linux网络模型详解,Linux网络安全模型及iptables详解(1)

最新推荐文章于 2024-02-01 18:30:22 发布
最新推荐文章于 2024-02-01 18:30:22 发布
阅读量103 收藏
点赞数
文章标签: linux网络模型详解

Linux网络安全模型及iptables详解

基本概念

Firewall:工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查,

并且由匹配到的规则进行处理的一组硬件或软件,甚至可能是两者的组合

硬件防火墙:在硬件级别实现部分功能的防火墙:另一个部分功能基于软件实现

软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙;

主机防火墙:工作于主机边缘,只能对一台主机起到保护作用

网络防火墙:工作于网络边缘,对多台主机起到保护作用(定向规则)

iptables:防火墙规则编写工具,位于用户空间

netfilter:网络过滤器,是一个框架(让规则生效),位于内核空间

070bc374d06584aa82d515662ec4fc29.png

9c6dc806e4cdef18281e3df32f6e095a.png

报文流向

到本机内部某进程的报文:prerouting --> input

由本机转发的报文:prerouting --> forward --> postrouting

由本机的某进程发出的报文:output --> postrouting

4表filter:过滤,防火墙

nat:网络地址转换

mangle:拆解报文,作出修改,并重新封装

raw:关闭nat表上启用的连接追踪机制

表和链的对应关系FORWARD --> filter、mangle

INPUT --> filter、mangle

OUT --> filter、mangle、nat

PREROUTING --> mangle、nat

POSTROUTING --> mangle、nat

4表5链(图片来源网络)

ea8863ace6e3a68743237ad9494db454.png

规则:

通:白名单,默认为堵,只对能识别的进行放行

堵:黑名单,默认为通,只对能识别的进行阻截

检查条件IP:SIP,DIP

TCP:SPORT,DPORT,FLags(syn,ack,fin...)

UDP:SPORT,DPORT

ICMP:ICMP-TYPE(报文类型)

处理机制:DROP(丢弃),

REJECT(拒绝,并返回)

ACCEPT(允许)

SNAT(源地址转换)

DNAT(目标地址转换)

RETURN(返回)

REDIRECT(端口转发)

LOG(只记录日志)

