防火墙

最新推荐文章于 2022-03-04 16:12:38 发布
最新推荐文章于 2022-03-04 16:12:38 发布
阅读量193 收藏
点赞数
分类专栏: Linux笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45149848/article/details/99682820
版权

一、分类

1、逻辑上分为
(1)主机防火墙:针对单个主机进行防护
(2)网络防火墙:处于网络入口或者边缘
2、物理上分为
(1)硬件防火墙:硬件级别实现防火墙功能,性能高,成本高
(2)软件防火墙:应用软件处理逻辑运用于通用硬件平台,性能低,成本低

二、四表五链

1、四表
filter :负责过滤功能,防火墙,内核
nat :网络地址转换功能,内核模块
raw :关闭nat表上启用的链接追踪机制
mangle :拆解报文,作出修改,重新封装

      表是链上具有相同高性能呢个规则的合集

2、五链
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING

 四个表在同一个链中有优先次序:
 raw>mangle>nat>filter

三、iptables

       iptables并不是真正意义上的防火墙,可以理解为一个客户端工具。netfilter才是防火墙真正的安全框架,位于内核空间中。iptables是一个命令工具,位于用户空间,通过这个命令来操作netfilter。

1、防火墙配置

-t:指定要操作的表
-L:表示列出规则
-v:列出详细信息
-n:表示不解析地址,直接显示IP地址
–line-numbers:表示显示规则号
-x:显示出计数器的精确值

iptables -L 查看所有规则
iptables -F 清空规则
iptable -t filter -D INPUT 1 清除链的某个规则
iptables -t filter -L 查看指定表的规则
iptables -nvL --line-number

2、iptables常用命令
-A:将一个规则添加到链末尾
-I:将一个规则添加到第一行
-D:将指定链中的规则删除
-F:指定链中所有规则删除
-L:列出所有规则
-R:修改

iptables -t filter -I INPUT -s 192.168.1.69 -j ACCEPT
iptables -t filter -I INPUT -s 192.168.1.69 -j DROP
iptables -t filter -I INPUT -s 192.168.1.69 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.69 -p tcp --dport 80 -j DROP

-s:原地址
-d:目的地址
-p:协议    --dport 目标端口    --sport 源端口

3、target
ACCETP:接受
DROP:丢弃
REJECT:拒绝

4、创建自定义链
当默认的链规则非常多时不方便管理,可以选择创建自定义链

  • 在filter表中创建web自定义链

iptables -t filter -N web

  • 在INPUT链中引用刚才定义的链

iptables -t filter -I INPUT -p tcp --dport 80 -j web

  • 将web自定义链命名为IN_WEB

iptables -E IN_WEB

删除自定义链需要满足两个条件:
1、自定义链没有被引用
2、自定义链中没有任何规则

如果没有在默认链中引用自定义链,自定义链中的内容不生效。

四、黑名单与白名单

1、黑名单机制

当链的默认策略为ACCEPT时,链中的规则应为DROP或REJECT,表示只有匹配到规则的报文才会被拒绝,没有被匹配到的报文则会被接受,这就是黑名单机制。

2、白名单机制

当链的默认策略为DROP时,链中的规则应为ACCEPT,表示只有匹配到的规则才会被接受,没有匹配到的则会被默认拒绝,此为白名单机制。

默认策略设置为DROP存在缺点,即在对应的链中没有设置任何规则时,管理员也会把自己拒之门外,一旦使用iptables -F清空规则,所有数据包都将无法进入。

注:若要使用白名单机制,最好将链的默认策略保持ACCEPT,然后将“拒绝所有请求”放在链的尾部,将放行规则写在前面。

五、NAT、SNAT、DNAT

NAT,译为“网络地址转换”,它可以修改报文的IP地址。通常会被集成到路由器、防火墙、或独立的NAT设备中。

在局域网内,大家的IP都是私有IP,但内部的网络在上网的时候都是经过路由器、防火墙的处理,对外显示的是路由器或防火墙的地址
SNAT地址转换

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source 192.168.1.120

  • -t nat表示操作nat表
  • -A POSTROUTING 表示将SNAT规则添加到POSTROUTING链末尾
  • -s 192.168.2.0/24 代表来源网段
  • -j SNAT 表示SNAT动作,对匹配的报文进行源地址转换
  • –to-source 192.168.1.120 表示匹配到的报文源地址修改为192.168.1.10

