linux 防火墙实验报告,linux下的防火墙(iptables / netfilter)--我的学习记录

最新推荐文章于 2023-12-09 23:10:57 发布
最新推荐文章于 2023-12-09 23:10:57 发布
阅读量785 收藏
点赞数
文章标签: linux 防火墙实验报告

什么是防火墙?

工作于主机或网络的边缘,对于进出的报文根据事先定义的规则作检查,将那些能够被规则所匹配到的报文作出相应处理的组件。

centos6.6上的防火墙组件:

netfilter:过滤器,内核中工作在tcp/ip网络协议栈上的框架

iptables:过滤规则的编写工具,定义的规则通过内核接口直接送至内核,立即生效,但不会永久有效;果期望有永久有效,需要保存至配置文件中,此文件还开机时加载和由用户手工加载;iptables可以自动实现规则语法检查。

netfilter在TCP/IP协议栈上定义了5个卡点(钩子函数)来控制报文:

hooks function(钩子函数):

prerouting: 进入本机后路由功能发生之前

input:到达本机内部

output: 由本机发出

forward: 由本机转发

postrouting:路由功能发生之后,即将离开本机之前

根据报文的分类,要经过的卡点如下:

到本机内部:prerouting,input

由本机发出:output,postrouting

由本机转发:prerouting,forward,postrouting

功能表:

过滤功能:filter表

卡点:input ,forward,output

修改功能:net表:修改报文的源地址和目标地址。

卡点:prerouting,output,postrouting

mangle表:修改报文IP,TCP报文首部的某些信息。

卡点:prerouting,postrouting,input,output,forward

追踪功能:raw表

卡点:prerouting,output

优先级(由高到低):raw --> mangle --> nat --> filter(最常用)

基本格式:

iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA-j TARGET

-t TABLE:

默认为filter, 共有filter, nat, mangle, raw四个可用;

SUBCOMMAND(子命令):

9262030bd6496f3760db736d399318d5.pnga44ceb68218cfc9902c93a6e3475c637.pngf05ea9300b13009d8e534c7f5fe92487.png

CRETERIA: 匹配条件

aeb7f2dfa6f417a5bffbb26152de2613.png

扩展匹配:

隐式扩展:如果在通用匹配上使用-p选项指明了协议的话,则使用-m选项指明对其协议的扩展就变得可有可无了;

tcp:

--dport PORT[-PORT]

--sport

--tcp-flags LIST1 LIST2

LIST1: 要检查的标志位;

LIST2:在LIST1中出现过的,且必须为1标记位;而余下的则必须为0;

例如:--tcp-flags syn,ack,fin,rst syn

--syn:用于匹配tcp会话三次握手的第一次;

udp:

--sport

--dport

icmp:

--icmp-types

8: echo request

0:echo reply

显式扩展:必须指明使用的扩展机制;

-m 模块名称(每个模块会引入新的匹配机制);

想知道有哪些模块可用:

rpm -ql iptables

小写字母,以.so结尾;

multiport扩展:以离散定义多端口匹配;最多指定15个端口;

专用选项:

--source-ports, --sports PORT[,PORT,...]

--destination-ports, --dports PORT[,PORT,...]

--ports PORT[,PORT,...]

例子:

iptables -I INPUT 1 -d 172.16.100.11 -p tcp -m multiport --dports 22,80,443 -j ACCEPT

iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp -m multiport --sports 22,80,443 -j ACCEPT

iprange扩展:指定连续的ip地址范围;在匹配非整个网络地址时使用;

专用选项:

[!] --src-range IP[-IP]

[!] --dst-range IP[-IP]

示例:

iptables -A INPUT -d 172.16.100.11 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT

iptables -A OUTPUT -s 172.16.100.11 -p tcp --sport 23 -m iprange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT

string扩展:检查报文中出现的字符串,与给定的字符串作匹配;

专用选项:

--algo {kmp|bm}    :两种字符串匹配算法

--string "STRING"

--hex-string "HEX_STRING":HEX_STRING为编码成16进制格式的字串;

