linux防火墙的机制,Linux防火墙机制Netfilter/iptables简介-博客

最新推荐文章于 2023-01-17 18:48:14 发布
最新推荐文章于 2023-01-17 18:48:14 发布
阅读量279 收藏
点赞数
文章标签: linux防火墙的机制

Netfilter是什么?

Netfilter是Linux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。

Netfilter与Linux的关系

Netfilter与Linux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的版本,才收录了Netfilter的功能。

139c669188473408d711a9af263a6f1a.png

Netfilter工作的位置

Netfilter以模块的形式存在于linux中,当网卡有数据包传入传出时,出入的数据包都会经由Netfilter穿过。所以Netfilter作为防火墙,能够起到数据包拦截的作用

a790c9a3ed883416e1af3a3ea6e1cbf7.png

Netfilter的命令结构

Netfilter要针对数据包进行过滤,就必须要人为制定一些规则,这些规则指示什么样的数据包可以放行,什么样的数据包是危险的,应该丢弃掉,这些规则越来越多之后,就会对其进行分类存储在内存块中,内存就被分为四个表(Table),分别是filter、nat、mangle及raw表,这也是目前Netfilter机制所提供的四大功能。

描述

filter

INPUT

FORWARD

OUTPUT

filter是Netfilter中最重要的机制,其任务是执行数据包的过滤操作,也就是起到防火墙的作用

nat

PREROUTING

POSTROUTING

OUTPUT

nat(Network Address Translation, NAT)也是防火墙上一个不可或缺的重要机制,比较通俗的方式来说,其功能就是IP分享器

mangle

PREROUTING

INPUT

FORWARD

POSTROUTING

通过mangle机制来修改经过防火墙内数据包的内容

raw

PREROUTING

OUTPUT

负责加快数据包穿过防火墙机制的速度,由此提高防火墙的性能

netfilter的filter机制

filter对数据包的分类如下:

INPUT类型:网络上其他主机发送给本机进程的数据包就是INPUT类型的数据包

OUTPUT类型:本机进程所生成的数据包即为OUTPUT类型数据包

FORWARD类型:数据包对本机而言只是路过而已,那么这就属于FORWARD类型

filter表结构图如下

8a2007252edef6eac3383cca7f2bdcf2.png

filter机制的结构图如下:

caf1a57dd4a7582d9922436d988d9baa.png

规则的匹配方式

每条链上都有N条被制定的规则,这些规则该如何匹配呢?first match即优先匹配采用的方式为从INPUT链中的rule-1逐一向下匹配,如果rule-1指明要丢弃数据包,则数据包马上被丢弃,不再执行后面的规则,相反,如果rule-1指明允许数据包进来,则数据包立即进入到本机程序的位置,当前,不管后面的规则内容是什么也都不再重要,这就是优先匹配

8a2007252edef6eac3383cca7f2bdcf2.png

不过万一该数据包的特征从INPUT链的rule-1匹配到rule-6均没有匹配成功,该数据包是丢弃还是放行?这就涉及到默认策略(Default Policy)的问题了,请注意,不管链中有多少条规则,默认策略永远在每个链的最底端,而且每个链的默认策略各自独立。linux的默认策略的默认状态是ACCEPT

Netfilter与iptables的关系

Netfilter所需要的规则是存放在内存中的,但是我们如何对这些规则进行添加、删除、修改及查询等操作呢,这个时候必须要有一个针对规则的编辑工具提供给网络管理人员,这个工具就是iptables

iptables工具使用方法

iptables命令可以划分为两个部分,一个是“iptables命令参数”,另一个则是“规则语法”

iptables命令参数

f77303a9f62f69349661a70ba4f32332.png

iptables的命令结构

iptables -t TABLE -操作方式 规则条件

语法

说明

-t TABLE

内置filter、nat、mangle及raw四个表,即Netfilter的四大功能。-t参数的含义是选择我们要操作的功能,如果没有输入,默认则是filter表

-操作方式

当我们选择好所要使用的表之后,接下来要决定如何操作这个表,在iptables工具中有很多不同的操作方式,在此仅列出必须了解的操作方式,如下:

