路由器学习

路由器原理

可以理解成把不同的网络打通，实现通信的设备。比如家里的路由器，他就是把家里的内网和互联网（外网）打通。

路由器工作原理

1.路由转发原理

1.路由表

路由表是网络设备（如路由器、交换机）中存储的一张表格，用于决定数据包从源地址到目的地址的传输路径。最开始是没有的，需要人配置。
插一句：正常情况同样到达2.2的路由器可能有多个，但是具体选哪个，就看路由的优先级。

通信举例来理解路由（这个模拟网络通信的软件是eNSP）

1.现在要三台PC机通过三个路由器实现通信：
在这里插入图片描述 PC1想和PC2通信，他发的数据包目标IP地址是2.2，所以他发出的数据包经过路由器AR1，这时有两个选择，一个是AR2,一个是AR3，但是要选择哪条路，就需要路由表（相当于一个导航系统）。

注意：PC1和AR1的接口是同网段的（直连的两个必须同网段）。
配置好地址后如下图：
在这里插入图片描述 PC1发数据给PC2，首先经过AR1，AR1查看路由表（dis ip routing-table），此时他表里没有2.2

(查看路由表时，没有对应的IP地址的话，数据包就会丢弃)，但我们可以配置让他有这个路由表（静态路由方式）：
在这里插入图片描述这个指令的意思是：
ip route_static 增加一条路由信息
192.168.2.0 255.255.255.0 目标网段
10.1.1.2 下一跳（下一步要走的地方）
配置之后再来查看路由表：
就有IP信息了

但是PC1还是ping不通PC2的，因为两个问题：
问题1：配IP地址时，有个网关，他是告诉电脑如果要给不同网段发包，因为要给AR1发包，所以要网关设置成1.254 ，这样数据包就能送给路由器1了
在这里插入图片描述给到AR1后，他会知道一个数据包最终地址是2.2的应该走那条路了，走AR2，此时AR2查看路由表，
发现有2段的路由表，单着不是我们静态路由添加的，他是怎么有的？因为直连路由（我们在给AR2 GE0\0\1口配置地址为192.168.2.254时，就自动产生一条直连路由，因为接口IP地址是2段，所以目的地是2段的，都从GE0\0\1口发出去），所以就实现了PC1到PC2的通信。

pc2回给pc1也是同理，只是需要在AR2配置回程路由：
在这里插入图片描述这时PC1就能ping通PC2了，开始的时候丢少量包正常，因为要做ARP解析。

2.路由优先级

3.NAT地址转换原理

还是上面的例子，如果在AR2没有管理权限（不能在添加静态路由）时。就要用到NAT。
比如刚才的回程部分，删掉在AR2添加的PC1地址和下一跳10.1.1.1这个指令，这时ar2就无法把信息传给PC1了，但是AR1和AR2之间是直连路由。
理解就是把原本的192.168.1.1 --192.168.2.2的通信转换为AR1 GE0/0/1口的10.1.1.1 – 192.168.2.2的通信。

NAT更多的应用在私网ip到公网ip的转换。
私网IP：电脑手机上网，这时手机电脑的IP都属于私网IP，他本身只能在局域网内活动，不能去互联网，因为互联网上没有这些私网IP的路由，但是要访问公网，就需要把私网IP通过NAT转换为能上网的公网IP

防火墙

filter表
nat两大块

分类

硬件：

三层路由
防火墙：深信服

软件

iptables（写到了linux内核中的）
firewalld
nftables
ufw（Ubuntu的）

云防火墙

阿里云的安全组
NAT网关
waf应用防火墙

上面这些主要都是防端口的，不妨协议，处理七层的攻击用waf防火墙

要熟悉表，链，规则，容器
表：存放链的容器
链：存放规则的容器
规则：准许或拒绝的规则
表是最大的概念，表里有链，链里有规则。最小的单位是规则

过程就是当client请求数据满足了表中的每个规则，就可以获取主机信息或者访问主机端口，不满足就被拒绝
在这里插入图片描述
用户的请求进来之后，在匹配规则时，是从上到下一条一条匹配的（层层过滤），rule1 -> rule2 -> N。
匹配时有两种：1.DROP拒绝 2.Accept接收。无论匹配到的是拒绝还是接收，都代表这个规则匹配成功，如果都不满足就往下走。如果所有规则都匹配失败，还有一个保底的默认数据包规则。
拒绝的规则都放在最上面优先执行

四表五链

链是可以自己定义添加的，一般默认是四表五链

四表：fillter nat raw mangle

fillter ：（翻译屏蔽器）他表示的是防火墙过滤，屏蔽端口，ip这种。也是阿里云的安全组
nat: 共享上网，映射
剩下两个了解即可，用的少

五链: INPUT OUTPUT FORWARD PREROUTING POSTROUTING (PRE之前 POST之后)

（链的名字要大写！和表有区别）
INPUT : 一般对于INPUT用的多。相对于出去的，对于进来的管理更严格。
FORWARD : 路过

表和链是有对应关系的，不是每个表都有那五个链。

filter表

实现防火墙功能，一般用来屏蔽端口，ip。
filter表中的链：
INPUT ：负责过滤所有目标地址是本机地址的数据包，简单说就是过滤进入主机的数据包（让不让数据包进入服务器就控制这个链）
OUTPUT
FORWARD

nat表

共享上网功能
端口映射和IP映射
nat表中的链：OUTPUT PREROUTING（常用） POSTROUTING （常用）

用户的请求进入防火墙的过程：

首先进入NAT表的PREROUTING
然后有两种选择。
一个是进入服务器（走filter的INPUT 链）
请求访问服务结束出去之后要经过filter的OUTPUT，最后经过NAT表的POSTROUTING
一个是在门前路过，路过的处理的少

