Linux:iptables防火墙

最新推荐文章于 2024-01-15 16:33:47 发布
最新推荐文章于 2024-01-15 16:33:47 发布
阅读量386 收藏 1
点赞数
分类专栏: # Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45730091/article/details/110145918
版权

防火墙

防火墙作用

防火墙作为一种访问控制设备, 常常安装在内部网络和外部网络的边际上。主要用于保护内部网络的信息安全。

防火墙分类

在这里插入图片描述
逻辑上划分,防火墙可以大体分为主机防火墙和网络防火墙

  • 主机防火墙:针对于单个主机进行防护
  • 网络防火墙:针对网络进行防护,处于网络边缘,防火墙背后是本地局域网
    在这里插入图片描述

物理上划分,防火墙可分为硬件防火墙和软件防火墙

  • 硬件防火墙:在硬件级别实现防火墙功能,另一部分基于软件实现,其性能高,硬件成本高
  • 软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,其性能相较于硬件防火墙低,成本较低

在这里插入图片描述
在这里插入图片描述

Web应用防火墙(WAF)
Web应用防火墙是对web防护(网页保护)的安全防护设备(软件),主要用于截获所有HTTP数据或仅仅满足某些规则的会话,多见于云平台中。
在这里插入图片描述

网络防火墙主外(服务集体),主机防火墙主内(服务个人)

iptables介绍

iptables官网及名称

官网: https://www.netfilter.org

iptables全称为netfilter/iptables, 是linux平台下自带的的开源包过滤防火墙。

iptables功能

  • 包过滤
  • NAT
  • 协助实现策略路由和流量控制
  • 包标记

在这里插入图片描述

iptables组成

规则

iptables是按照规则(rules)来办事的,而规则就是运维人员所定义的条件;规则一般定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。

规则存储在内核空间的数据包过滤表中,这些规则分别指定了源地址、目的地址,传输协议(TCP、UDP、ICMP)和服务类型(HTTP、FTP)等。

当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,比如放行(ACCEPT)、拒绝(REJECT)、丢弃(DROP)等

当客户端访问服务器端的web服务时,客户端发送访问请求报文至网卡,而tcp/ip协议栈是属于内核的一部分,所以,客户端的请求报文会通过内核的TCP协议传输到用户空间的web服务,而客户端报文的目标地址为web服务器所监听的套接字(ip:port)上,当web服务器响应客户端请求时,web服务所回应的响应报文的目标地址为客户端地址,我们说过,netfilter才是真正的防火墙,属于内核的一部分,所以,我们要想让netfilter起到作用,我们就需要在内核中设置“关口”,所以进出的数据报文都要通过这些关口,经检查,符合放行条件的准允放行,符合阻拦条件的则被阻止,于是就出现了input和output关口,然而在iptables中我们把关口叫做“链”。
在这里插入图片描述

五条链
  • INPUT
  • OUTPUT
  • FORWARD
  • PREROUTING
  • POSTROUTING
    在这里插入图片描述

四张表

  • filter: 实现对数据包的过滤
  • nat: 主要修改数据包的地址和端口,例如源地址或目标地址
  • mangle:对数据包进行修改,例如给数据包打标记MARK
  • raw:主要做连接追踪

iptables-services安装

说明

只要有iptables命令就可以写规则,但是在centos7上软件包不安装完全,是没有iptables服务的(主要安装iptables-services软件包)。

iptables-services安装

# yum  -y install iptables-services
# systemctl start iptables.service
# systemctl enable iptables.service

iptables策略管理

Iptables基本语法

在这里插入图片描述

-A   增加一条规则,后接链名,默认是加到规则的最后面
-D   删除
-L   列出规则 
-n   以数值显示 
-I   在最前面插入规则 
-v   显示统计数据,与-L一起用,看到的信息更多

-F   清空规则
-z   清空计数器
-x   清空自定义链

-t   后接表名
-P   policy,默认策略
-p   protocol,后接协议名
--dport	 目标端口
--sport  源端口
-d  destination,目标地址
-s  source,源地址	
-i  接网卡接口, 进入的网卡接口
-o  接网卡接口, 出去的网卡接口
-j  后接动作

动作的分类:

ACCEPT    	接收数据包
DROP	    丢弃数据包
REJECT   	拒绝数据包,和DROP的区别就是REJECT会返回错误信息,DROP不会
MASQUEREAD  IP地址伪装,使用NAT转换成外网IP,可以PPP拔号(外网IP不固定情况)
SNAT   		源地址转换,它与MASQUEREAD的区别是SNAT是接一个固定IP
DNAT		目标地址转换
LOG    		记录日志

