防火墙

最新推荐文章于 2020-10-19 11:34:32 发布
最新推荐文章于 2020-10-19 11:34:32 发布
阅读量193 收藏
点赞数
分类专栏: Linux笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45149848/article/details/99682820
版权

一、分类

1、逻辑上分为
(1)主机防火墙:针对单个主机进行防护
(2)网络防火墙:处于网络入口或者边缘
2、物理上分为
(1)硬件防火墙:硬件级别实现防火墙功能,性能高,成本高
(2)软件防火墙:应用软件处理逻辑运用于通用硬件平台,性能低,成本低

二、四表五链

1、四表
filter :负责过滤功能,防火墙,内核
nat :网络地址转换功能,内核模块
raw :关闭nat表上启用的链接追踪机制
mangle :拆解报文,作出修改,重新封装

      表是链上具有相同高性能呢个规则的合集

2、五链
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING

 四个表在同一个链中有优先次序:
 raw>mangle>nat>filter

三、iptables

       iptables并不是真正意义上的防火墙,可以理解为一个客户端工具。netfilter才是防火墙真正的安全框架,位于内核空间中。iptables是一个命令工具,位于用户空间,通过这个命令来操作netfilter。

1、防火墙配置

-t:指定要操作的表
-L:表示列出规则
-v:列出详细信息
-n:表示不解析地址,直接显示IP地址
–line-numbers:表示显示规则号
-x:显示出计数器的精确值

iptables -L 查看所有规则
iptables -F 清空规则
iptable -t filter -D INPUT 1 清除链的某个规则
iptables -t filter -L 查看指定表的规则
iptables -nvL --line-number

2、iptables常用命令
-A:将一个规则添加到链末尾
-I:将一个规则添加到第一行
-D:将指定链中的规则删除
-F:指定链中所有规则删除
-L:列出所有规则
-R:修改

iptables -t filter -I INPUT -s 192.168.1.69 -j ACCEPT
iptables -t filter -I INPUT -s 192.168.1.69 -j DROP
iptables -t filter -I INPUT -s 192.168.1.69 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.69 -p tcp --dport 80 -j DROP

-s:原地址
-d:目的地址
-p:协议    --dport 目标端口    --sport 源端口

3、target
ACCETP:接受
DROP:丢弃
REJECT:拒绝

4、创建自定义链
当默认的链规则非常多时不方便管理,可以选择创建自定义链

  • 在filter表中创建web自定义链

iptables -t filter -N web

  • 在INPUT链中引用刚才定义的链

iptables -t filter -I INPUT -p tcp --dport 80 -j web

  • 将web自定义链命名为IN_WEB

iptables -E IN_WEB

删除自定义链需要满足两个条件:
1、自定义链没有被引用
2、自定义链中没有任何规则

如果没有在默认链中引用自定义链,自定义链中的内容不生效。

四、黑名单与白名单

1、黑名单机制

当链的默认策略为ACCEPT时,链中的规则应为DROP或REJECT,表示只有匹配到规则的报文才会被拒绝,没有被匹配到的报文则会被接受,这就是黑名单机制。

2、白名单机制

当链的默认策略为DROP时,链中的规则应为ACCEPT,表示只有匹配到的规则才会被接受,没有匹配到的则会被默认拒绝,此为白名单机制。

默认策略设置为DROP存在缺点,即在对应的链中没有设置任何规则时,管理员也会把自己拒之门外,一旦使用iptables -F清空规则,所有数据包都将无法进入。

注:若要使用白名单机制,最好将链的默认策略保持ACCEPT,然后将“拒绝所有请求”放在链的尾部,将放行规则写在前面。

五、NAT、SNAT、DNAT

NAT,译为“网络地址转换”,它可以修改报文的IP地址。通常会被集成到路由器、防火墙、或独立的NAT设备中。

在局域网内,大家的IP都是私有IP,但内部的网络在上网的时候都是经过路由器、防火墙的处理,对外显示的是路由器或防火墙的地址
SNAT地址转换

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source 192.168.1.120

  • -t nat表示操作nat表
  • -A POSTROUTING 表示将SNAT规则添加到POSTROUTING链末尾
  • -s 192.168.2.0/24 代表来源网段
  • -j SNAT 表示SNAT动作,对匹配的报文进行源地址转换
  • –to-source 192.168.1.120 表示匹配到的报文源地址修改为192.168.1.10

DNAT地址转换

iptables -t nat -I PERROUTING -d 192.168.1.153 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.153:80

