安全技术和防火墙——iptables

news2025/1/21 9:25:07

安全技术:

1.入侵检测系统:不阻断任何网络访问,量化、定位来之内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类似监控系统,一般采用旁路部署的方式

2.入侵防御系统:以透明模式工作,分析数据包的内容,如:溢出攻击,拒绝服务攻击、木马、系统漏洞等惊醒准确的分析判断,在判断为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式

3.防火墙:隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时间由规定定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ网络中

防火墙分类:

按保护范围划分:

1.主机防火墙:服务范围为当前一台主机

2.网络防火墙:服务范围为防火墙一侧的局域网

按实现方式划分:

1.硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于让软件实现

2.软件防火墙:运行于通用硬件平台之上的防火墙的应用软件

按网络协议划分:

1.网络层防火墙:OSI模型下四层,又称为包过滤防火墙

网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表,通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否 允许该数据包通过

优点:对用户来说透明,处理速度快且易于维护

缺点:无法检查应用层数据,如病毒等

2.应用层防火墙/代理服务器:proxy代理网关,OSI模型七层

应用层防火墙/代理服务型防火墙,也称为代理服务器

将所有跨越防火墙的网络通信链路分为两段,内外网用户的访问都是通过代理服务器上的“链接”来实现

优点:在应用层对数据进行检查,比较安全

缺点:增加防火墙的负载

四表/五表      五链

 四表:

filter:过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表

nat:地址转换规则表

mangle:修改数据标记位规则表

raw:关闭启用的链接跟踪机制,加快封包穿越防火墙的速度

五表:

security:用于强制访问控制网络规则,由linux安全模块实现

五链:

INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING

 

报文流向:

1.流入本机:PREROUTING --> INPUT-->用户空间进程(访问我的服务)

2.流出本机:用户空间进程 -->OUTPUT--> POSTROUTING(穿过我)

3.转发:PREROUTING --> FORWARD --> POSTROUTING(分摊流量)

规则表的作用:容纳各种规则链; 表的划分依据:防火墙规则的作用相似

规则链的作用:容纳各种防火墙规则;规则的作用:对数据包进行过滤或处理 ;链的分类依据:处理数据包的不同时机

总结:表里有链,链里有规则

iptables

基本语法

iptables  [-t  表名]  管理选项  [链名]  [匹配条件]  [-j  控制类型]

 

-t 指定表的名称

-p 网络协议名称

-i 入站网卡

-o 出站网卡

-s 指定数据包的来源ip地址        #可以是IP、网段、域名、空(任何地址)

-d 指定数据包的目的ip地址        #可以是IP、网段、域名、空(任何地址)

--sport 源端口号                         #可以是个别端口、端口范围

--dport 目的端口号                     #可以是个别端口、端口范围

--j 动作

- ACCEPT:允许数据包通过

- DROP:直接丢弃数据包,不给出任何回 应信息

- REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息

- LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则

- SNAT:修改数据包的源地址

- DNAT:修改数据包的目的地址

- MASQUERADE:伪装成一个非固定公网IP地址

管理选项用法示例
-A在指定链末尾追加一条 iptables -A INPUT (操作)
-I在指定链中插入一条新的,未指定序号默认作为第一条 iptables -I INPUT (操作)
-P指定默认规则 iptables -P OUTPUT ACCEPT (操作)
-D删除 iptables -t nat -D INPUT 2 (操作)
-p服务名称 icmp tcp
-R修改、替换某一条规则 iptables -t nat -R INPUT (操作)
-L查看 iptables -t nat -L (查看)
-n所有字段以数字形式显示(比如任意ip地址是0.0.0.0而不是anywhere,比如显示协议端口号而不是服务名) iptables -L -n,iptables -nL,iptables -vnL (查看)
-v查看时显示更详细信息,常跟-L一起使用 (查看)
--line-number规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number
-F清除链中所有规则 iptables -F (操作)
-N新加自定义链
-X清空自定义链的规则,不影响其他链 iptables -X
-Z清空链的计数器(匹配到的数据包的大小和总和)iptables -Z
-S看链的所有规则或者某个链的规则/某个具体规则后面跟编号

总结:

多端口匹配:

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT

IP范围匹配:

-m iprange --src-range IP范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包

MAC地址匹配:

-m mac --mac-source MAC地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
#禁止来自某MAC地址的数据包通过本机转发

状态匹配:

-m state --state 连接状态

常见的连接状态:

NEW :与任何连接无关的,还没开始连接

ESTABLISHED :响应请求或者已建立连接的,连接态

RELATED :与已有连接有相关性的(如FTP主被动模式的数据连接),衍生态,一般与

ESTABLISHED 配合使用

INVALID:不能被识别属于哪个连接或没有任何状态

iptables -A FORWARD -m state --state NEW -P tcp ! --syn -j DROP
#禁止转发与正常TCP连接无关的非--syn请求数据包

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/925298.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

文件服务器实现方式汇总

hello,伙伴们,大家好,今天这一期shigen来给大家推荐几款可以一键实现文件浏览器的工具,让你轻松的实现文件服务器和内网的文件传输、预览。 基于node 本次推荐的是http-server, 它的githuab地址是:http-s…

