防火墙基础与IPtables配置

最新推荐文章于 2024-07-06 15:04:08 发布
最新推荐文章于 2024-07-06 15:04:08 发布
阅读量571 收藏 19
点赞数 17
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74299972/article/details/139508810
版权

防火墙概述

防火墙是网络中的关键安全组件,作为网络的第一道防线,它用于监控和控制进出网络的数据流。防火墙可以按照逻辑和物理划分进行分类。

逻辑划分

  • 主机防火墙:用于保护单个主机或本地计算机。
  • 网络防火墙:用于保护一个或多个网络,包括内部网络和外部网络之间的边界。

物理划分

  • 硬件防火墙:如思科、华为、天融信等提供的物理设备。
  • 软件防火墙:如tcpwrappers、iptables等运行在操作系统上的软件工具。

iptables基础

iptables是Linux系统下的一个强大的网络数据包处理工具,它允许用户配置网络数据包过滤规则,实现防火墙功能。iptables不是防火墙本身,而是配置Linux内核中netfilter的接口工具。

iptables功能

  1. 数据包过滤:根据规则匹配数据包,决定是否允许其通过。
  2. 数据包重定向:即转发,改变数据包的目标地址或端口。
  3. 网络地址转换(NAT):包括源地址转换(SNAT)和目标地址转换(DNAT)。

iptables规则链与表

iptables中定义了四个表和五个链。

    • filter:用于过滤数据包(INPUT, OUTPUT, FORWARD链)。
    • nat:用于网络地址转换(PREROUTING, OUTPUT, POSTROUTING链)。
    • mangle:用于数据包修改(INPUT, FORWARD, OUTPUT, PREROUTING, POSTROUTING链,但通常不使用INPUT链)。
    • raw:用于数据包跟踪(PREROUTING, OUTPUT链)。
    • INPUT:处理进入本机的数据包。
    • OUTPUT:处理本机发出的数据包。
    • FORWARD:处理经过本机的数据包。
    • PREROUTING:用于数据包路由前修改目的地址(如DNAT)。
    • POSTROUTING:用于数据包路由后修改源地址(如SNAT)。

iptables规则制定思路

  1. 选择表:根据处理需求选择合适的表。
  2. 选择链:确定数据包流经的位置。
  3. 设置条件:匹配数据包的具体特征。
  4. 指定动作:对匹配的数据包执行的操作(ACCEPT, REJECT, DROP等)。

iptables语法与参数

iptables的基本语法为:

iptables [ -t 表名 ] 管理选项 [ 链名 ] [ 条件匹配 ] [ -j 目标动作 ]

常用参数:

  • -L:列出规则。
  • -n:以数字形式显示地址和端口。
  • -t:指定要操作的表。
  • -F:清空指定链中的所有规则。
  • -A:在链的末尾添加规则。
  • -I:在链的指定位置插入规则。
  • -D:删除指定规则。
  • -P:设置链的默认策略。
  • -p:指定协议(如tcp, udp等)。
  • -s:指定源地址或源地址范围。
  • -d:指定目标地址或目标地址范围。
  • -i:指定入站网络接口。
  • -o:指定出站网络接口。
  • -j:指定匹配成功后的目标动作。

FTP协议与iptables配置

FTP协议(文件传输协议)是一个特殊的协议,它使用两个端口:控制端口(默认为21)和数据端口(通常随机)。在iptables中配置FTP需要特别处理数据端口的动态性。

FTP三次握手

  1. 建立连接:客户端向FTP服务器发送连接请求(SYN=1)。
  2. 已建立连接:服务器确认连接,双方进入数据传输状态。
  3. 断开连接:数据传输完成后,双方断开连接。

