iptables与防火墙

news2024/11/17 19:41:08

目录

防火墙

安全技术

划分方式

iptables 

构成

四表

优先级

五链

iptables的规则

匹配顺序

iptables的命令格式

管理选项

匹配条件

控制类型

隐藏扩展模块

注意事项


防火墙

隔离功能,一般部署在网络边缘或者主机边缘,在工作中防火墙的主要作用决定哪些数据可以被外网访问以及哪些数据可以进入内网访问

软件防火墙:360 卡巴斯基 金山毒霸 iptables firewalld
硬件防火墙:路由器 交换机 三层交换机 

防水墙:waterwall 防止信息泄漏

安全技术

1、入侵检测系统:检测数威胁,病查,木马,不会阻断网络访问,事后提供报警和监督。类似于监控。看着你,但是不干预。出了事以后再来找你。
2、入侵防御系统]一旦检测出威胁,会立即予以阻断,主动的方式保护网络安全。透明模式模式工作的。一般都是用在线部罢的方式(所有数据进出的必经之路。)
现在市面上大部分的防火墙都是上述二者的结合体。

划分方式

1.保护范围
主机防火墙
服务范围就是当前自己的主机
网络防火墙
必经之路

2.实现方式
硬件防火墙
既有专业的硬件来实现防火墙功能,又有软件来进行配合
软件防火墙
依靠代码实现判断

3.网络协议
网络层
包过滤防火墙
应用层(代理服务器)
设置数据的进出


linux防火墙
firewalld centos7专门自带的
iptables 包过滤防火墙
selinux 自带的安全工具
集成在一个内核中:netfilter组件

iptables 

包过滤防火墙,工作在网络层,针对数据包进行过滤和限制
iptables属于用户态,netfilter属于内核态

过滤数据包: ip地址、端口、协议都可以在iptables中进行配置,可以限制,也可以放行 

构成

iptables的构成和工作机制
iptables的组成部分
四表五链组成(selinux也是一个表,不在讨论范围中)

 

 

四表

raw
连接跟踪机制,可以加快封包穿过防火墙的速度,数据包跟踪
mangle
数据标记
nat
地址转换表
filter
过滤规则表,可以根据规则来定义或者过滤符合条件的数据包,默认表

优先级

security----raw>---->mangle---->nat---->filter

五链

INPUT
处理数据包进入本机的规则
OUTPUT
处理数据包发出的规则,一般不做处理
prerouting
处理数据包进入的规则  结合地址转换使用
postrouting
处理数据包离开本机之后的规则  结合地址转换使用
FORWARD
处理数据转发规则

iptables的规则

表里面有链,链里面有规则,规则就是自定义的对于数据包的控制命令

匹配顺序

1.根据表的优先级匹配,在表中从上到下进行检查,找到匹配规则后立即停止,不再向下继续查找,如果匹配不到规则就按照链的默认规则进行处理
2.报文流向
流入本机
prerouting---->INPUT---->用户进程(httpd服务)
流出本机
httpd---->响应---->OUTPUT---->postrouting---->用户
转发
数据包进来,肯定不是同一网段,路由转发---->forward---->数据包出去,不允许转发,数据包直接丢弃。

yum -y install iptables iptables-services

iptables的命令格式

iptabless [ -t 表名 ](不指定默认就是filter表) 管理选项 [链名][匹配条件][-j 控制类型]

管理选项

-A 在链的末尾追加一条,添加
-I 在链中插入一条新的规则,可以指定序号。后面跟上的数字,表示序号
-P 修改默认链的策略
-D 删除
-R 修改、替换规则
-L 查看链中的规则 vnL一起使用
-v 显示详细信息
-n 把规则以数字形式进行展示
-F 清空链中的所有规则,慎用

匹配条件

-p 指定匹配数据包的协议类型
-s 指定匹配数据包的源ip地址
-d 指定匹配数据包的目的ip地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机的网络接口
--sport 指定源端口号
--dport 指定目的端口号

