iptables实例2-state模块

已于 2022-02-22 22:22:45 修改
阅读量1.8k 收藏
点赞数
分类专栏: iptables 文章标签: 网络 网络协议
于 2022-02-22 11:51:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuyuyuliang00/article/details/123063011
版权

iptables实例2-state模块

state模块介绍

state扩展是"conntrack"模块的子集。"state"允许访问这个包的连接追踪状态。
[!] --state state:INVALID ESTABLISHED NEW RELATED或UNTACKED.
NEW:新连接请求
ESTABLISHED:已建立的连接
INVALID:无法识别的连接
RELATED:相关联的连接,当前连接是一个新请求,但附属某个已存在的连接
UNTRACKED:未追踪连接
state扩展:
内核模块装置:nf_conntrack nf_conntrack_ipv4
手动装置:nf_conntrack_ftp

    追踪到的连接:/proc/net/nf_conntrack
    调整可记录的连接数量最大值:/proc/sys/net/nf_conntrack_max

实验准备:

见https://blog.csdn.net/yuyuyuliang00/article/details/123012202?spm=1001.2014.3001.5501中的准备工作
清空前一次实验中iptables filter表中链上的所有规则:
在这里插入图片描述

在web1上添加INPUT链规则

1、允许目标地址192.168.200.3,目标端口是22,80的状态为新建tcp连接入栈
2、允许目标地址192.168.200.3,源地址是指定ip,源端口为7000的状态为新建tcp连接入职
3、允许目标地址192.168.200.3的所有已建立连接入栈
4、拒绝目标地址192.168.200.3的所有数据包入栈
在这里插入图片描述

查看web1上的filter表

在这里插入图片描述

在web1上添加OUTPUT链规则

1、允许源地址192.168.200.3的所有状态已建立连接出栈
2、拒绝源地址192.168.200.3的所有状态为其它状态的连接出栈
在这里插入图片描述

在web2上测试web1的http和telnet服务

web2可以访问web1的http服务,web2不能访问web1的telnet服务
在这里插入图片描述

更改web1上filter表INPUT链上第一条规则,放行telnet

在这里插入图片描述

测试web1的telnet服务

从web2上通过telnet登录web1测试成功:
在这里插入图片描述

web1作为客户端访问时间服务器

用proxy(192.168.200.2)上运行时间服务器chronyd
在这里插入图片描述
在放行123,323 udp端口前,在web1上进行时间同步:
结果如下:同步失败
在这里插入图片描述
在web1上添加放行访问123,323 udp端口的输出规则,并且时间同步测试成功测试:
在这里插入图片描述

添加日志记录功能:

在web1上添加以下规则:对web1进行telnet访问时,在新建telnet连接时将在/var/log/messages中记录一条访问记录:
iptables -t filter -I INPUT 1 -d 192.168.200.3 -p tcp --dport 23 -m state --state NEW -j LOG --log-prefix “access telnet”

在web2上telnet登录web1后,返回web1查看/var/log/messages中日志,可以看到一条从192.168.200.4登录192.168.200.3:23的记录:
在这里插入图片描述

iptables 自定义链使用

在web1上定义自定义链:iptables -N in_ping_rules
在这里插入图片描述
在web1的自定义链上定义规则:
#拒绝web1和web2之间的icmp报文
iptables -t filter -A in_ping_rules -d 192.168.200.3 -s 192.168.200.4 -p icmp -j REJECT
#允许目标地址为192.168.200.3的icmp请求报文
iptables -A in_ping_rules -d 192.168.200.3 -p icmp --icmp-type 8 -j ACCEPT
在这里插入图片描述
应用自定义链:
#把自定义链in_ping_rules插入到INPUT链中第五条规则的位置:
iptables -t filter -I INPUT 5 -p icmp -j in_ping_rules
在这里插入图片描述
测试:
1)在web1上对proxy进行icmp请求失败;
2)在proxy和web2上分别对web1进行icmp请求,proxy请求成功,web2请求失败;
在这里插入图片描述