Foulard Rouge
关注
Linux 网络 I/O 模型简介(图文)
anxpp的博客
05-26 3万+
1、介绍 Linux 的内核将所有外部设备都看做一个文件来操作(一切皆文件),对一个文件的读写操作会调用内核提供的系统命令,返回一个file descriptor(fd,文件描述符)。而对一个socket的读写也会有响应的描述符,称为socket fd(socket文件描述符),描述符就是一个数字,指向内核中的一个结构体(文件路径,数据区等一些属性)。 根据UNIX网络编程对I/O模型的分类,UNIX提供了5种I/O模型。 1.1、阻塞I/O模型 最常用的I/O模型,默认
UNIX网络模型
admin3335的博客
10-19 623
UNIX网络模型
Linux 网络模型
最新发布
weixin_66400215的博客
02-01 845
我们的应用程序也好,还是内核空间也好,都是没有办法直接去物理内存的,而是通过分配一些虚拟内存映射到物理内存中,我们的内核和应用程序去访问虚拟内存的时候,就需要一个虚拟地址,这个地址是一个无符号的整数,比如一个32位的操作系统,他的带宽就是32,他的虚拟地址就是2的32次方,也就是说他寻址的范围就是0~2的32次方, 这片寻址空间对应的就是2的32个字节,就是4GB,这个4GB,会有3个GB分给用户空间,会有1GB给内核系统。:简称FD,是一个从0 开始的无符号整数,用来关联Linux中的一个文件。
linux 网络模型
iteye_14888的博客
06-08 160
linux 网络模型 一、基本概念: 1、多路复用: 一根网线可同时传递多个信号(时分或频分复用) 2、linux内核的作用:管理、调度进程,管理内存,管理外设(文件描述符)、驱动程序、网络(先管理再分发) 3、linux中所有外设都是fd(文件描述符),socket也是一种文件 4、非阻塞IO:机器中只有一个网卡,在多路复用环境下,应用程序需要进行网络IO,这时如果网卡还没准备好,应用...
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables详解
09-04
### iptables详解 #### 安全体系概览与预备知识 在网络安全领域,构建一个高效稳定的安全体系至关重要。本文档将详细介绍iptables的工作原理及其在网络安全中的应用。首先,我们需要了解安全体系的一般构成: 1. ...
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1255
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络层防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
linux netlink详解
白日梦想家霍华特的博客
04-29 546
netlink从用户态到内核态原理解析
详解Kubernetes网络模型
JavaShark的博客
07-02 200
Kubernetes 是为运行分布式集群而建立的,分布式系统的本质使得网络成为 Kubernetes 的核心和必要组成部分,了解 Kubernetes 网络模型可以使你能够正确运行、监控和排查应用程序故障。网络所涉及的内容很多,拥有许多成熟的技术。对于不熟悉的人来说可能会非常痛苦,因为大多数人对网络都有先入为主的观念,并且有很多新旧概念需要理解并组合成一个连贯的整体。所说的网络可能包括网络命名空间、虚拟接口、IP 转发和网络地址转换等技术。本指南旨在通过讨论每种 Kubernetes 相关技术以及如何使用这
linux 安全 完整版
01-11
Linux安全完整版,还算清晰,需要的朋友可以下载。注意该版本没有目录
Linux网络安全技术与实现(第2版).陈勇勋.扫描版.pdf
01-04
Linux网络安全技术与实现(第2版).陈勇勋 多看看有好处
网络安全从入门到精通第二版.rar
04-01
网络安全相关的入门必备知识,里面很齐全,很好,很强大 \(^o^)/~
Linux网络编程模型
goldfish3的博客
09-16 180
网络IO模型一共有四种: 阻塞IO模型 非阻塞IO模型 多路IO复用模型 异步IO模型 1:阻塞IO模型 IO执行分为两个阶段: 等待数据:比如还没有收到一个完整的TCP包,系统内核就要等待足够的数据到来。 拷贝数据:数据准备好了,系统将数据从内核拷贝到用户内存中,然后系统内核返回结果。 阻塞式IO要等拷贝数据完成后,进程才接触阻塞状态。 大部分的socket接口都是阻塞型的,阻塞状态下,进...
linux网络编程(一)
Andoubi的博客
06-28 2636
linux网络编程相关概念。
1.1 iptables 网络基础模型
weixin_30905981的博客
11-29 196
一、防火墙的基本概念 为什么用到防火墙? 顾名思义可以隔离危险,当一台服务器接入网络之后,在没有经过精心设置和优化,一些我们不想让其开启的服务开启了。 而这个服务有漏洞或潜在的威胁,只要服务开启用户都能任意访问。 假如这个时候有一个用户经常访问我们不允许访问的服务,使用P2P协议下载、占用跑满带宽......我们如何进行防范? 此时服务器处于一个大门洞开的状态,任何人都可以访...
Linux网络编程 -- 网络参考模型
Hello World
06-24 329
1. OSI 参考模型     OSI将网络分成7层结构。 1.Physical 物理层 它在物理线路上传输bit 信息,处理与物理介质有关的机械的,电气的,功能的和规 程的特性。它是硬件连接的接口。 2.Data Link 数据链路层 它负责实现通信信道的无差错传输,提供数据成帧,差错控制,流量控制和链路控制 等功能。 3.NetWork 网络层 负责将数据正确迅速的从源点
Linux服务器网络开发模型
redsuntim的专栏
03-26 2117
linux 服务器 io 模型
Linux网络编程-5种网络模型
u012173846的博客
07-31 832
网络 IO,会涉及到两个系统对象, 一个是用户空间调用 IO 的进程或者线程,另一个是内核空间的内核系统 比如发生 IO 操作 read 时,它会经历两个阶段: 1. 等待数据准备就绪, 2. 将数据从内核拷贝到进程或者线程中。 ps:当有数据时,是系统先从网卡将数据读入内核,再由用户态读取内核中的数据,这里发生了2次拷贝,想要优化可以采用zero copy,顾名思义就是用户态直接向网卡读取数据 因为在以上两个阶段上各有不同的情况,所以出现了多种网络 IO 模型 ...
Linux Iptables入门:网络构与配置详解
首先,章节以网络基础概念为引导,探讨了网络构、TCP/IP协议栈、OSI七层模型以及Linux网络配置的基本知识。这部分对于理解iptables的运作至关重要,因为网络环境是其应用的背景。 学习iptables之前,了解网络基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值