系统安全之万里长城——Iptables与Firewalld

最新推荐文章于 2024-04-30 09:06:34 发布
最新推荐文章于 2024-04-30 09:06:34 发布
阅读量403 收藏 1
点赞数
分类专栏: Linux学习手记 文章标签: linux iptables 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46310295/article/details/106389032
版权

防火墙管理工具

防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。

防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址端口号协议应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在内网和公网之间流动了。

防火墙示例

防火墙

在Linux系统中,IptablesFirewalld是非常常用的防火墙管理工具。两者之间最大的区别是:iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。

Iptables

策略与规则链

防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。
一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
Iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:

  • 在进行路由选择前处理数据包(PREROUTING);

  • 处理流入的数据包(INPUT);

  • 处理流出的数据包(OUTPUT);

  • 处理转发的数据包(FORWARD);

  • 在进行路由选择后处理数据包(POSTROUTING)。

在实际的应用中,最常用的就是INPUT规则链,对该链上的策略进行适当的配置,可以极大的增强系统的安全性。
Iptables中,对流量有四种处理策略,分别是:

  • ACCEPT(允许流量通过)
  • REJECT (拒绝流量通过)
  • DROP(拒绝流量通过)
  • LOG(记录日志信息)

其中,REJECTDROP的区别在于:REJECT拒绝后,会向对方回复一条拒绝消息 ,而DROP拒绝则是直接丢弃,不对其进行任何回复。

代码演示:

#使用REJECT策略,会显示对方主机无法连接
[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
From 192.168.10.10 icmp_seq=2 Destination Port Unreachable
From 192.168.10.10 icmp_seq=3 Destination Port Unreachable
From 192.168.10.10 icmp_seq=4 Destination Port Unreachable
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms

#使用DROP策略,无法准确判断对方主机信息
[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.

--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms
基本的命令参数

iptables命令可以根据流量的源地址目的地址传输协议服务类型等信息进行匹配,一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。

iptables中常用的参数以及作用:

参数 作用
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加叹号!表示除这个IP外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如TCP、UDP、ICMP
--dport num 匹配目标端口号
--sport num 匹配来源端口号

