iptables

最新推荐文章于 2023-01-13 22:45:30 发布
最新推荐文章于 2023-01-13 22:45:30 发布
阅读量251 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013616005/article/details/95901776
版权

文章目录

科普

在这里插入图片描述

原理

【iptable原理】
【原理讲的明明白白,他这一篇真的够了 真的】
【原理+实操】

常用

1、防火墙操作端口

【更多firewall实操】
【看看配置参数】
firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

2、nftables

【1】 【nat转发,配配】

应用

跳板机的工作原理和简单的跳板机实现

机制

在这里插入图片描述

  • 每个"链"中的规则都存在于哪些"表"中
PREROUTING      的规则可以存在于:raw表,mangle表,nat表。

INPUT          的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。

FORWARD         的规则可以存在于:mangle表,filter表。

OUTPUT         的规则可以存在于:raw表mangle表,nat表,filter表。

POSTROUTING      的规则可以存在于:mangle表,nat表。

把具有相同功能的规则的集合叫做"表",所以说,不同功能的规则,我们可以放置在不同的表中进行管理
	filter表:负责过滤功能,防火墙;内核模块:iptables_filter

	nat表:network address translation,网络地址转换功能;内核模块:iptable_nat

	mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle

	raw表:关闭nat表上启用的连接追踪机制;iptable_raw

优先级:
	raw --> mangle --> nat --> filter
	
表(功能)<-->   链(钩子):

raw     表中的规则可以被哪些链使用:PREROUTING,OUTPUT

mangle  表中的规则可以被哪些链使用:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

nat     表中的规则可以被哪些链使用:PREROUTING,OUTPUT,POSTROUTING(centos7中还有INPUT,centos6中没有)

filter  表中的规则可以被哪些链使用:INPUT,FORWARD,OUTPUT
  • SNAT、DNAT、MASQUERADE、REDIRECT 这几个都在nat表
MASQUERADE理解为动态的、自动化的SNAT 只能存在于POSTROUTING链与INPUT链中

SNAT规则也可以定义在INPUT链中,我们可以这样理解,发往本机的报文经过INPUT链以后报文就到达了本机,如果再

不修改报文的源地址,就没有机会修改了

DNAT规则只配置在PREROUTING链与OUTPUT链中

REDIRECT规则只能定义在PREROUTING链或者OUTPUT链中

4张表中都可以有output链

5个链都可以放在 mangle 表中
  • 实战网络防火墙
1、添加路由表
2、可以使用"白名单机制" 在filter表 FORWARD 链上(将链的默认策略设置为ACCEPT,通过在链的最后设置REJECT规则实现白名单机制)
3、应着重考虑方向性,双向都要考虑
  • 应该将更容易被匹配到的规则放置在前面
  • -i 和 -o
从本机发出的报文是不可能会使用到-i选项的,因为这些由本机发出的报文压根不是从网卡流入的,而是要通过网卡发出的
-o选项用于匹配报文将从哪个网卡流出
-i选项只能用于PREROUTING链、INPUT链、FORWARD链,那么-o选项只能用于FORWARD链、OUTPUT链、POSTROUTING链
FORWARD链属于"中立国",它能同时使用-i选项与-o选项
  • SNAT 、DNAT
只是用于配置SNAT的话,我们并不用 手动的进行DNAT设置,iptables会自动维护NAT表,并将响应报文的目标地址转换回来

firewall

  • iptables的缺点:

iptables service 管理防火墙规则的模式:用户使用命令添加防火墙的规则,如果想让规则永久保存,还需要再执行命令 service iptables reload 使变更的规则保存到配置文件里。在这整个过程的背后,iptables service 会对防火墙的规则列表全部重读一次,加载到内核.
如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话

  • 引入firewall

那么 firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的 iptables 即可。

  • firewalld 和 iptables 之间有什么关系?

firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。

  • 什么是区域(zone)?