查看规则

注意: 不指定表,默认为filter表

# iptables  -L
# iptables -t filter -L
# iptables -t  nat -L
# iptables -t  mangle -L
# iptables -t  raw -L

清空默认规则

这三张表可能有默认的规则,我们先把规则都清掉

# iptables -t filter -F
# iptables -t nat -F
# iptables -t mangle -F

保存规则

# service iptables save

web服务器防火墙规则配置

场景: 仅允许web客户端访问web服务端TCP 80端口,其它任何访问都拒绝。

# iptables -F
# iptables -P INPUT DROP
# iptables -A INPUT -p tcp --dport 80  -j ACCEPT

# service iptables save
​​
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables移植+内核修改
大牛攻城狮的专栏
04-21 811
移植iptables过程中出现一些问题,这里记录一下Iptables是用户态提供的更改过滤规则的便捷工具,通过使用这个工具,可以方便的改变内核下netfilter的默认规则,也可以根据自己的需求添加自定的规则。
iptables详解
魏志标的博客
06-26 6496
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
Linux防火墙
lltyyds的博客
12-25 3926
一、安全技术和防火墙 1.安全技术 (1)入侵检测系统(Intrusion Detection Systems) 特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式 (2)入侵防御系统(Intrusion Prevention System) 以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以
iptables】规则查询
m0_56573171的博客
12-27 2349
当需要禁止某个IP地址访问我们主机时,则需要在INPUT链上定义规则,因为报文发往本机时,会经过PREROUTING链与INPUT链,所以如果我们想禁止某些报文发往主机,只能在PREROUTING链与INPUT链中定义规则,但是PREROUTING链并不存在与filter表中,换句话说,PREROUTING关卡天生就没有过滤能力,所以只能在INPUT链中定义。target 表示规则对应的target,往往表示规则对应的动作,即规则匹配成功后需要采取的措施。条件匹配用于指定对符合什么样条件的数据包进行处理;
Linux常用命令——iptables-save命令
AI的博客
04-19 900
用于将linux内核中的iptables表导出到标准输出设备商,通常,使用shell中I/O重定向功能将其输出保存到指定文件中。备份iptables的表配置。
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
第十八章:iptables防火墙应用1
08-08
第十八章:iptables防火墙应用一、iptables防火墙基础;二、iptables规则编写;三、实战演练;一、iptables防火墙基础;1.概述:保护内
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用。通过学习本节课程,学生将...
Linux Ubuntu系统iptables防火墙配置
11-11
为了确保服务器安全,... 防火墙版本:iptables v1.6.0 实施目标:服务器本机及指定主机可访问服务器端口资源,其它主机只能访问公开的HTTP端口,无法探测及访问数据库等不开放端口,避免漏洞报告等不停更新的烦恼。
Linuxiptables防火墙的应用教程
10-16
Linuxiptables 防火墙的应用教程 Linux 上的 iptables 防火墙是一种常用的防火墙软件,能够控制访问 Linux 系统的流量。iptables 防火墙的基本应用包括安装、清除规则、开放指定端口、屏蔽指定 IP、删除已添加...
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4266
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
iptables
有生之年
08-13 1339
iptables iptableslinux上常用的防火墙软件,是netfilter项目的一部分。 策略(通/堵) 默认策略:拒绝所有数据包从入口方向进入 通:默认“门“关闭,须指定谁能进。 堵:默认“门”开启,须持有身份认证才可进入。 通,是要全通,堵,是要选择。 定义策略时,分别要定义多条功能。 安装 #yum install iptables iptab...
Iptables介绍和实用使用方法
cbuy888的博客
05-20 8197
一、简介1)---> IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统,在redhat7.1 centos7.1以上都内置装有。2)---> iptables 的最大优点是它可以配置有状态的防火墙,有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。 -状态 ESTABLISHED 指出该信息包...
(第四章)容器化思维
喜欢打篮球的普通人
02-11 478
文章目录1.容器化思维 1.容器化思维 容器的本质是一个进程以及运行该进程所需要的各种依赖,我们不需要去备份一个容器,而是应该把需要备份的数据放在容器外挂的volume里或者数据库里。 若要进入容器,进行程序调试的话: docker exec -it <containerName> bash Docker的日志管理方法 (1)在容器内收集 (2)在容器外收集 (3)在专用容器...
iptables防火墙详解(一)
weixin_30905981的博客
09-10 184
-- 防火墙 常见的防火墙 :瑞星 江民 诺顿 卡巴斯基 天网...... iptables firewalld http://www.netfilter.org/ netfilter / iptables --iptables 的全名 2.4版本内核后都集成有这个组件 # yum install iptables\* # rpm -qa |grep i...
常用到的Linux防火墙——iptables/firewalld
Chinese_big_boy的博客
08-29 1580
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。...
linux防火墙介绍
最新发布
huaweichenai的博客
01-15 617
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙,firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。IptablesLinux系统内核集成的IP数据包过滤系统,全称为netfilter/iptables。当系统接入网络时,该系统可以帮助在Linux系统上更好地控制IP信息包。
centos 7 安装及配置 iptables (yum install iptables-services)
英俊帅比林的博客
11-15 4923
一、防火墙配置 不知道为什么,云主机没有开启firewall 或iptables,记录一下配置iptables防火墙的步骤 1、检测并关闭firewall 1 2 3 4 5 systemctl status firewalld.service #检测是否开启了firewall systemctl stop firewalld.service #关闭firewall sytsemctl disab...
linux iptables防火墙
09-13
Linuxiptables防火墙是一种基于内核的防火墙工具,可以用于配置和管理网络流量的过滤规则。在CentOS 7上,默认使用的是firewalld防火墙,但可以通过关闭firewalld并安装iptables来启用iptables防火墙。 要关闭...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值