控制类型

ACCEPT 允许数据包通过
DROP 拒绝,直接丢弃数据包,不给出任何回应信息
REJECT 拒绝,会给响应信息
SNAT 修改数据包的源ip地址
DNAT 修改数据包得目的ip地址

iptables -t filter -A INPUT -p icmp -j REJECT

iptables -vnL --line-number 显示序号

通用匹配
网络协议 端口 ip地址

隐藏扩展模块

-m可以用明确的形式指出类型:多端口、mac地址、ip地址、数据包的的状态。

-m multiport 指定多端口,端口号用逗号隔开
-m multiport --dport 
-m multiport --sport 

IP范围
-m iprange --src-range 源ip地的范围
-m iprange --dst-range 目的地范围

mac地址
-m mac --mac-source

-p 指定协议时,tcp udp 指明了是什么协议,就不需要再用 -m指明扩展模块
指定多端口可以用冒号也可用-m隐藏模块实现

注意事项

IP地址,且写在协议,端口写在协议后
指定多个IP地址用逗号隔开
多个端口用冒号隔开,小的端口号在前,大的端口号在后
修改规则一般不用
在生产中,iptables所有的链的默认规则都是DROP

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/789218.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【【51单片机LCD1602模块介绍】】

LCD1602的介绍 显示容量16x2 每个字符是5x7的点阵 VDD 是电源正极 4.5-5.5v VO 是对比度调节电压 RS 数据/指令 选择 1为数据0为指令 RW 读写选择1是读 0为写 E 使能 1为数据有效 下降沿执行命令 D0-D7 数据输入输出 A 背光电源正极 K 背光电源负极 LCD1602的操作流程 1.初始…

艺人商务代言:避雷策略与成功合作之道

避免在艺人商务代言中遇到风险,是每个企业和艺人都应该高度重视的问题。代言活动是一种有效的市场营销手段,可以为企业带来广泛的曝光和销售增长,同时也能让艺人获得额外的收入和更高的知名度。然而,不慎选择错误的代言合作可能带…

PostgreSQL实战-数据库迁移部署

PostgreSQL实战-数据库迁移部署 介绍 根据项目需求,我们需要将现有的PostgreSQL数据库重新部署到新的服务器上。由于项目本身就是基于PostgreSQL数据库构建的,因此数据库迁移将变得十分便捷。接下来,我将简要介绍我们的迁移步骤。 迁移步骤…

IDEA安装热部署插件JRebel详解

JRebel 简介 JRebel是一套JavaEE开发工具。JRebel允许开发团队在有限的时间内完成更多的任务修正更多的问题,发布更高质量的软件产品。 JRebel是收费软件,用户可以在JRebel官方站点下载30天的评估版本。 Jrebel 可快速实现热部署,节省了大量重…

微服务的各种边界在架构演进中的作用

演进式架构 在微服务设计和实施的过程中,很多人认为:“将单体拆分成多少个微服务,是微服务的设计重点。”可事实真的是这样吗?其实并非如此! Martin Fowler 在提出微服务时,他提到了微服务的一个重要特征—…

【Linux】Ubuntu基本使用与配置, 以及常见问题汇总(一)

前言 大学期间,感觉很多时候学习课外知识都是被推着往前走,很多内容并没有深入去学习,知识的记录受限于所学比较片面,如今渐渐意识到似乎并没有建立起相关知识的体系架构,缺乏一个系统学习并整理的过程。本文将以Ubunt…

跨境独立站如何应对恶意网络爬虫?

目录 跨境出海独立站纷纷成立 爬虫威胁跨境电商生存 如何有效识别爬虫? 技术反爬方案 防爬虫才能保发展 中国出海跨境电商业务,主要选择大平台开设店铺,例如,亚马逊、eBay、Walmart、AliExpress、Zalando等。随着业务的扩大&…

Error “slow_conv2d_cpu“ not implemented for ‘Half‘

Error “slow_conv2d_cpu” not implemented for ‘Half’ 报错原因: 将输入数据的类型设置为half(半精度浮点数,能加快计算速度),但是half只有GPU支持,pytorch cpu不支持半(half)精度训练 解决方式: 既然不支持&am…

微信小程序将接口返回的文件流预览导出Excel文件并转发

把接口url替换就可以用了 exportExcel () {wx.request({url: importMyApply, //这个地方是你获取二进制流的接口地址method: POST,responseType: "arraybuffer", //特别注意的是此处是请求文件流必须加上的属性,不然你导出到手机上的时候打不开&#xff…

ES检索结果高亮显示JAVA以及Kibana实现

/*** 查询接口** param searchReqVO*/ public EsSearchPageInfoResVO guessYouWantListForClient(EsSearchRequestVO searchReqVO) {BaseInfo baseInfo getApp();List<Long> catalogues getAccesses();EsSearchPageInfoResVO result new EsSearchPageInfoResVO();Sear…