在这里插入图片描述

环境配置

因为iptables在linux上都有，只需要安装iptables_services (包含启动，关闭，重启的指令，就是一些配置)

 yum install  -y iptables-services

在这里插入图片描述

这个是放置防火墙规则的文件，一般默认是这里，也可更改放到别的目录下。

查看当前防火墙规则：

iptables -nL

在这里插入图片描述
因为防火墙的表默认是filter表。这个就是filter表的规则。
其中的chain(l链) INPUT , chain OUTPUT chain FORWARD 是三个链
（policy ACCEPT）表示默认规则

如果要看nat表的规则：

iptables -t nat -nL

在这里插入图片描述

iptables添加规则

在这里插入图片描述

清空默认规则：（慎用！）

iptables -F

清空自定义的链的规则：

iptables -X

清空统计和计数：（统计经过了多少数据包，把这个状态清空）

iptables -Z

例如：写一个拒绝所有人访问22端口(执行后自己也挡住了！！！)

iptables -t filter  -I  INPUT - p tcp --dpot  22  -j  DROP

iptables指令：
首先指定表，-t filter（不指定的就是默认filter表）
其次指定链，-I INPUT（插入，把规则放到最上面，-A是追加，放到最下面）
然后写规则，- p (只要涉及到端口就要指定协议！) -p tcp udp icmp
再指定端口，–dpot 22（端口有两种一个是源端口。一个是目标端口）(当前的22号端口肯定是目标端口一般都是管目标端口，很少管源端口)
指定拒绝 -j DROP
(-j可以指定 DROP ACCEPT REJECT,drop是丢弃数据包，reject是拒绝请求并返回一些信息)
删除这个规则：(-D)
原理和之前基本类似，有一个要注意的是删除几号规则
查看规则编号：

iptables  -nL --line-number

在这里插入图片描述

iptables  -t filter -D INPUT 1

1.屏蔽一个网段：

iptables  -I  INPUT - s 10.0.0.0/24 -j DROP

2.屏蔽一个网段访问8888端口

nc -kl 8888     (制造一个端口)

iptables  -I  INPUT - s 10.0.0.0/24   -p tcp  --dport 8888  -j DROP

3.只允许指定网段访问（白名单）

方法1：用！来排除

iptables  -I INPUT   -s 172.16.1.0  -j  DROP     (拒绝172.16.1.0 访问)

iptables  -I INPUT   -！s 172.16.1.0  -j  DROP     (只允许172.16.1.0 访问)

方法2：调整默认规则，添加准许规则
把那些所有ACCEPT的改成拒绝，添加允许访问的规则

4.指定多个端口

iptables  -I INPUT  -m  multiport -p tcp --dport 80,8888  -j DROP  (多个端口用，隔开)

屏蔽1-1024的所有端口：

iptables  -I INPUT  -p tcp --dport 1：1024  -j DROP   （用：隔开）

5.限制ICMP类型（禁止Ping）

方法一：防火墙规则：

iptables  -I INPUT -p icmp  --icmp-type 8   -j DROP   (icmp-type有200多个，禁止ping的类型号是8)
iptables  -I INPUT -p icmp   -j DROP   （也可以禁止ping）

方法二：控制内核参数（永久生效，除非改动，否则重启linux也生效）
进入：

vim /etc/sysctl.conf

把下面的这行写进去，保存退出

net.ipv4.icmp_echo_ignore_all =1    (1禁止ping  0可以ping)

让其生效：

sysctl -p

6.匹配网络状态（TCP/IP连接状态）通过防火墙控制连接状态

NEW:已经或将启动新的连接（准备建立连接）
ESTABLISHED:已建立的连接（能不能连）常用
RELATED:正在启动的新连接（处于三次握手状态）常用
INVALID:非法或无法识别的

iptables  -A INPUT -m state  --state ESTABLISHED,RELATED  -j  ACCEPT
iptables  -A OUPUT  -m  state --state  ESTABLISHED,RELATED    -j  ACCEPT

7.限制请求速率

格式：

 -m limit  --limit n/sec/minute/hour

举例：
ping默认每秒ping一次，6s钟控一个，效果就是最开始的5次Ping正常，后面的每处理一个都要6s

iptables  -I INPUT  -p icmp -m limit  --limit 10/minute --limit-burst 5 -j ACCEPT       （5是并发数）
iptables  -A INPUT   -p tcp   --dport 22  -j ACCEPT
iptables  -P  INPUT   DROP

在这里插入图片描述

SYN_FLOOD攻击
/etc/config/firewall下的 option syn_flood 1 防御的是TCP的洪水攻击，对于UDP无效。因为TCP三次握手机制：
攻击原理：

攻击者发送大量 TCP SYN 包（第一次握手请求），但不完成三次握手（不回复 SYN-ACK）。

导致服务器维护大量半连接，耗尽资源（如连接队列、内存），使正常用户无法访问。

nat共享上网和端口映射暂时不写，有需要在看