过滤规则集合:zone
一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。

cugbtang
关注
专栏目录
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
iptables问题和改进方案
mabin2005的专栏
11-16 1290
转自:DPDK and XDP - 云+社区 - 腾讯云iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制。新版本的内核(3.13+)也提供了nftables,用于取代ip...https://cloud.tencent.com/developer/article/1484793 iptables规则逐渐增加,遍历iptables效率变得很低,一个表现就是kube-proxy,他是Kubernetes的一个组件,容器要使用iptables和-j DNAT规则为服
iptables防火墙
xiaoliu的博客
04-06 215
iptables 一、linux中查看系统和内核版本的命令 系统:cat /etc/centos-release 内核:uname -r [root@xiaoliu ~]# cat /etc/centos-release CentOS Linux release 8.4.2105 [root@xiaoliu ~]# uname -r 4.18.0-305.3.1.el8.x86_64 二、git和github、gitee、gitlab有什么区别 git:版本控制软件 github:代码托管平台;类似
iptables小结
weixin_53139887的博客
01-10 439
基本概念 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: 硬件防火墙:拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬
iptables-restore命令 还原iptables表的配置
01-20
iptables-restore命令用来还原iptables-save命令所备份的iptables配置。 语法格式:iptables-restore [参数] 常用参数: -c 指定在还原iptables表时候,还原当前的数据包计数器和字节计数器的值 -t 指定要还原...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
iptables配置(/etc/sysconfig/iptables)操作方法
01-20
iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT #保存 sudo /etc/rc.d/init.d/iptables save 或 sudo service ...
防火墙的作用和目前的缺点
04-17
计算机安全类的论文,可为大家书写计算机安全类的论文提供参考。
iptables学习心得
weixin_33831673的博客
07-25 193
为了保证安全,人们想了很多的办法;防火墙、杀毒软件、***检测系统、***防御系统等等可以说方式不少。其中,防火墙是唯一的防范于未然、将威胁扼杀于摇篮之中的一种常用方法,其他的方法都是发现安全威胁之后所采取的措施。所以可见防火墙的重要性。防火墙的实现可以包括两大类方式:硬件防火墙和软件防火墙。但是现在纯硬件防火墙造价太过昂贵,而且使用局限性也非常大,所以基于软件实现的防火...
Linux网络服务管理&防火墙详解&端口问题
最新发布
记录分享编程与冲浪知识
01-13 1755
关于linux服务器防火墙的配置详解
centos7防火墙设置
weixin_44732765的博客
03-20 151
链接:https://www.jianshu.com/p/798f2a36d4dd firewall-cmd --add-service=http --permanent firewall-cmd --add-port=8000/tcp --permanent firewall-cmd --reload –permanent 表示永久,重启后仍然有效,修改完设置需要重启防火墙(firewall-c...
websocket timeout
i289292951的博客
04-24 2156
我的服务端是在阿里云 可能出现的原因: 安全组是否配置 防火墙端口号是否打开(我的是因为这个原因):解决方法如下 1、开启防火墙 systemctl start firewalld 2、设置打开的端口号(永久打开) firewall-cmd --add-port=8000/tcp --permanent 3、更新一下:在设置好端口后,需要执行 firewall-cmd --rel...
浅谈linux防火墙之iptables
黑白一戒
12-22 884
浅谈linux防火墙❎ 防火墙概念1️⃣ 安全技术简介2️⃣ 防火墙的分类3️⃣ 网络层防火墙4️⃣ 应用层防火墙/代理服务型防火墙❎ iptables的简介1️⃣ Netfilter组件2️⃣ 防火墙工具3️⃣ iptables的组成4️⃣ 内核中数据包的传输过程5️⃣ iptables规则6️⃣ iptables添加要点❎ iptables命令1️⃣ 规则格式2️⃣ SUBCOMMAND:子...
firewall和iptables对比介绍
热门推荐
爱情码头的博客
03-13 1万+
firewall1、Introduction 在具体介绍zone之前介绍几个相关的名词,因为如果不理解这几个名词zone就无从入手。target:默认行为,有四个可选值:default、ACCEPT、%%REJECT%%、DROP,如果不设置默认为defaultservice:这个在前面学生已经给大家解释过了,他表示一个服务port:端口,使用port可以不通过service而直接对端口进行设置i...
Iptables入门与深入解析
Iptables指南深入解析了Linux防火墙管理工具的基础与高级用法。该指南由Oskar Andreasson撰写,旨在为读者提供从入门到精通的知识,适合对网络安全有兴趣的系统管理员和IT专业人士。文章按照逻辑结构展开,首先介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值