8086汇编语言寄存器清零学习

mov ax, 0 这样应清零了; sub ax, ax 这样也清了; xor ax, ax 这样也清零了;自己跟自己异或,异或是同则结果为0、不同结果为1;自己和自己,每一位都是相同的,异或后结果为0; and …

基于CentOS7.9安装docker服务,配置镜像加速器

目录 一、安装docker服务 二、配置镜像加速器 三、下载系统镜像(Ubuntu、 centos ) 四、基于下载的镜像创建两个容器(容器名一个为自己名字全拼,一个为首名字字母 ) 五、容器的启动、 停止及重启操作 六、查看正…

基于Java+SpringBoot+vue前后端分离林业产品推荐系统设计实现

博主介绍:✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、Java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅文末获取源码联系🍅 👇🏻 精彩专…

Spring之微服务架构与Spring Cloud

微服务架构与Spring Cloud 微服务架构与Spring Cloud 摘要引言词汇解释详细介绍微服务架构Spring Cloud核心组件示例代码:注释: 注意事项理解微服务架构的优势 详细介绍什么是微服务架构?微服务架构的优势1. 可扩展性(Scalability…

Win7安装新版本anaconda出现Failed to extract packages解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…

CAD泰森多边形框架3D插件

插件介绍 CAD泰森多边形框架3D插件可用于在AutoCAD软件内生成三维Voronoi框架结构实体模型,适用于多孔Voronoi科研论文渲染绘图、Voronoi框架有限元建模、Voronoi空间结构优化等方面的应用。 使用说明 插件可设置生成的几何尺寸、晶格尺寸及边框直径等信息。 插…

基于Java+SpringBoot+vue前后端分离华强北商城二手手机管理系统设计实现

博主介绍:✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、Java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅文末获取源码联系🍅 👇🏻 精彩专…

让大数据平台数据安全可见-行云管家

数字化经济在快速发展,大数据时代已经到来,大数据已经成为企业和政府决策的重要依据。然而大数据行业快速发展所带来的一系列安全问题也继续解决,例如数据安全更难保障,例如认证体系不完善等等。为此行云管家推出了大数据平台数据…

开源跨境电商ERP实战经验分享,避免坑点

开源跨境电商ERP系统是当今电商行业的利器,许多企业已经意识到了它在运营管理中的重要性。在本文中,作为该领域的专家,我将分享一些实战经验,帮助您避免在使用开源跨境电商ERP过程中可能遇到的坑点和挑战。 解析开源跨境电商ERP的…

操作系统期末考试复习——简答题总结

最近考研在复习OS,顺便把大二期末考试的简答题整理了一下~ 1、操作系统的定义 “操作系统(operating system,简称OS)是管理计算机硬件与软件资源的计算机程序 2、操作系统的基本类型及特征 批处理操作系统、分时操作系统、实时…

gdb 条件断点

条件断点,顾名思义就是有条件才会触发的断点,一般设置此类断点形如:b xxx if xxx,如: 要触发此断点则需要 is_created 0。打完断点我们也可以用 info b 查看一下当前已经设置的断点信息,如: 断…

02-Numpy基础-ndarray

NumPy(Numerical Python的简称)是Python数值计算最重要的基础包。 NumPy的部分功能如下: ndarray,一个具有矢量算术运算和复杂广播能力的快速且节省空间的多维数组。用于对整组数据进行快速运算的标准数学函数(无需编…

EMC三大法宝之一:屏蔽

结论:解决EMC的三大法宝为:屏蔽、接地和滤波。 Part 1 屏蔽的原理 首先,我们要了解屏蔽的概念。 屏蔽就是用金属对两个空间区域进行隔离, 用以控制一个空间区域的电场、 磁场和电磁波对另一个空间区域的影响,通常的…

【学习FreeRTOS】第17章——FreeRTOS任务通知

1.任务通知的简介 任务通知:用来通知任务的,任务控制块中的结构体成员变量 ulNotifiedValue就是这个通知值。 使用队列、信号量、事件标志组时都需另外创建一个结构体,通过中间的结构体进行间接通信! 使用任务通知时&#xff0c…

深入理解linux内核--程序的执行

可执行文件 在第一章中我们把进程定义为“执行上下文”。这就意味着进行特定的计算需要收集必要的信息,包括所访问的页,打开的文件,硬件寄存器的内容等等。 可执行文件是一个普通文件,它描述了如何初始化一个新的执行上下文&…

《Linux从练气到飞升》No.17 进程创建

🕺作者: 主页 我的专栏C语言从0到1探秘C数据结构从0到1探秘Linux菜鸟刷题集 😘欢迎关注:👍点赞🙌收藏✍️留言 🏇码字不易,你的👍点赞🙌收藏❤️关注对我真的…

EdifierW200btfree耳机说明书

Edifier W200bt free 耳机说明书。

【MySQL系列】Select语句单表查询详解(二)ORDERBY排序

💐 🌸 🌷 🍀 🌹 🌻 🌺 🍁 🍃 🍂 🌿 🍄🍝 🍛 🍤 📃个人主页 :阿然成长日记 …

static关键字(实例成员方法可以访问静态变量,但是静态成员方法不能直接访问非静态变量或者非静态方法)

1、静态static关键字概述 static是静态的意思,可以修饰成员变量和成员方法。static修饰成员变量表示该成员变量只在内存中只存储一份,可以被共享访问、修改。静态成员变量(有static修饰,属于类,内存中加载一次&#xf…