DNAT地址转换

iptables -t nat -I PERROUTING -d 192.168.1.153 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.153:80

旅行的猫咪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SNAT&DNAT策略
白雪滑落树梢
10-02 2360
文章目录前言一总结 前言 一 总结
NetFilter/iptables防火墙设置
zhangxinrun的专栏
01-03 1963
<br />大多数主要的Linux发行商,包括SuSE,在防火墙设置方面都有某些独特的用户接口特征。他们这样并没有错,但是这样我就无法直接得到最想要的配置,所以只好自己手动设置。Iptable man页面完全是个依照iptable命令行句法的文件,它不提供关于将不同规则的防火墙结合起来的指导说明。你可以搜索到许多零散的关于iptables的信息,但是这些都不足以教会我想要弄明白的东西。最后我用运行着SuSE Linux Pro10.0 的一个Vmware虚拟机终于弄清楚了到底应该怎样做。下面就是用iptab
基于OSI七层过滤数据包的NetFilter防火墙设置
zyb243380456的专栏
03-24 1331
#基于OSI七层过滤数据包的NetFilter防火墙设置 #1、清除所有tables中的规则链 #iptables -F #清除所有已经指定的规则 #iptables -X #除掉所有用户自定义的tables #iptables -Z #将所有的chain的记数与流量统计归零 #2、给NetFilter表的链设置不同的默认放行策略 #iptables -P INPUT DROP #如果进入Ne
iptables实质
weixin_33973600的博客
05-26 183
原文链接:http://blog.chinaunix.net/uid-26824563-id-3308320.html基本概念:http://caisangzi.blog.51cto.com/6387416/1286421 iptables 防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮...
linux防火墙_深入理解iptables防火墙
weixin_39891272的博客
10-19 160
本文部分内容节选自:netfilter/iptables 简介 - IBM developerWorks0x00 Linux 安全性和 netfilter/iptables Linux 因其健壮性、可靠性、灵活性以及好象无限范围的可定制性而在 IT 业界变得非常受欢迎。Linux 具有许多内置的能力, 使开发人员可以根据自己的需要定制其工具、行为和外观,而无需昂贵的第三方工具。 如果 Linux...
防火墙介绍
03-18
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制...
Delphi控制Windows防火墙
11-28
Delphi打开关闭Windows防火墙
实验三 防火墙内容过滤配置_防火墙_
10-03
掌握防火墙内容过滤配置方法,实现根据不同应用场景,灵活配置内容过滤策略,保证内网用户合理要求
阿尔卡特防火墙配置手册
06-25
阿尔卡特防火墙配置手册
360网神防火墙配置手册
08-24
360网神防火墙配置手册
华为防火墙实战指南-14730681.pdf
12-03
华为防火墙实战指南-14730681.pdf
H3C防火墙配置指南(高清)
12-13
H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置指南(高清)H3C防火墙配置...
ensp防火墙USG6000v
最新发布
02-04
eNSP里面的防火墙USG6000v可用版本,解决eNSP里防火墙USG6000v为beta版的问题 适合刚入手学习eNSP及其防火墙配置的实验 亲测可配置云、nat、IP v6过渡技术、VRRP、隧道等技术
防火墙上实现胖客户端SSL×××
weixin_34290390的博客
04-25 108
实验实验拓扑图:实验步骤:各设备IP地址规划:R2(config)#intf0/1R2(config-if)#ipadd100.0.0.2255.255.255.252R2(config-if)#noshutR2(config-if)#intf0/0R2(config-if)#ipadd200.0.0.2255.255.255.252R2(config-i...
防火墙综合项目实验(IPSec+Easy+SSL无客户端+SSL胖客户端)
m0_46491952的博客
03-17 612
防火墙综合实验
防火墙的定义及其分类
qq_49091880的博客
03-30 4579
所谓“防火墙”,是指一种将内部网络和公众访问网络(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。 防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。 防火
02-防火墙介绍
qianlai22的博客
03-04 5223
包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL,Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。(五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议) 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 随着ACL复杂度和长度的增加,其过滤性能呈
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值