路由器(Router)Internet
  • 从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。

3、防火墙的工作机制(三表五链)

  • 链: 链就是位置,共有五个 : 数据包进路由之前(PREROUTING)、目的地址为本机,进系统(INPUT) 、转发(FORWARD)、原地址为本机,向外发送,出系统(OUTPUT)、发送到网卡之前,出路由(POSTROUTING); 数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。每个链都是一个规则列表,对对应的包进行匹配。
  • 表:具有相同功能的规则的集合叫做表。filter表:负责过滤功能,经过内核的; nat表:网络地址转换,不经过内核的 ,实现数据包转发,修改源地址 端口 目标地址 端口,实现地址转换;mangle表:拆解报文,作出修改,封装报文;raw表: 关闭nat表上启用的链接追踪机制。
  • 表链关系: 我们所有自定义的规则都是这四种分类中的规则,或者说,所有的规则都存在于这4张表中。
  • filter表格:放的是经过内核的ip input output forward
  • nat表格:放的不是经过内核的服务 input output postrouting prerouting
  • 备用表格mangle: input output forward postrouting prerouting

二、Firewalld的图形化管理和命令管理

1、firewalld中的区域

  • 通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流,例如,互联网是不可信任的区域,而内部网络是高度信任的区域,网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。
  • firewalld的默认区域是public
    在这里插入图片描述

2、 图形界面管理firewalld防火墙和命令管理

(1)打开firewalld,且开机自启动
systemctl start firewalld
systemctl enable firewalld
(2)firewall-config 输入这个命令,firewalld图形化管理