示例:

iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp --sport 80 -m string --string "sex" --algo kmp -j REJECT

time扩展:基于时间区间做访问控制

专用选项:

--datestart YYYY[-MM][-DD][hh[:mm[:ss]]]  :开始日期

--dattestop :停止日期

--timestart:开始时间

--timestop:停止时间

--weekdays DAY1[,DAY2,...]:控制每周的周几

示例:

# iptables -R INPUT 1 -d 172.16.100.11 -p tcp --dport 80 -m time --timestart 08:30 --timestop 18:30 --weekdays Mon,Tue,Thu,Fri -j REJECT

connlimit扩展:基于连接数作限制;对每个IP能够发起的并发连接数作限制;

专用选项:

--connlimit-above [n]

示例:

# iptables -I INPUT 2 -d 172.16.100.11 -p tcp --dport 22 -m connlimit --connlimit-above 5 -j REJECT

limit扩展:基于发包速率作限制;

专用选项:令牌桶算法

--limit  n[/second|/minit|/hour|/day]

--limit-burst n

示例:

iptables -R INPUT 3 -d 172.16.100.11 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT

TARGET:

-j: jump,跳转目标

内置目标:

ACCEPT:接受

DROP:丢弃

REJECT:拒绝

自定义链:

未完。。。。。

Nehru
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
"Linux 防火墙 Netfilter-iptables 扩展机制及应用研究" 本文主要研究了 Linux 防火墙 Netfilter-iptables 扩展机制及应用,旨在解决 Linux 防火墙的扩展性和维护性问题。论文首先分析了 Linux 2.4 内核的 ...
网络安全实验之《防火墙实验报告
7xun's space
04-17 9202
SNAT:开通内网机器的外网访问权限,是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机,MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE。解决方法:此时我的主机连接的是wifi,我把wifi关掉,然后主机连接手机的移动热点,再重启ubuntu,输入ifconfig,ens33处便能正常显示ip了。
Linux防火墙实验总结,linux防火墙
weixin_29332029的博客
05-12 793
四表五链链:PREROUTING,INPUT,FORWARD,OUTROUTING,POSTROUTINGPREROUTIN:在路由之前INPUT:进入主机FORWARD:转发OUTPUT:出主机POSTROUTING:路由之后表:filter,nat,mangle,rawfilter:过滤INPUTOUTPUTFORWARDnat:地址转换PREROUTINOUTPUTPOSTROUTINGma...
防火墙技术实验报告 实验linux安全配置
qq_40588049的博客
04-02 1910
linux安全配置 一、实验目的 1、了解使用gpg进行加解密的方法 2、了解syslog的配置 二、实验内容 1、gpg加解密 单机加解密: Gpg –gen-key Gpg –list-key Gpg –e –r id file Gpg –o file –d –r file 多个主机加解密: 换用其它用户加解密: 导出公钥 gpg –a –export –o file.key Scp f...
Linux防火墙实验iptablesLinux Firewall Exploration Lab
CTFwp笔记1-rsa基本知识+共模攻击
08-30 2754
​   iptabels是与Linux内核集成的包过滤防火墙系统,软件的结构是。
LinuxNetfilter/IPTables防火墙案例分析
weixin_33766168的博客
08-27 412
一、概述 在计算机领域内,防火墙是一种能够依照设定的规则,对网络传输进行控制,以确保信息安全的软硬件组成的防护系统。 LinuxNetfilter/IPTables架构 Netfilter/IPTables架构是Linux系统提供的自带的防火墙,它包含在Linux 2.4以后的内核中,功能十分强大,可以实现包过滤、NAT(网络地址转换)、数据包的分割等功能。 N...
Linux下基于Netfilteriptables防火墙的构建.pdf
09-06
Linux下基于Netfilteriptables防火墙的构建.pdf
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
防火墙与入侵检测技术-iptables基本使用实验报告.docx
11-05
防火墙与入侵检测技术-iptables基本使用实验报告
