iptables火墙

最新推荐文章于 2021-06-04 20:45:05 发布
最新推荐文章于 2021-06-04 20:45:05 发布
阅读量637 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012410724/article/details/38493651
版权

网络防火墙

   netfilter: 过滤框架

   iptables:数据报文过滤,NAT mangle等规则生成的工具


网络:IP报文首部  TCP报文首部

防火墙:框架(Frame)

规则(匹配标准  处理办法)

        工作在主机或者网络边缘(对于进出报文进行检查监控,并根据定义好的规则标准,并对其进行处理)

默认规则;   (开放):堵  

     关闭:通行证才可进,一般拒绝所有,开放一部分

规则:匹配标准

   IP:源IP  目的IP

   TCP:源端口 SPORT,目标端口DPORT,  ( SYN=1,FIN=0,RST=0,ACK=0 TCP第一次握手)   (SYN=1,ACK=1,Fin=0,RST=0第二次)  

   UDP:SPORT   DPORT

   ICMP:  icmp-type

数据报文过滤:

linux内核有网络功能,所以规则要运行在内核才可以。   在内核中TCP/IP内核模块(TCP/ip协议栈),选了几个位置,app可以控制这几个位置,所以规则就可以通过app直接写入内核。

        iptables/netfiter  (netfiter工作在内核,所以它起关键作用)  (iptables应用程序,相当于说的app,写到netfiter)

报文走法(3种,所以它要经过这三个位置,前面提到的位置,通过路由决策(进入本机网卡到TCP/IP协议栈判断)走哪个位置):

1.报文从外来到达本机

2.本机报文到外部

        3.转发的报文

     (实施特殊----地址转换)

        4.路由处理之前

5.路由决策之后,在报文要从网卡离开本机,马上转发出去

源地址是1.1.1.1请求放问本机172.16.100.7全部拒绝 (写入进位置,即为1情况)


hook function: 钩子函数

prerouting

input

output

forward

postrouting


规则链:PREROUTING

INPUT

OUTPUT

FORWARD

POSTROUTING


filter(过滤)

INPUT

OUTPUT

FORWARD

nat(地址转换)

PREROUTING

POSTOUTING



自上而下依次检查策略


netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。

4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。

filter:一般的过滤功能

nat:用于nat功能(端口映射,地址映射等)

mangle:用于对特定数据包的修改

raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能

5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机

FORWARDING:通过路由表后,目的地不为本机

OUTPUT:由本机产生,向外转发

POSTROUTIONG:发送到网卡接口之前。如下图:

iptables中表和链的对应关系如下:








耿姣florida
关注
专栏目录
iptables火墙策略读取的先后顺序 + 引入数据包状态
ly_qiu的博客
06-30 751
实验环境 本实验使用了两台虚拟机,workstation(添加策略) + rhel8(进行访问测试) dnf install httpd -y进行安装后,打开服务 此时ssh可访问,apache也可以 测试步骤 1)设置apache可被访问,iptables不可以 iptables -A INPUT -p tcp --dport 80 -j ACCEPT 设置httpd可以 iptables -A -i lo -j ACCEPT 设置回环接口允许,即本地可访问 此时80接口是允许的,回环接口
火墙管理工具iptables ---iptables的用法、火墙策略的修改
Rengar_Yang的博客
08-23 322
一、常见的两种火墙 iptables火墙iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加载后进行手动加载防火墙的模块。 firewalld防
iptables火墙服务
llllyr的博客
08-19 176
文章目录1.iptables火墙服务1.1 iptables服务的启动1.2 iptables 常用参数1.3iptables服务策略1.4 iptables火墙的伪装与端口转发功能2. 管理SELinux端口标签 1.iptables火墙服务 1.1 iptables服务的启动 yum list iptables-services systemctl stop firewald systemct...
linux下的iptables火墙的管理
dandan
06-12 172
1.iptables火墙的基本命令 systemctl stop firewalld systemctl disable firewalld systemctl start iptables systemctl enable iptables iptables -nL 查看iptables的规则信息 iptables -F ...
iptables火墙管理
fangyuan1997的博客
11-18 140
三张五条链 三张分别为:filter,nat,mangle 五条链分别为:input,output,forward,postrouting,prerouting filter:该格是经过内核 input(处理进入的包) forward(处理通过的包) output(处理本地生成的包) nat:该格不经过内核 input,prerouting(处理输入的包,做目的地地址转换nat),pos...
iptables火墙策略的基本使用
thermal_life的博客
03-21 349
1.火墙介绍 1.netfilter介绍 Netfilter时新一代的Linux防火墙机制,是linux内核的一个子系统。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、处理等操作。他是一种格。 2.iptables    往 netfilter 中写内容的工具 ...
【linux进阶9】linux中的iptables火墙优化策略
weixin_48819467的博客
06-04 706
linux中的iptables火墙优化策略 实验环境 单网卡 单网卡的网关设定为双网卡的14网段,便于获取数据 双网卡 双网卡中有个和单网卡处于172.25.14段的ip 一、基本命令 -o |指定输出网络设备 二、火墙的切换 firewalld----->iptables dnf install iptables-services.x86_64 --allowerasing systemctl disable firewalld.service systemctl mask firewalld
Linux系统中的iptables火墙管理及优化(iptables
weixin_43215948的博客
06-30 187
Linux系统中的火墙管理及优化(iptables和firewalld) 1.Firewalld概述 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网
linux系统的iptables火墙管理
qq_45425035的博客
08-20 125
需要知道: IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统 如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤中,而这些集成在 Linux 内核中 在数据...
火墙iptables
weixin_34129696的博客
11-14 75
iptables简介 IPTABLES 是与最新的 3.5 版本 Linux内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。其中包含三(filter,nat,mangle)...
iptables+firewalld火墙策略优化
tst8023ryq的博客
12-14 461
iptables+firewalld火墙策略优化1.火墙介绍2.火墙管理工具切换3. iptables 的使用4.火墙默认策略firewalld1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld的高级规则6.firewalld中的NAT 1.火墙介绍 2.火墙管理工具切换 3. iptables 的使用 4.火墙默认策略 firewalld 1 firewalld的开启 2.关于firewalld
火墙的管理——Firewalld、iptables
weixin_44821839的博客
05-09 146
####firewalld 应用#### ###图形改变### firewall-config Configuration:Runtime ##暂时 permanent##永久 Options: Relood Firewalld ##重启火墙 Sercices ##火墙允许的资源 Ports:Add ##添加端口 port protocol 5423 tcp Masqueradi...
heartbeat
u012410724的专栏
05-24 1124
HeartBeat管理集群 5.24上午 (文档heartbeat.pdf) 它不会管理服务是否正常 没有fence(强制重新启动,例如内核崩溃) 当前环境rhel6.5 相关安装包 heartbeat-3.0.4-2.el6.x86_64.rpm heartbeat-libs-3.0.4-2.el6.x86_64.rpm heartbeat-devel-
drbd
u012410724的专栏
08-10 819
linux分布式复制块设备drbd
mfs分布式管理系统
u012410724的专栏
06-07 763
mfs分布式文件管理存储(2014.6.7)上午 (相关文档Moosefs分布式存储) MFS 特性: 1. Free(GPL) 2. 通用文件系统,不需要修改上层应用就可以使用 3. 可以在线扩容,体系架构可伸缩性极强。 4. 部署简单。 5. 高可用,可设置任意的文件冗余程度(提供比raid1+0 更高的冗余级别,而绝对不会影响读或 写的性能,只会加速!) 6
LVS三种模式
u012410724的专栏
08-11 602
LVS-NAT    LVS-TUN   LVS-DR IP虚拟服务器软件IPVS(LVS) 1.lvs-nat (network address  translation) 通过网络地址转换将服务器构成一个高性能的  高可用的虚拟服务器 2.LVS-TUN (IP Tuneling) 通过IP隧道实现虚拟服务器的方法 3.LVS-DR (Direct  Routing) 通过直接路
shell编程--企业面试题
u012410724的专栏
08-10 527
企业面试题2: 将以上文件名中的oldboy全部改成linux(用for循环实现)。 提示:以后再考大家把文件名中的oldboy批量替换成linux,并且扩展名改成大写。
linux视频学习网站
u012410724的专栏
08-10 482
shell编程 http://edu.51cto.com/lesson/id-27854.html linux基础 http://edu.51cto.com/lesson/id-21734.html
firewall和iptables的区别
最新发布
07-03
火墙(Firewall)和iptables都是网络安全的重要组件,但它们的作用域和具体实现有所不同。 **Firewall**:通常指的是系统级别的防火墙,是一个软件或硬件设备,用于监控和控制进出网络的数据包。它可以设置为阻止、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值