FreeRTOS(中断管理)

一、中断定义 中断&#xff08;Interrupt&#xff09;是计算机系统中的一种事件&#xff0c;它打断了正常的程序执行流程&#xff0c;引起处理器&#xff08;CPU&#xff09;暂时转去执行其他任务或处理特殊事件。中断通常由硬件设备或者操作系统产生&#xff0c;用于向处理器传…

PP-YOLOE 论文学习

1. 解决了什么问题&#xff1f; 单阶段目标检测器能很好地平衡速度和精度&#xff0c;YOLO 系列是其中的代表。YOLOX 采用了 anchor-free 范式&#xff0c;加入了动态标签分配以提升检测表现&#xff0c;在 Tesla V100 上取得了 50.1 mAP&#xff0c;速度是 68.9 FPS。本文提出…

了解uuid

目录 一.认识 UUID 二.UUID 会耗尽吗 三.UUID 会重复吗 四.UUID 的版本 五.UUID的应用 六.java 如何生成UUID 一.认识 UUID uuid是经过特定的算法得到的. UUID 是 16 字节 128 位长的数字&#xff0c;通常以 36 字节的字符串表示&#xff0c;示例如下&#xff1a; 3F2…

大模型,开源干不掉闭源

开源大模型对闭源大模型的冲击&#xff0c;变得非常猛烈。 今年3月&#xff0c;Meta发布了Llama&#xff08;羊驼&#xff09;&#xff0c;很快成为AI社区内最强大的开源大模型&#xff0c;也是许多模型的基座模型。有人戏称&#xff0c;当前的大模型集群&#xff0c;就是一堆各…

c++一级 输入三个数,按照从小到大的顺序输出

这个题是2022年9月份c一级的真题&#xff0c;它说难不难&#xff0c;说不难也难&#xff0c;评判标准主要看学生学到哪种程度以及 使用的是哪种方法。 首先来看用最基础的判断怎么做&#xff1a; #include<iostream> using namespace std; int main(){int a,b,c;cin>…

macOS Ventura 13.5 (22G74) 正式版发布,ISO、IPSW、PKG 下载

macOS Ventura 13.5 (22G74) 正式版发布&#xff0c;ISO、IPSW、PKG 下载 本站下载的 macOS Ventura 软件包&#xff0c;既可以拖拽到 Applications&#xff08;应用程序&#xff09;下直接安装&#xff0c;也可以制作启动 U 盘安装&#xff0c;或者在虚拟机中启动安装。另外也…

Cesium态势标绘专题-正三角形(标绘+编辑)

标绘专题介绍:态势标绘专题介绍_总要学点什么的博客-CSDN博客 入口文件:Cesium态势标绘专题-入口_总要学点什么的博客-CSDN博客 辅助文件:Cesium态势标绘专题-辅助文件_总要学点什么的博客-CSDN博客 本专题没有废话,只有代码,代码中涉及到的引入文件方法,从上面三个链…

Cesium态势标绘专题-弓形(标绘+编辑)

标绘专题介绍:态势标绘专题介绍_总要学点什么的博客-CSDN博客 入口文件:Cesium态势标绘专题-入口_总要学点什么的博客-CSDN博客 辅助文件:Cesium态势标绘专题-辅助文件_总要学点什么的博客-CSDN博客 本专题没有废话,只有代码,代码中涉及到的引入文件方法,从上面三个链…

opencv-17 脸部打码及解码

使用掩模和按位运算方式实现的对脸部打码、解码实例 代码如下&#xff1a; import cv2 import numpy as np #读取原始载体图像 lenacv2.imread("lena.png",0) #读取原始载体图像的 shape 值 r,clena.shape masknp.zeros((r,c),dtypenp.uint8) mask[220:400,250:350…

UE虚幻引擎教程_生成云平台指定路径下的exe文件

市面上大量优秀的游戏都是基于UE制作的&#xff0c;UE虚幻引擎制作的作品可以在windows、mac、linux以及ps4、x-boxone、ios、android甚至是html5等平台上运行。本文介绍了UE虚幻引擎如何生成云平台指定路径下的EXE。 一、云平台会运行打包文件夹下指定路径的EXE文件 但有时候…