FTP端口处理

  • 对于控制端口(21),可以直接设置iptables规则允许连接。
  • 对于数据端口,由于它是动态分配的,需要使用iptables的模块(如ftp模块)来识别并允许这些端口的数据流。

iptables配置示例

允许FTP控制端口(21)的连接,并处理数据端口:

iptables的扩展匹配与动作

iptables不仅支持基本的协议、端口、地址匹配,还提供了一系列扩展匹配和动作,以应对更复杂的网络环境和安全需求。

扩展匹配
  • 状态匹配 (-m state): 用于匹配连接的状态(如ESTABLISHED, NEW, INVALID等)。
  • MAC地址匹配 (-m mac): 匹配数据包的MAC地址。
  • 多端口匹配 (-m multiport): 允许同时指定多个端口进行匹配。
  • 字符串匹配 (-m string): 在数据包中搜索指定的字符串。
扩展动作
  • 记录日志 (LOG): 将匹配的数据包记录到系统日志中,但不阻止数据包。
  • 返回拒绝消息 (REJECT): 拒绝数据包,并向发送方发送一个ICMP错误消息。
  • 限速 (LIMIT): 限制匹配的数据包的速率。

FTP服务的iptables优化

对于FTP服务,由于数据端口是动态分配的,因此需要确保iptables能够正确处理这些动态端口。除了使用ftp模块外,还可以采取以下策略来优化FTP服务的iptables配置:

  1. 允许PASV模式:在FTP服务器上启用PASV(Passive)模式,这样客户端将使用服务器指定的端口进行数据传输,而不是默认的动态端口范围。然后,你可以在iptables中明确地允许这些端口。

  2. 使用端口范围:如果你知道FTP服务器使用的数据端口范围,你可以使用iptables的multiport扩展来允许这个范围内的所有端口。

  3. 使用IPtables的ftp模块:iptables的ftp模块可以自动处理FTP的数据连接,并允许通过FTP控制连接建立的任何数据连接。

  4. 配置NAT:如果你的FTP服务器位于NAT(网络地址转换)环境中,确保你的NAT规则允许FTP的数据连接通过。你可能需要使用iptables的NAT表来设置适当的规则。

  5. 监控和日志记录:使用iptables的LOG动作来记录FTP相关的数据包,以便你可以监控和分析FTP流量。这有助于你识别潜在的安全问题或性能瓶颈。

iptables规则保存与恢复

在Linux系统中,iptables规则默认在重启后会丢失。为了保存和恢复iptables规则,你可以使用以下方法:

  • 使用service命令(适用于某些Linux发行版):

    sudo service iptables save
    sudo service iptables restart

  • 使用iptables-save和iptables-restore命令

    sudo iptables-save > /etc/iptables/rules.v4
    sudo iptables-restore < /etc/iptables/rules.v4