代码演示&

最低0.47元/天 解锁文章
aogSpock
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 7 防火墙, 计算机的保卫长城
微软大中华区安全博客
11-22 2358
<br />从建筑学的角度来看,防火墙是用砖石材料、钢筋混凝土等非可燃材料建造,能够切断一切燃烧体。而在计算机系统中,防火墙根据安全策略对网络之间或网络与主机之间的通信进行限制,是计算机的安全防线。下面我将详细介绍 Windows 7 内置的防火墙,与大家共同体验它的灵活与专业。<br />Windows 7 防火墙总览<br />从 Windows XP 开始,Windows 系统就自带防火墙,防止黑客或恶意软件通过网络入侵您的计算机。经过 Windows Vista 的发展,Windows 7中的防火墙
一文讲明白iptablesfirewall区别
m0_61230499的博客
03-28 1030
iptablesfirewall区别还是挺大的,本文分享了两者在各方面的差异,根据个人的积累的经验做的分享。
信息化工作人员必备常识11——DNS污染&本地hosts文件缓存影响
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
04-30 1182
DNS污染又称域名服务器缓存投毒(DNS cache poisoning) **DNS污染**和**DNS劫持**的不同之处在于: DNS污染针对的是DNS缓存,是在查询信息到达目标DNS服务器前,经过的节点上做手脚。 DNS劫持是修改DNS服务器中的记录,要先取得DNS服务器的控制。
linux中的防火墙的基本设置---firewlld、iptables
热门推荐
ly2020_的博客
06-05 2万+
1 防火墙介绍: 1.1 防火墙的分类 (一)、包过滤防火墙 数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址,所用的端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。 包过滤防火墙的优点是它对用户来说是透明的...
防火墙真的“防火”了吗?
昆仑山论剑的博客
03-01 925
作者简介:山人笑笑生是位资深网络安全行业大咖,从业十多年,职业项目经理,高级讲师,CISSP、CISP、PMP、CCIE证书持有者 原文链接:https://mp.weixin.qq.com/s/MhVEZKuDXJCcyiIqHU2HBw 前几天在某单位IDC机房碰见一个安装硬件网络防火墙的工程师,他把防火墙部署上架后,调试了一个全放行策略,然后就收拾家伙准备离去。 在网络安全层面,防火墙...
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
iptablesfirewalld加固服务器安全思维导图
05-05
iptablesfirewalld加固服务器安全思维导图
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法 iptablesfirewalldLinux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍...
IptablesFirewalld防火墙(MD格式)
最新发布
07-09
IptablesFirewalld防火墙(MD格式)
iptablesfirewalld.pdf
11-30
很详细的iptablesfirewalld
linuxiptablesfirewall区别
u011029104的专栏
06-24 1195
firewall是centos7里面的新的防火墙命令,它底层还是使用 iptables 对内核命令动态通信包过滤的,简单理解就是firewall是centos7下管理iptables的新命令 Linux就该这么学:linuxprobe.com/chapter-08.html
网络地址转换NAT
m0_55637617的博客
03-21 249
网络地址转换NAT实现方式工作原理如何配置PAT端口多路复用PAT的基本原理PAT的作用和类型EasyIp和NAT Server 实现方式 实现方式有三种 1.静态转换 2.动态转换 3.端口地址转换 工作原理 NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信 NAT外 部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发。 如何配置 [R1]nat static globa
nagios 部署手册
preamble_1的博客
02-22 7511
nagios 监控实战 监控服务器(nagios服务器--192.168.1.100) Linux 5.3 + nagios-3.2.1 + nagios-plugins-1.4.15 +nrpe-2.12 被监控客户端(linux客户端/windows客户端--192.168.1.200) CentOS5.4 + nagios-plugins-1.4.14 + nrpe-2.12
linux的一些基本命令
weixin_33824363的博客
03-20 66
ifconfig 查看网络接口信息ifconfig eth0 查看eth0接口信息ifconfig -a 查看所有网络接口信息route 查看主机路由信息ping 测试与其他主机的网络连接tracroute 测试与其他主机的网络连接路径hostname 查看主机的主机名称nslookup 用于进行域名解析ifconfig ...
linux mtu ip net,常用Linux路由命令大全(修改IP地址和MTU大小等)
weixin_36410141的博客
05-07 1151
些常用的Linux下的路由配置命令,这些命令会涵盖各种功能,比如说修改网络接口、IP地址和MTU大小、查看和更改主机的linux路由表、修改硬件设备参数name和address等等。第一组命令: ifconfig, ifup, ifdown1) ifconfig作用:手动启动、观察与修改网络接口的相关参数,包括IP地址以及MTU大小等。例1.1:暂时修改IP地址# ifconfig eth0 19...
react-native环境搭建
android_ls的专栏
02-05 3485
一、环境配置 1、安装Homebrew(Homebrew 是 Mac 中的一个包管理器,官网http://brew.sh),执行下面命令:/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"你可能会遇到如下错误: fatal: unable to acc
linux服务器的架设(dhcp,nis,samba,ftp,dns)
weixin_33872660的博客
04-28 303
DHCP服务器的架设一、准备 Linux企业4为服务器,红帽子9和xp为客户端二、配置DHCP服务器1、打开终端2、设ip地址 netconfig ip address 192.168.10.10 子网掩码:255.255.255.0 网关: 192.168.10.10...
linuxiptablesfirewalld 的关系
05-31
iptablesfirewalld都是Linux系统中的防火墙工具,用于管理网络数据包的过滤和转发。iptablesLinux内核中的防火墙工具,其通过一系列规则过滤和转发网络数据包。firewalld是一个用户空间的动态防火墙管理工具,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值