iptables 实战
文章平均质量分 82
suyukangchen
这个作者很懒,什么都没留下…
展开
-
【iptables 实战】9 docker网络原理分析
在开始本章阅读之前,需要提前了解以下的知识。原创 2023-10-04 19:14:44 · 1199 阅读 · 0 评论 -
【iptables 实战】08 iptables 常用规则
说明:iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址。说明:“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包,“RELATED”表示与已建立的连接有相关性的,比如FTP数据连接等。说明:这个用法比较适合对设备进行远程管理时使用,比如位于分公司中的SQL服务器需要被总公司的管理员管理时。说明:“-m state”表示数据包的连接状态,“NEW”表示与任何连接无关的,新的嘛!原创 2023-10-04 09:09:14 · 210 阅读 · 0 评论 -
【iptables 实战】07 iptables NAT实验
在上一节中,我们将两个网段的机器,通过中间机器的网络转发,能达到互通。再来回顾一下这个网络连接的图上一节我们在防火墙实验中,设置了主机B的的转发规则,我们先清空主机B的转发规则这时候,A和C也是能够互通的。原创 2023-10-02 22:02:02 · 459 阅读 · 0 评论 -
【iptables 实战】06 iptables网络防火墙实验
如果想要iptables作为网络防火墙,iptables所在主机开启核心转发功能,以便能够转发报文。#使用如下命令查看当前主机是否已经开启了核心转发,0表示未开启,1表示已开启#使用如下两种方法均可临时开启核心转发,立即生效,但是重启网络配置后会失效。方法一:echo 1 > /proc/sys/net/ipv4/ip_forward方法二:sysctl -w net.ipv4.ip_forward=1#使用如下方法开启核心转发功能,重启网络服务后永久生效。原创 2023-10-02 21:57:42 · 1440 阅读 · 0 评论 -
【iptables 实战】05 iptables设置网络转发实验
同样的,机器C(10.1.0.10)想连机器A(192.168.56.104)也得设置一下路由。通过手动添加路由规则,将A与机器C(10.1.0.10)的报文,都通过网关B进行处理。机器B 两张网卡,分别的ip是192.168.56.106和10.1.0.11。机器A(192.168.56.104)ping 机器C(10.1.0.10)机器C(10.1.0.10)ping机器A(192.168.56.104)实验效果,通过机器B的转发功能,将机器A的报文转发到机器C。现在,A和C机器,就可以互通了。原创 2023-10-02 21:52:37 · 1571 阅读 · 0 评论 -
【iptables 实战】04 高级用法:iptables模块之state扩展
这个问题的本质,实际上是,我们只想主动连别人,别人不要主动连上我。我请求目标端口为80的报文,只通过80端口,你给我的响应报文,你只要通过自己的80端口想连上我,我通通拒绝!因此,如果黑客通过自己的80端口,想来连我,就会发起第一次握手,因此,如果我们能对这种连接报文拒绝,就能让他无法通过80端口来攻击我。假设我们内部的主机,想访问新闻网站,即访问其80端口。黑客源报文为80端口的话,可以连接我们的主机。TCP连接建立会经历三次握手,三次握手后,才开始正式的通信。于是,流程就变成了下面的效果。原创 2023-10-02 21:40:56 · 356 阅读 · 0 评论 -
【iptables 实战】03 自定义链
当前的机器IP为:10.1.0.10自定义链IN_WEB,拒绝指定源ip的报文定义INPUT规则,引用 IN_WEB规则可以看到IN_WEB链,这个时候references的数量为1了,表示有链在引用ping 10.1.0.10,可以看到,此时不通了使用”-X”选项可以删除自定义链,但是删除自定义链时,需要满足两个条件:1、自定义链没有被任何默认链引用,即自定义链的引用计数为0。2、自定义链中没有任何规则,即自定义链为空。原创 2023-10-02 21:37:09 · 357 阅读 · 0 评论 -
【iptables 实战】02 iptables常用命令
既将INPUT链的默认策略设置为了ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了”iptables -F”操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是ACCEPT。注意DROP规则是用的A,append,即在ACCEPT之后,添加一条规则。假设,我想要放行ssh远程连接相关的报文,也想要放行web服务相关的报文,那么,我们在INPUT链中添加如下规则。原创 2023-10-02 21:35:34 · 677 阅读 · 0 评论 -
【iptables 实战】01 iptables概念
我们知道,防火墙的作用就在于对经过的报文匹配”规则”,然后执行对应的”动作”,所以,当报文经过这些关卡的时候,则必须匹配这个关卡上的规则,但是,这个关卡上可能不止有一条规则,而是有很多条规则,当我们把这些规则串到一个链条上的时候,就形成了”链”,所以,我们把每一个”关卡”想象成如下图中的模样 ,这样来说,把他们称为”链”更为合适,每个经过这个”关卡”的报文,都要将这条”链”上的所有规则匹配一遍,如果有符合条件的规则,则执行规则对应的动作。这是后话,后面再聊,在实际使用时我们即可更加的明白。原创 2023-10-02 21:30:12 · 273 阅读 · 0 评论