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
实验Linux环境下 iptables防火墙的配置
君莫hacker的博客
11-24 5698
Linux环境下iptables防火墙的配置 (1)通过iptables进行端口设置。 a. 添加规则关闭某端口(如TCP的22端口);然后,查看已有规则,并试图访问该端口。 b. 删除上述规则开放该端口;然后,查看已有规则,并试图访问该端口。 (2)通过iptables实现ICMP包的过滤。 a. 添加规则拒绝ICMP包通过;然后,查看已有规则,并试图执行ping命令。 b. 删除上述规则允许ICMP包通过;然后,查看已有规则,并试图执行ping命令。
Linux内核防火墙设计与开发——报告
qq_53928256的博客
05-07 689
本次实验主要是针对于防火墙过滤功能的设计,通过在5个检查点NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING中hook自定义的对数据包的检查函数,即可实现对数据包的检查过滤。注:由于使用的是wsl2子系统的linux,主机pingLinux时,主机的数据包会经过一个网关发送给LinuxLinux的回应数据包也是发送到网关处,故主机的数据包的源地址会被修改为相应的网关地址。
linux下的arp防火墙 ---- shadaarp
wang_xingang的专栏
01-08 1678
最近公司新来了一组开发人员,搞的最近网速总是不稳定。甚至会有arp攻击,也不知是开了限速软件还是电脑中毒了。 赶快给自己裸奔的ubuntu套上马甲 arp 防火墙  shadaarp下载 ubuntu用户下载.deb 双击安装 终端下:cd /usr/local/lib/shada-arpfirewallsudo make 开始->interne
防火墙配置实验
最新发布
m0_64112419的博客
12-09 1749
iptables -I INPUT -p ICMP –icmp-type 0 -d 192.168.110.0/24 ACCEPT:这条规则是用来配置防火墙,指示允许从目标地址为192.168.110.0/24的网络发送过来的ICMP回显应答(类型为0)的数据包进入系统。防火墙的规则都是双向的,而且ping使用的是ICMP报文,他的ICMP type 为8,而它的响应ICMP报文的type为0,我们要实现以上功能,只需要让ICMP type 8 报文进不来,但出得去;动作可以是允许通过、阻止或修改数据包。
linuxiptables配置实验
qq_43665434的博客
05-07 2595
linuxiptables配置实验 一、实验要求 利用Linux自带的iptables配置防火墙。完成如下配置: 要求:(1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙访问外部HTTP服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加,作为加分项。 二、实验环境 实验主机 角色 centos8 外网主机 kali 网关 centos8克隆机 内网主机 配置目标拓扑:
iptables防火墙总结
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
Linux系统中的防火墙的实现:iptables/netfilter
weixin_34138139的博客
05-23 394
防火墙:包括软件防火墙(基于iptables/netfilter的包过滤防火墙)和硬件防火墙,在主机或网络边缘对经由防火墙的报文以一定条件进行检测过滤的一系列组件。 Linux系统中的防火墙的实现:利用iptables/netfilter既可以实现主机防火墙(安全服务范围仅限于当前某台主机),又可以实现网络防火墙(安全服务范围为当前局域网)。netfilterLinux系统内核中防火墙的框架,防...
【Ubuntu安装和配置iptables防火墙
热门推荐
weixin_36032459的博客
06-06 1万+
提示:Ubuntu 20.04.4 LTS例如:netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。示例:netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙
Linux-防火墙学习总结
csdnlb的博客
11-19 577
三表: Filter表:过滤数据包 NAT表:用于网络地址转换(IP、端口) Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOS 五链: INPUT链——进来的数据包应用此规则链中的规则 OUTPUT链——外出的数据包应用此规则链中的规则 FORWARD链——转发数据包时应用此规则链中的规则 PREROUTING链——对数据包作路由选择前应用此链中的规则 POSTROUTIN...
15-防火墙Linux代理服务器.docx
12-21
防火墙Linux代理服务器是现代网络管理的重要组成部分,特别是在Linux系统中,netfilter/iptables工具提供了强大的防火墙和数据包过滤功能。本文档详细介绍了这个开源且功能丰富的解决方案。 首先,netfilter/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值