EPICS Technical
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables详解(8):iptables扩展模块state扩展
ss810540895的博客
10-20 455
如果某些与你敌对的人,利用这些端口”主动”连接到你的主机,你肯定会不爽的吧,一般都是我们主动请求80端口,80端口回应我们,但是一般不会出现80端口主动请求我们的情况吧。那么我们仔细的思考一下,造成上述问题的”根源”在哪里,我们为了让”提供服务方”能够正常的”响应”我们的请求,于是在主机上开放了对应的端口,开放这些端口的同时,也出现了问题,别人利用这些开放的端口,”主动”的攻击我们,他们发送过来的报文并不是为了响应我们,而是为了主动攻击我们,好了,我们似乎找到了问题所在?似乎总是有一些不完美的地方。
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
防火墙iptables和firewalld_state_invalid_drop,网络安全常见面试题及答案
最新发布
m0_60147147的博客
04-21 826
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
Iptables防火墙state模块扩展匹配规则
江晓龙的博客
07-09 836
state模块也就是conntrack连接追踪的概念,主要作用就是源端到目标端所经过的路由跟踪记录,通过连接跟踪,就可以分析出源端到目标端所经过的地址,然后判断出有哪些是异常的,哪些是正常的。连接追踪,第一次建立的请求时NEW状态,基于NEW状态之后,在建立的连接是ESTABLISHED状态,RELATED是相关的连接,INVALID是无效的连接。一个典型的场景:当本机的80端口向其他客户端发起了请求,但是并不是ESTABLISHED状态,而是NEW状态,此时一定是有问题的,WEB 80端口不会向客户端发起
Linux安全之iptables高级特性
mengmeng_921的博客
08-17 1364
iptables 是运行在用户空间的应用软件,通过控制 Linux 内核 netfilter 模块,来管理网络数据包的处理和转发。在大部分 Linux 发行版中,可以通过手册页 或 man iptables 获取用户手册。通常 iptables 需要内核模块支持才能运行,此处相应的内核模块通常是 Xtables。Linux安全之iptables高级特性。......
关于iptables连接跟踪模块的NEW状态和INVALID状态的笔记
Chaowanq的博客
04-29 923
前面的状态介绍来源于以下两篇博文: https://blog.51cto.com/misliang/1371361 https://blog.csdn.net/dhRainer/article/details/84846417 状态跟踪 conntrack将数据流的状态信息以Hash表的形式储存在内存中,包括五元组信息以及超时时间等。这里说的状态跟踪并非是指状态协议(如TCP)中连接状态的跟踪,而...
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
centos6-iptables-1.4.7-16.el6.x86-64
08-09
centos6-iptables-1.4.7-16.el6.x86-64
iptables-services-1.4.21-34.el7.x86_64.rpm
09-22
iptables-services-1.4.21-34.el7.x86_64.rpm
iptables-1.4.21-35.el7.i686.rpm和iptables-services-1.4.21-35.e
06-09
iptables-1.4.21-35.el7.i686.rpm和iptables-services-1.4.21-35.e
iptables-1.4.21-35.el7.x86_64.rpm
05-26
centOS7适用,iptables-1.4.21-35.el7.x86_64.rpm
第8章 配置iptables 防火墙基础
08-22 974
在centos7开始,系统自带防火墙为firewalld,也支持iptables iptables概述 netfilter/iptables :IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 netfilter 组件也称为内核空间(Kernelspace)是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables组件是一种工具,也称为用户空间(Userspace),它使插入,修改和去除信息包过滤表中的规则变得容易
解析iptables原里及设置规则
Mo小泽的技术博客
02-28 2525
其实在IT行业里了,不仅是专职的运维人员需要了解 iptables,开发、测试等人员在了解系统架构,环境搭建等过程中也是需要多多少少对 iptables 进行简单的认识与了解的,这样才能在更快的了解架构,环境配置,才能在实际过程中出了问题能有效的排除网络防火墙等原因,iptables就是系统里的防火墙,所有数据的进入都是要经过iptables符合其一定的规则才能流入或流出。
再谈iptables防火墙的连接状态
weixin_34310127的博客
03-17 356
前言   在前面的文中讲过了iptables防火墙连接状态中的ESTABLISHED状态(http://waringid.blog.51cto.com/65148/512140)。除了这个状态之外,iptables还有以下状态,且听我慢慢道来。实验的网络结构以下图为准。  NEW   以下图为例为说明什么是NEW的状态,首先需要知道的是NEW与协议无关,其所指的是每一条连接中的第一个数据...
iptablesstate的4种形式
weixin_34195142的博客
10-20 395
  ESTABLISHED,NEW,RELATED,INVALID. 注意:TCP/IP 标准描述下,UDP及ICPM数据包是没有连接状态的,但在state模块的描述下,任何数据包都有连接状态。 ESTABLISHED:与TCP数据包的关系,首先在防火墙上执行ssh client,并且对网络上的ssh服务器提出服务请求,而这时送出的第一个数据包就是服务请求的数据包,如果实个数据包能成功的穿防火墙,...
iptables常用配置
kwame211的博客
05-13 4891
1. 普通规则1.1 操作规则 iptables -nL 查看本机关于iptables的设置情况,默认查看的是-t filter,可以指定-t nat iptables-save > iptables.rule 会保存当前的防火墙规则设置,命令行下通过iptables配置的规则在下次重启后会失效,当然这也是为了防止错误的配置防火墙。默认读取和保存的配置文件地址为/etc/sysconfig/iptables。 设置chain默认策略 iptable...
iptables 配置 cve-1999-0128 问题
06-03
2. 禁止所有非法的 ICMP 报文 ``` iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP ``` 3. 禁止所有源地址欺骗...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值