    这里假设你将规则保存在/etc/iptables/rules.v4文件中。你可以根据需要修改这个路径。

注意事项

  • 在配置iptables规则时,始终确保你有一种方法可以从外部访问你的系统(如SSH),以便在需要时可以远程登录并修改规则。
  • 在应用新的iptables规则之前,最好先在测试环境中验证它们的有效性,以避免意外地切断对系统的访问。
  • 定期审查和更新你的iptables规则,以确保它们仍然符合你的安全需求和业务需求。
# 允许FTP控制端口连接
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# 允许FTP数据端口连接(使用ftp模块)
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
IP MAC
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 防火墙配置iptables和firewalld)
m0_49864110的博客
02-21 1万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
防火墙基础iptables基本配置
pygain的博客
08-31 2733
iptables 与最新版本Liunx内核集成的ip信息包过滤系统。 该系统是一种强大的工具可用于添加、编辑和除去规则,这些规则是做信息包过滤决定的,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤过程中,规则被分组在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统称为一个实体,实际由netfilter和iptables组成。 netfilter组件也称为内核空间(kernelspace),是内核
配置iptables防火墙(一)
a1991376352的博客
07-23 1766
linux系统给的防火墙功能是由内核实现的2.0版内核中,包过滤机制是ipfw,管理工具是ipfwadm2.2版内核中,包过滤机制是ipchain,管理工具是ipchains2.4版及以后的内核中,包过滤机制是netfilter,管理工具是iptablesnetfilter位于Linux内核中的包过滤防火墙功能体系称为Linux防火墙的“内核态”iptables(不能抓arp包,tcpdump可以抓)位于/sbin/iptables,是用来管理防火墙的命令工具。...
利用Linux自带的iptables配置防火墙
野原新之助
06-05 8782
利用Linux自带的iptables配置防火墙,完成如下配置: (1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP和HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加。
Linux防火墙基础 —— iptables防火墙
rqaz123的博客
03-08 226
iptables防火墙 Linux防火墙基础 iptables的表、链结构 数据包控制的匹配流程 编写防火墙规则 基本语法、控制类型 添加、查看、删除规贝 规则的匹配条件 iptables概述 Einux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables关系: netfilter:属于"内核态”(Kernel Space,又称为内核空间
iptables防火墙配置和基本使用
热门推荐
菜鸟、上路
05-22 1万+
一、iptables常见概念 1、iptables概述 netfilter/iptables:IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成。 netfilter/iptables 关系: netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptable...
Iptables 防火墙配置与使用
pray030的博客
03-07 1851
实验名称 Iptables 防火墙配置与使用 实验目的 1.熟悉iptables 防火墙使用原理 2.学习使用 iptables 进行一些网络安全配置 实验内容 1.测试一些iptables 的基本命令 1.1启动防火墙/ 关闭防火墙 (加sudo) Ufw enable/ ufw disable 1.2查看本机关于iptables配置 iptables -L 1.3清除预设表filter 中的所有规则 iptables -F 1.4保存现有规则 使用命令 /sbin/iptables-save
linux 基础命令docker及防火墙iptables详解
hakksjss的博客
04-16 1741
{ "registry-mirrors": [ "https://6gyvb665.mirror.aliyuncs.com" ] } 配置阿里云源。docker (客户端) run(子命令) (镜像名称) 镜像地址: https://registry.hub.docker.com/:拒绝,给回应,服务端收到数据包,给客户端发送一个数据,告诉他不收了。删除失败大概率由于容器占用镜像资源,此时删除占用的容器即可。本质上容器为操作系统上的一个进程,但加入了对资源的限制。镜像创建时间,指仓库中创建的时间。
防火墙篇之iptables
kali_yao的博客
09-05 1315
目录 一.防火墙的概述 二.iptables基本原理 1.iptables防火墙具有4表5链 2.iptables命令的基本使用方法 三.filter过滤和转发控制 2.网络防火墙案例 四.防火墙扩展规则 1.根据MAC地址过滤 2.基于多端口设置过滤规则 3.根据IP地址范围设置规则 五.配置SNAT实现共享上网 1.配置SNAT策略的概述 2.搭建内外网案例 一.防火墙的概述 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包
Linux防火墙配置 iptables配置
01-24
学习Linux防火墙基础教程.包括Linux下的iptables防火墙的策略的学习和精通.
Linux下IPTABLES配置详解
01-30
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定...
iptables配置脚本_iptables配置脚本.sh_
10-02
基础iptables配置脚本,一键加固Linux防火墙
iptables防火墙设置
05-13
本文档详细介绍了iptables防火墙的设置和配置,包括iptables的基本概念、防火墙配置原则、iptables基础语法、ip和网卡接口设置、设定端口访问、模块调用等方面的知识点。 一、iptables基本概念 iptables是Linux...
2023-2024华为ICT大赛中国区 实践赛网络赛道 全国总决赛 理论部分真题
gaogao0305的博客
07-02 536
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 理论部分考试真题,涵盖数通模块10题、安全模块7题、WLAN模块3题
windows网络进阶之listen参数含义
m0_62681656的博客
07-02 788
在Windows网络编程中,在使用TCP时,listen函数它是一个重要的关键的步骤,使得套接字能够接收传入的连接请求,下面我主要通过实战案例讲解listen参数的含义。注:本章是一个进阶篇,前提是能够掌握基础windows网络编程概念。二、listen参数1.SOCKET s这是一个已绑定(通过bind函数)的套接字,作用用于接收客户端的连接请求。这个参数比较好理解,我们重点讲解第二个参数。挂起的连接队列的最大长度。
软考数据库——第五章网络基础知识(知识点介绍和历年真题)
最新发布
分享关于数据的知识。
07-06 90
第五章网络基础知识
常见网络攻击方式及防御方法
2301_76786857的博客
07-04 888
网络攻击对个人、组织和整个社会都带来了严重的威胁,因此必须采取有效的安全措施来保护网络系统和用户的信息安全。
AVIO自定义读写
qq_54017644的博客
07-05 164
AVIO编程实战---极精简代码
IPtables的基本操作.pdf
07-11
IPtables的基本操作.pdf 学习资料 复习资料 教学资源

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值