Linux网络安全篇,认识防火墙(二),Netfilter
一.概述
因为iptables软件利用的是数据包的过滤的机制。所以它会分析数据包的报头数据。根据报头数据与定义的规则来决定该数据是否可以放行。若数据包内容与规则内容相同则放行,否则继续与下一条规则进行比较。我们可以发现这些规则是有顺序的。如果数据符合第一条规则,则不再理会后续的规则了。因此,规则的排列顺讯是非常重要的。
如果该数据与所有规则都不符合,则会通过默认操作,即数据包策略Policy。
二.iptables的整体框架
从名字我们就可以得知,iptables是一个管理多个表格的软件。而每个表格又有很多链(chain)。我们在上面(概述)提到的工作流程其实只是某个表格的某个链的执行原理。
如何查看当前iptables中已经存在的表以及其中的规则呢?
iptables [-t tables] [-L] [-nv]
-t ===> 后面接table,若省略则默认使用filter
-L ===> 列出目前的table的规则
-n ===> 不进行IP和HOSTNAME的反查
-v ===> 列出更多的信息
eg:
字段属性:
target ===> 代表进行的操作,ACCEPT事放行,而REJECT则是拒绝,DROP是丢弃
prot ===> 代表使用的数据包协议
opt ===> 额外的选项说明
source ===> 代表此规则是针对哪个来源IP进行限制
destination ===> 代表此规则是针对哪个目标IP进行限制
主要的表及其内部包含的链:
Filter(过滤器):
主要跟进入Linux本机的数据包有关,是默认的table。
INPUT:与要进入本机的数据包有关
OUTPUT:与本机要送出的数据包有关
FORWARD:与本机没有关系,可以传递数据包到后端的计算机中,与NAT的相关性较高
NAT(地址转换):
PREROUTING:路由判断之前要进行的规则
POSTROUTING:路由判断之后要进行的规则
OUTPUT:与发送出去的数据包有关
这个用来进行来源与目的地的IP或port的转换,与本机无关,主要与Linux主机后的局域网内计算机有关
Mangle(破坏者):
特殊的数据包。该表与特殊标志相关性较高
三、常用命令
1.查看完整的防火墙规则(没有格式化输出)
iptables-save [-t table]
2.清除规则
iptables [-t tables] [-FXZ]
-F ===> 清除所有的已制定规则
-X ===> 删除所有用户“自定义”的链(chain)
-Z ===> 将所有用户的链(chain)的计数与流量都归零
注意:这三条命令会将本机防火墙规则都清除,但是不会改变默认策略(policy)
3.定义默认策略
策略(policy) :当数据包不在我们设置的规则之内时,它的通过与否是以策略(policy)的设置为准。
iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT|DROP]
-P ===> 定义策略(Policy)
ACCEPT ===> 该数据包可接受
DROP ===> 该数据包直接丢弃,不会让Client端知道为何丢弃
eg:
将本机的INPUT设置为DROP
iptables -P INPUT DROP
4.数据包的基础对比
iptables [-A/I 链名] [-i/o 网络接口] [-p 协议] [-s 来源IP/网络] [-d 目标IP/网络] -j [ACCEPT|DROP|REJECT|LOG]
-A ===> 新增一条规则到该链的最后面
-I ===> 插入一条规则,若没有指明此规则的顺序,则默认插入变成第一条规则
-i ===> 设置数据包进入网络接口(eth0,lo等)的规范,需要与INPUT链配合
-o ===> 设置数据包传出网络接口的规范,需要与OUTPUT链配合
-p ===> 设置改规则适用于哪种数据包格式(tcp,udp,icmp,all)
-s ===> 设置此规则之数据包的来源地,可以为IP(如192.168.1.1)或网络(如192.168.1.0/24或192.168.1.0 255.255.255.0)
-d ===> 设置此规则之数据包的目标IP或网络
-j ===> 后面接操作,ACCEPT(接受),DROP(丢弃),REJECT(拒绝),LOG(记录)
注意:如果没有设置某个参数,则代表无论该参数代表的值为何值都接受
eg:
(1).
iptables -A INPUT -i lo -j ACCEPT
该命令的意思是:设置lo成为受信任的设备,亦即进入和出去lo的数据都予以接受。
(2).
iptables -A INPUT -i eth1 -j ACCEPT
该命令的意思是:设置eth1网卡为信任网卡。即该网卡没有任何防备。
5.TCP、UDP的规则比对:针对端口设置
iptables [-A/I 链] [-i/o 网络接口] [-p tcp,udp] [-s 来源IP/网络] [--sport 端口范围] [-d 目标IP/网络] [--dport 端口范围] -j [ACCEPT|DROP|REJECT]
--sport ===> 端口范围,限制来源的端口号码
--dport ===> 端口范围,限制目标的端口号码
注意:因为仅有tcp与udp数据包具有端口,因此要想使用--dport,sport时,需要加上-p tcp或-p udp的参数才会成功
eg:将想要连接进入本机port 21的数据包全部阻挡
iptables -A INPUT -i ens33 -p tcp --dport 21 -j DROP
6.特殊标志,对主动连接SYN的处理
eg:
将来自任何地方来源port 1:1023的主动连接到本机端的 1:1023连接丢弃
iptables -A INPUT -i ens33 -p tcp --sport 1:2023 --dport 1:1023 --syn -j DROP
注意:一般来说,客户端启用的port都大于1024,而服务器端启用的端口都小于1023。
7.iptables外挂模块:mac与state
iptables -A INPUT [-m state] [--state 状态]
-m ===> 接iptables的外挂模块
常见的外挂模块有:
state:状态模块
mac:网卡硬件地址
--state ===> 接数据包的状态
常见状态主要有:
INVALID:无效的数据包
ESTABLISHED:已经连接成功的连接状态
NEW:想要新建立连接的数据包状态
RELATED:表示这个数据包是与主机发送出去的数据包有关
eg:
(1).只要已建立连接或与已发出请求相关的数据包就予以通过
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
(2).针对局域网内的aa:bb:cc:dd:ee:ff主机开放其连接
iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT
Linux网络安全篇,认识防火墙(二),Netfilter的更多相关文章
- Linux网络安全篇,认识防火墙(一)
一.概念 防火墙分为软件防火墙和硬件防火墙.我们的主要讨论范围为软件防火墙. 软件防火墙又分为网络型和单一型的管理. 1.单一主机型防火墙 (1)数据包过滤型的Netfilter (2)依据服务软件程 ...