-L: 将所选择的表内容列出

-A: 在指定的链中添加新规则

-F: 将所选择的表内容清除掉

-P: 设置某个链的默认策略

规则条件

实例规则:

-p tcp -j ACCEPT

-p udp -j ACCEPT

-p icmp -j ACCEPT

iptables规则语法

接口的匹配参数

9ebd014edf80ddfb3a36e89037ca41e4.png

上层协议(upper layer protocol)的匹配参数

25524fc494a10de3344194edfbd761c0.png

180785db5012fa86175c1f6296e94564.png

匹配来源/目的的IP地址

d127bc9010a8691279fb5b22cb58e5b4.png

匹配来源/目的的端口

c8db0ba12b6a18234f443e8a677fab13.png

处理方式

179b38d1a9dddee3ca06a680a16aa11c.png

Netfilter的NAT机制

NAT的结构

b4c301b18bd0a63e0d449d8aabe84c8f.png

PREROUTING

NAT有很多不同的种类,但不管是哪一种NAT,都是由SNAT及DNAT搭配组合而成的,因此,当我们下发“规则”要去修改数据包的Destinaion IP时,请将规则放入PREROUTING链中

POSTROUTING

POSTROUTING链的任务是修改数据包内的Source IP

OUTPUT

对本机进程产生并要外送的这些数据包进行DNAT操作

总结

数据入口只能修改目的IP,数据出口只能修改源IP,本机程序往外吐包时,只能在OUTPUT链修改目的IP

NAT的分类

一对多NAT

语法实例

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 10.0.1.200

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

多对多NAT

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 10.0.1.200-10.0.1.205

一对一NAT

iptables -t nat -A PREROUTING -i eth0 -d 10.0.1.201 -j DNAT --to 192.168.0.1

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.1 -j SNAT --to 10.0.1.201

NAPT

iptables -t nat -A PREROUTING -i eth0 -p tcp ---dport 80 -j DNAT --to 192.168.0.1:80

iptables -t nat -A PREROUTING -i eth0 -p tcp ---dport 443 -j DNAT --to 192.168.0.1:443

未完待续

参考文献:

