安全技术和防火墙(二)

接上一节

备份和还原

iptables-save > /opt/iptables.bak

iptables-restore < /opt/iptables.bak

snat和dnat

snat源地址转换

内网到外网 内网ip转换成可以访问外网的ip

内网的多个主机可以只有一个有效的公网ip地址访问外部网络

dnat 目的地址转发

外部用户,可以通过一个公网地址访问服务内部的私网服务。

私网的ip和公网ip做一个映射

snat源地址转换

iptables -t nat -A POSTROUTING -s 192.168.233.0/24 -o ens36 -j SNAT --to 10.0.0.10

-A POSTROUTING用于在包路由之后修改源地址(当包从内部网络路由到外部网络时)

-t nat 指定表为nat表

-A POSTROUTING A添加 离开本机之后规则

-s 指定源ip

-o指定输出网络设备

-j 控制类型 SNAT源地址

--to 指定整个网段 192.168.233.0/24 从ens36出去时做源地址转换 成 10.0.0.10

DNAT 目的地址转换

iptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT --to 192.168.233.10

-A PREROUTING在路由决策之前修改目标地址

-d 11.0.0.11 指定做为目的地址转换的ip地址

-i从指定的设备进入本机

-p指定协议

--dport指定端口

-j DNAT使用目的地址转换

--to 192.168.233.10

外网想要访问内网的192.168.233.10:80的这个web服务。只需要访问11.0.0.11就可以访问内网的web服务。

12.0.0.100 > 11.0.0.11 > 192.168.233.10

linux当中如何抓包:

tcpdump linux自带的抓包工具 完全安装自带 最小化安装需要自己安装

静态和动态抓包

静态:

tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.233.0/24 -w /opt/target.cap

tcp 指定抓包的协议 (tcp udp icmp) 第一个参数 可以不指定协议

-i 只抓经过指定设备(ens33)的包

-t:不显示时间戳

-s0:抓完整的数据包

-c10:抓几个数据包

dst port :指定抓包的目的端口

src net 192.168.233.0/24 :指定抓包的ip地址

写net代表网段

host代表主机(ip地址)

-w 保存指定路径

使用sz target.cap 把文件下载下来 可以直接用实体机 wireshark软件打开 分析

注意 如果要用wireshark对数据包进行分析, tcpdump在抓包时,要使用-s0,抓取完整格式, 否则wireshark无法分析。

动态抓包

tcpdump -i ens33 -s0 -w /opt/ens33.cap

firewalld

firewalld是centos7自带的 7以前的默认是iptables

firewalld是按照区域来进行划分 包过滤防火墙

public 公共区域(默认区域) 默认配置了ssh以及DHCPv6预定服务放通,其他拒绝

trusted 信任区域 允许所有的数据包放通

block 限制区域 拒绝所有

drop 丢弃区域 丢弃所有数据包

dmz 非军事区域 默认只允许ssh

home 家庭区域 默认只允许ssh

internal 内部区域 和home一样

external 外部区域 默认只允许ssh

work 工作区域 默认放通ssh

相关推荐
摸鱼也很难1 小时前
Docker 镜像加速和配置的分享 && 云服务器搭建beef-xss
运维·docker·容器
watermelonoops1 小时前
Deepin和Windows传文件(Xftp,WinSCP)
linux·ssh·deepin·winscp·xftp
woshilys2 小时前
sql server 查询对象的修改时间
运维·数据库·sqlserver
疯狂飙车的蜗牛2 小时前
从零玩转CanMV-K230(4)-小核Linux驱动开发参考
linux·运维·驱动开发
恩爸编程3 小时前
探索 Nginx:Web 世界的幕后英雄
运维·nginx·nginx反向代理·nginx是什么·nginx静态资源服务器·nginx服务器·nginx解决哪些问题
独行soc4 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
Michaelwubo5 小时前
Docker dockerfile镜像编码 centos7
运维·docker·容器
远游客07135 小时前
centos stream 8下载安装遇到的坑
linux·服务器·centos
马甲是掉不了一点的<.<5 小时前
本地电脑使用命令行上传文件至远程服务器
linux·scp·cmd·远程文件上传
jingyu飞鸟5 小时前
centos-stream9系统安装docker
linux·docker·centos