旅行的猫咪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SNAT&DNAT策略
白雪滑落树梢
10-02 2360
文章目录前言一总结 前言 一 总结
NetFilter/iptables防火墙设置
zhangxinrun的专栏
01-03 1963
<br />大多数主要的Linux发行商,包括SuSE,在防火墙设置方面都有某些独特的用户接口特征。他们这样并没有错,但是这样我就无法直接得到最想要的配置,所以只好自己手动设置。Iptable man页面完全是个依照iptable命令行句法的文件,它不提供关于将不同规则的防火墙结合起来的指导说明。你可以搜索到许多零散的关于iptables的信息,但是这些都不足以教会我想要弄明白的东西。最后我用运行着SuSE Linux Pro10.0 的一个Vmware虚拟机终于弄清楚了到底应该怎样做。下面就是用iptab
基于OSI七层过滤数据包的NetFilter防火墙设置
zyb243380456的专栏
03-24 1331
#基于OSI七层过滤数据包的NetFilter防火墙设置 #1、清除所有tables中的规则 #iptables -F #清除所有已经指定的规则 #iptables -X #除掉所有用户自定义的tables #iptables -Z #将所有的chain的记数与流量统计归零 #2、给NetFilter表的设置不同的默认放行策略 #iptables -P INPUT DROP #如果进入Ne
iptables实质
weixin_33973600的博客
05-26 183
原文接:http://blog.chinaunix.net/uid-26824563-id-3308320.html基本概念:http://caisangzi.blog.51cto.com/6387416/1286421 iptables 防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮...
linux防火墙_深入理解iptables防火墙
weixin_39891272的博客
10-19 160
本文部分内容节选自:netfilter/iptables 简介 - IBM developerWorks0x00 Linux 安全性和 netfilter/iptables Linux 因其健壮性、可靠性、灵活性以及好象无限范围的可定制性而在 IT 业界变得非常受欢迎。Linux 具有许多内置的能力, 使开发人员可以根据自己的需要定制其工具、行为和外观,而无需昂贵的第三方工具。 如果 Linux...
防火墙介绍
03-18
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制...
Delphi控制Windows防火墙
11-28
Delphi打开关闭Windows防火墙
实验三 防火墙内容过滤配置_防火墙_
10-03
掌握防火墙内容过滤配置方法,实现根据不同应用场景,灵活配置内容过滤策略,保证内网用户合理要求
阿尔卡特防火墙配置手册
06-25
阿尔卡特防火墙配置手册
360网神防火墙配置手册
最新发布
08-24
360网神防火墙配置手册
防火墙上实现胖客户端SSL×××
weixin_34290390的博客
04-25 108
实验实验拓扑图:实验步骤:各设备IP地址规划:R2(config)#intf0/1R2(config-if)#ipadd100.0.0.2255.255.255.252R2(config-if)#noshutR2(config-if)#intf0/0R2(config-if)#ipadd200.0.0.2255.255.255.252R2(config-i...
防火墙综合项目实验(IPSec+Easy+SSL无客户端+SSL胖客户端)
m0_46491952的博客
03-17 612
防火墙综合实验
三种模式下快捷键、压缩与解压
胖橘胡子
07-31 6406
一、vim vi === vim (vim是vi的升级版) 1.1命令模式下 光标移动: H:左 L:右 J:下 K:上 数字+HLJK 向指定方向跳动数字个光标 w 跳到下一个单词的开头 e 跳到下一个单词的末尾 b 跳到上一个单词的开头 数字+w/e/b 跳多少个单词 (pgdn)CTRL+F:向下翻页 (pgup...
虚拟机的安装、网关配置及安装man命令
胖橘胡子
07-22 1332
一、虚拟机的安装、网关的配置及安装man命令 虚拟机的安装        首先点击创建新的虚拟机,选择合适的兼容版本,先进行磁盘的分区再安装操作系统。更改虚拟机名称并选择合适位置保存。新建虚拟向导中选择自定义硬件,在IDE中选择想要安装的镜像版本完成安装,可开启此虚拟机。     &nb...
磁盘管理和维护
胖橘胡子
08-05 440
磁盘文件名:          /dev/sd[a-p][1-128]          /dev/hd[ ]         /dev/vd[ ][ ] 分区命令          fdisk /dev/...
系统管理维护与常用命令
胖橘胡子
07-24 293
一、系统管理和维护 1.1Tab补全 输入Tab一次: 输入的命令能够唯一标识,直接跳出命令                          输入的...
正则表达式、用户和组、文件系统权限
胖橘胡子
07-29 239
一、grep正则表达式元字符 字符匹配: .(点号):匹配任意单个字符 [ ] :匹配指定范围内的任意单个字符 [^]:匹配指定范围外的任意单个字符 [:degit:]:数字 [ [ :degit:] ] [:lower:]小写 [:upper:]大写 匹配任意数字 匹配次数: :匹配前面字符任意次数 .:匹配任意长度的任意字符 ?(需要加单引号):匹配前面的字符0次或1次 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值