在这里插入图片描述

(3) firewall-cmd --state 查看防火墙的状态

在这里插入图片描述

(4)firewall-cmd --get-active-zones 查看正在使用的域在这里插入图片描述

(5)firewall-cmd --get-default-zones 查看系统默认使用的域

在这里插入图片描述

(6)firewall-cmd --get-zones 查看域在这里插入图片描述

(7)firewall-cmd --zone=public --list-all 列出公共域里面所有可以支持添加的服务

在这里插入图片描述

在这里插入图片描述

(8)firewall-cmd --get-services 列出所有的服务

在这里插入图片描述
(9)firewall-cmd --set-defaults-zone=dmz

最低0.47元/天 解锁文章
草莓啾啾啾
关注
专栏目录
玩转Linux系统之网络安全部署之防火墙地址伪装端口转发
Friendsofthewind的博客
04-30 558
防火墙IP伪装端口转发 网络上,通过服务器对外提供公司服务,出于安全性考虑,不把真实的ip地址告诉别人,用网关服务器伪装之后的地址,实现对外发布服务器的方式,就是网络地址转换。 Firewalld支持两种类型的网络地址转换, 默认在external接口自动做地址伪装;Trusted接口来的请求,在出口上不用做地址伪装就可以出去。 IP地址伪装(masquerade) 类似于路由器的pat 实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPv4,不支持IPv6 端口转发(Forward-po
linux软件防火墙--firewalld
热门推荐
景天科技苑
01-02 1万+
在CentOS 7之后有几种防火墙共存:firewalldiptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalldiptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
配置 firewall 防火墙地址伪装端口转发实例
chanbin9165的博客
09-01 740
网关服务器和网站服务器都采用centos 7操作系统;网关服务器安装3块千兆网卡,分别连接在Internet、企业内网、网站服务器。要求如下:网关服务器连接互联网卡ens33配置为公网IP地址,分配到firewall的external区域;连接内网网卡ens37地址为192.168.1.1,分配到firewall的trusted区域;连接服务器网卡ens38地址为192.168.2.1,分配到fi...
【计算机网络-第四章】网络层IP地址与硬件地址的区别
Ddds的博客
11-03 2216
1.网络层向上提供的服务有哪两种?试比较其优缺点。 对比的方面 虚电路服务 数据报服务 思路 可靠的通信应当由网络来保证 可靠通信应当由用户主机来保证 连接的建立 必须有 不需要 终点地址 仅在连接建立阶段使用,每个分组使用短的虚电路 每个分组都有终点的完整地址
如何伪装服务器地址
最新发布
KookeeyLena1的博客
09-29 1158
伪装服务器IP地址在保护隐私、安全以及绕过网络限制方面起到了关键作用。通过使用代理服务器、CDN、DNS策略、混淆技术、跳板机、IP漂移和NAT等手段,用户可以有效地隐藏服务器的真实位置,减少受到攻击或被追踪的风险。虽然每种方法都有其优缺点,选择合适的技术方案取决于具体的应用场景和安全需求。通过合理运用这些技术,服务器地址可以有效地被伪装,从而提高网络安全性和隐私保护水平。
Linuxiptables防火墙部署优化之路由转发地址伪装
fox_kang的博客
05-20 760
准备工作:​ 1.已知node2的主机名称为node2.timinglee.org其ip为192.168.0.200​ 2.已知node1的主机名为node1.timinglee.org,此主机为双网卡主机其IP为172.25.254.200和192.168.0.100,请在此主机中配置策略可以使node2主机访问外网。
Linux数据地址端口转发
weixin_34395205的博客
02-05 173
2019独角兽企业重金招聘Python工程师标准>>> ...
linux转发地址,回顾linux端口转发 转发过程感慨
weixin_39865102的博客
05-12 247
环境:A服务器: 网卡1:192.168.1.151 网卡2:10.10.69.10B服务器: 网卡1:10.10.69.41要求:访问192.168.1.151:1521 即访问 10.10.69.41:1521启用端口转发:echo 1 > /proc/sys/net/ipv4/ip_forward清空nat表iptables -t nat -F端口转发配置详解:1.模拟li...
Linux防火墙firewalldiptables
day day up
07-15 2665
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
Linux——Firewall防火墙firewalldiptables两种管理方式)_firewalld 旁路由 透明代理
2401_83620959的博客
05-05 1080
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux--防火墙{FirewalldIptables的关系,iptables四表五链,firewalld网络区域以及通过图形工具进行操作}
m0_47219942的博客
07-30 1482
Linux--防火墙{FirewalldIptables的关系,Firewalld配置方法,网络区域以及通过图形工具进行操作}前言一:FirewalldIptables概述1.1:Firewalld简介1.2:iptables简介二:FirewalldIptables的关系2.1:netfilter2.2:Firewalldiptables2.3:netfilter和Firewalldiptables关系2.4:Firewalldiptables的区别2:5:CentOS 6 和CentOS 7
linux地址映射
10-10
linux地址映射
Linux:iptables的基本命令以及地址伪装
Le_Anny的博客
06-14 4921
IPTABLES IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux...
iptables 伪装(Masquerading)
weixin_30256505的博客
07-13 326
「偽装」是一种特殊的SNAT操作:将来自其它电脑的包的来源位址改成自己的位址:请注意,由於入替的来源位址是自动決定的(执行SNAT的主机的IP位址)。所以,如果它改变了,仍在持续中的旧连線将会失效。「偽装」的主要用途是让多部使用private Ip的电脑(通常是透过DHCP动态取得)可以共用同一个public IP(固定或ISP动态分配)上网。 转载于:https://www.cnblogs.co...
伪装ip地址方法_Win7系统伪装ip地址的详细方法
weixin_39519798的博客
12-17 2969
 在大型场所使用电脑的时候,通常会用到局域网,我们可以在共享里面看到连接同一局域网内的所有电脑,但是有些用户不想被人看到,这时候就需要伪装ip地址。但是要如何进行操作呢?其实很简单,下面小编就给大家带来Win7系统伪装ip地址的详细方法。  详细如下:  1、右键点击屏幕右下角的网络连接图标打开“网络和共享中心”;  2、点击“更改适配器设置”;  3、右键点击“本地连接”打开“属性”;  4、打...
linuxiptables基本配置与地址伪装
chao199512的博客
06-14 5464
##################1.iptables简述###############################################iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防 火墙,这个框架的名字叫netfilter. IPTABLES 是与...
Linux网络转发和端口映射的笔记
李迟的专栏
10-20 8496
最近研究了一下Linux平台的网络IP转发和端口映射方面的东西,作了一点笔记。在学习时,查了很多资料,有的写的不是很清楚明白,而自己对这方面了解又不多,花的时间还是不少的。
iptables路由转发地址伪装的简单实现
weixin_33868027的博客
11-03 460
三台虚拟机模拟架设一个防火墙应用 一:在Vmware软件上建立3台虚拟机A、B、iptables,分别当做客户机A、架设防火墙的路由iptables、服务器B。 在路由iptables上配置增添一块网卡eth1,并且设置IP:1.2.3.4/16,eth0的IP 172.16.10.1/16 A的IP-1.2.3.5/16 B的IP—172.16.10.2/16 ...
黑客如何进行IP伪装
2401_84618514的博客
05-09 2365
在进行互联网访问时候,我们如果被查到IP访问记录,就能根据IP查到具体位置,如果从事非法事情就会被请去喝茶。那么IP是什么?为什么可以根据IP进行查找并且分析主机数据?IP是Internet Protocol(网际互连协议)的缩写,是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。
防火墙firewalldiptables的关系,防火墙关闭后,iptables还有效吗
06-09
防火墙firewalldiptables都是Linux系统中常见的防火墙,二者在功能上有所重叠,但是实现方式和管理方式有所不同。firewalld是一个动态的防火墙管理工具,它使用D-Bus和Netlink协议与内核交互,支持动态添加、删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值