- Linux网络安全篇,认识防火墙(三),TCP Wrappers
1.防火墙设置文件 任何以xinetd管理的服务都可以通过 /etc/hosts.allow /etc/hosts.deny 这两个文件来设置防火墙(针对源IP或域进行允许或操作的设置). 其实/et ...
- Linux网络安全篇,配置Yum源(二),阿里Yum源
官网教程: https://opsx.alibaba.com/mirror 1.下载配置文件到 /etc/yum.repos.d 目录 wget -O /etc/yum.repos.d/CentOS- ...
- Linux网络安全篇,进入SELinux的世界(二)
一.简单的网页制作 1.启动httpd服务 /etc/init.d/httpd start 2.编写首页网页文件 echo "hello,this is my first webPage&q ...
- Linux网络安全篇,进入SELinux的世界(一)
SELinux 即安全强化的Linux. 一.基本概念 SELinux是通过MAC(强制访问控制,,可以针对特定的进程与特定的文件资源来进行访问权限的控制!也就是说即使你是root,在使用不同的进程时 ...
- Linux网络安全篇,FTP服务器的架设
一.FTP简介 FTP基于TCP协议.而且FTP服务器使用了命令通道和数据流通道两个连接.两个连接都会分别进行三次握手.在命令通道中客户端会随机取一个大于1024的端口与FTP服务器的21端口建立连接 ...
- Linux网络安全篇,进入SELinux的世界(三)
SELinux防火墙配套的服务 一.auditd 1.基本功能 将详细信息写入到 /var/log/audit/audit.log文件 2.设置开机自动启动 chkconfig --list audi ...
- Linux网络安全篇,配置Yum源(一),本地Yum源
1.创建挂载目录 mkdir /mnt/cdrom 2.挂载软件源cdrom mount /dev/cdrom /mnt/cdrom/ 3.建立本地yum源资源文件夹 mkdir /usr/local ...
- Linux网络安全篇,进入SELinux的世界(四)
SELinux的策略与规则管理set 1.安装SELInux工具 yum install setools-console 2.基本的命令 seinfo [-Atrub] -A ===> 列出SE ...
随机推荐
- .NET实现一个简单的IOC容器
目录 1.主要细节 2.具体示例 参考及示例代码下载 shanzm-2020年3月17日 20:06:01 1.主要细节 使用反射程序集的方式获取对象的类型 通过反射的方式获取指定类型的的所有公共属性 ...
- iframe的父子层跨域 用了百度的postMessage()方法
父层:第一个是方法申明 第二个是接收子层过来的数据 <script type="text/javascript"> $("#main").load( ...
- ASP.net 简单ajax实现
<script type="text/javascript"> $(function () { var t=$("txt1").val(); $.a ...
- .Net微服务实战之技术选型篇
王者荣耀 去年我有幸被老领导邀请以系统架构师的岗位带技术团队,并对公司项目以微服务进行了实施.无论是技术团队还是技术架构都是由我亲自的从0到1的选型与招聘成型的,此过程让我受益良多,因此也希望在接下来 ...
- Python-时间戳、元组时间的格式、自定义时间格式之间的转换
一.时间戳.元组时间的格式.自定义时间格式之间的转换 1.下面是三者之间的转换关系: 2.代码如下: import time import datetime print(time.time()) #获 ...
- 五分钟学Java:一篇文章带你搞懂spring全家桶套餐
原创声明 本文首发于微信公众号[程序员黄小斜] 本文作者:黄小斜 转载请务必在文章开头注明出处和作者. 本文思维导图 什么是Spring,为什么你要学习spring? 你第一次接触spring框架是在 ...
- form组件源码
- 【NLP面试QA】预训练模型
目录 自回归语言模型与自编码语言 Bert Bert 中的预训练任务 Masked Language Model Next Sentence Prediction Bert 的 Embedding B ...
- [Linux系统] CentOS7(RHEL7)重置root用户密码
1.系统启动时,按"e"进入编辑界面 2.编辑内容 将rhgb quiet修改为 init=/bin/sh : 然后按 ctrl+x . 3.修改root密码 mount -o r ...
- html5 window.postMessage 传递数据的使用
window.postMessage(图片介绍): 发送方(图片介绍): 接收方(图片介绍): 个人测试一(iframe): 发送方,地址为:http://localhost:63342/HelloH ...