《Linux安全技术与实现第2版》—陈勇勋著

本帖子中包含资源

您需要 登录 才可以下载,没有帐号?立即注册

sylvieluk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1264
Netfilter是什么? NetfilterLinux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。 NetfilterLinux的关系 NetfilterLinux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的...
trollhunter - linux netfilter/iptables f-开源
05-07
具有图形和命令行界面的linux netfilter / iptables防火墙日志摘要程序,可帮助sysadmin日常工作。 可以更仔细地研究兴趣点以获得更多信息。 您还可以在命令行模式下运行它,
linux防火墙(转)
weixin_30265171的博客
10-16 168
Linux防火墙基本知识 来源: ChinaUnix博客  日期: 2008.10.30 23:59 (共有条评论) 我要评论 一、防火墙的分类 (一)、包过滤防火墙数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control lable,ACL)。通过检查数据流每个数据包...
linux防火墙机制和原理,linux防火墙iptables工作原理
weixin_32137855的博客
05-12 250
防火墙对于系统安全至关重要,iptables则是防火墙的管理工具iptables帮助我们定义各种验证规则,实现对网络的验证控制数据包的传输过程数据包来到防火墙后,传输过程会经历一系列验证链:(1)prerouting数据包作路由选择前(2)forward转发数据包的时候(3)input数据包进入系统的时候(4)output系统发出数据包的时候(5)postrouting数据包作路由选择后...
防火墙机制
weixin_34324081的博客
02-22 316
什么是防火墙防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。 天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形...
Linux内核防火墙Netfilter实现机制
激情成就梦想--关注移动互联网
07-16 823
Linux内核防火墙Netfilter实现机制<br />版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明<br />http://damocles.blogbus.com/logs/12355731.html<br /> 从图1和图2我们可以看清楚linux防火墙netfilter的运作方式,设有5个钩子函数<br />HookCalled...NF_IP_PRE_ROUTINGAfter sanity checks, before routing decisions.NF_IP_L
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
"Linux 防火墙 Netfilter-iptables 扩展机制及应用研究" 本文主要研究了 Linux 防火墙 Netfilter-iptables 扩展机制及应用,旨在解决 Linux 防火墙的扩展性和维护性问题。论文首先分析了 Linux 2.4 内核的 ...
Linux下基于Netfilteriptables防火墙的构建.pdf
09-06
Linux下基于Netfilteriptables防火墙的构建.pdf
Linux下基于NetfilterIptables防火墙的研究与应用.pdf
09-06
Linux下基于NetfilterIptables防火墙的研究与应用.pdf
netfilter/iptables(简称为iptables
01-09
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)...
Linux防火墙的原理与实现
06-30
Linux防火墙的原理与实现,成为一名黑客的必备知识,需要的可以看一下。
Linux 防火墙原理从入门到忘记
GitChat
08-11 293
防火墙作为 Linux 系统安全的第一道门,你必须要了解。无论你部署什么应用服务器,防火墙都是不可缺少的部分。随着服务软件层出不穷,技术迭代更新,大家普遍追求更好更新的技术,心态浮躁,却往往忽略了基础技术,而越是基础的东西越是重要,防火墙就是这样的基础技术,学会了你将受益。 在本场 Chat ,会讲到如下内容: Linux 防火墙原理 iptables 实现 Firewal l实现 适合人群...
linux防火墙结构介绍
千寻的博客
09-05 1249
iptables规则 书写规则 iptables [-t table] command chains [creteria] -j action -t table :表名字 filter nat mangle 默认是filter command 告诉程序要做的操作,例如·:插入,删除等 chains链, PREROUTING POSTROUTING INPUT OUTPUT FORWARD ...
Linux防火墙详解及案例
weixin_64879549的博客
01-17 1673
Linux防火墙详解及案例
Linux防火墙netfilter/iptables详解
mjj291268154的专栏
05-27 719
装载地址: http://www.linuxdiyf.com/viewarticle.php?id=314154
Linux防火墙是怎么工作的?
一口Linux的专栏
05-19 375
Netfilter NetfilterLinux 2.4内核引入的一个子系统,是位于Linux内核的包过滤引擎,基于Netfilter可以实现防火墙的相关策略。 Netfilter的架构就是在网络流程数据包必须经过的位置放置了5个检测点(hook),在每个检测点上登记了一些处理函数进行处理,即钩子函数(hook function)。钩子函数实现了每个hook的检查规则链。 这5个hook就是数据包传输路径的5个控制关卡,任何一个数据包,必然经过其的一个或某几个。每个hook都对应了一条规则链
iptables防火墙原理详解
weixin_34226706的博客
02-06 573
1. netfilteriptables Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控...
Linux内核防火墙的包过滤机制
激情成就梦想--关注移动互联网
07-16 2152
<br />Linux网络安全防护<br />从Linux Kernel 2.4开始,新的网络包过滤框架Netfilter/Iptables替代了原来的Ipchains/Ipfwadm系统,成为Linux系统新一代的内核防火墙。作为内核网络协议的一个扩展集,Netfilter可以在内核内部高效地进行包过滤、网络地址转换(NAT)和包重组。对于网络安全防护来讲,主要用到的是Netfilter的包过滤功能,本节也将就这一主题展开描述。<br />1.  Linux内核防火墙的包过滤机制<br />通过包过滤机
Linux系统防火墙的实现:iptables/netfilter
weixin_34138139的博客
05-23 390
防火墙:包括软件防火墙(基于iptables/netfilter的包过滤防火墙)和硬件防火墙,在主机或网络边缘对经由防火墙的报文以一定条件进行检测过滤的一系列组件。 Linux系统防火墙的实现:利用iptables/netfilter既可以实现主机防火墙(安全服务范围仅限于当前某台主机),又可以实现网络防火墙(安全服务范围为当前局域网)。netfilterLinux系统内核防火墙的框架,防...
基于Netfilter从零开始写一个Linux防火墙
最新发布
03-04
下面是一个基于NetfilterLinux防火墙的示例: 1. 允许已建立的连接通过: ``` iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值