安全技术和防火墙(二)

接上一节

备份和还原

iptables-save > /opt/iptables.bak

iptables-restore < /opt/iptables.bak

snat和dnat

snat源地址转换

内网到外网 内网ip转换成可以访问外网的ip

内网的多个主机可以只有一个有效的公网ip地址访问外部网络

dnat 目的地址转发

外部用户,可以通过一个公网地址访问服务内部的私网服务。

私网的ip和公网ip做一个映射

snat源地址转换

iptables -t nat -A POSTROUTING -s 192.168.233.0/24 -o ens36 -j SNAT --to 10.0.0.10

-A POSTROUTING用于在包路由之后修改源地址(当包从内部网络路由到外部网络时)

-t nat 指定表为nat表

-A POSTROUTING A添加 离开本机之后规则

-s 指定源ip

-o指定输出网络设备

-j 控制类型 SNAT源地址

--to 指定整个网段 192.168.233.0/24 从ens36出去时做源地址转换 成 10.0.0.10

DNAT 目的地址转换

iptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT --to 192.168.233.10

-A PREROUTING在路由决策之前修改目标地址

-d 11.0.0.11 指定做为目的地址转换的ip地址

-i从指定的设备进入本机

-p指定协议

--dport指定端口

-j DNAT使用目的地址转换

--to 192.168.233.10

外网想要访问内网的192.168.233.10:80的这个web服务。只需要访问11.0.0.11就可以访问内网的web服务。

12.0.0.100 > 11.0.0.11 > 192.168.233.10

linux当中如何抓包:

tcpdump linux自带的抓包工具 完全安装自带 最小化安装需要自己安装

静态和动态抓包

静态:

tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.233.0/24 -w /opt/target.cap

tcp 指定抓包的协议 (tcp udp icmp) 第一个参数 可以不指定协议

-i 只抓经过指定设备(ens33)的包

-t:不显示时间戳

-s0:抓完整的数据包

-c10:抓几个数据包

dst port :指定抓包的目的端口

src net 192.168.233.0/24 :指定抓包的ip地址

写net代表网段

host代表主机(ip地址)

-w 保存指定路径

使用sz target.cap 把文件下载下来 可以直接用实体机 wireshark软件打开 分析

注意 如果要用wireshark对数据包进行分析, tcpdump在抓包时,要使用-s0,抓取完整格式, 否则wireshark无法分析。

动态抓包

tcpdump -i ens33 -s0 -w /opt/ens33.cap

firewalld

firewalld是centos7自带的 7以前的默认是iptables

firewalld是按照区域来进行划分 包过滤防火墙

public 公共区域(默认区域) 默认配置了ssh以及DHCPv6预定服务放通,其他拒绝

trusted 信任区域 允许所有的数据包放通

block 限制区域 拒绝所有

drop 丢弃区域 丢弃所有数据包

dmz 非军事区域 默认只允许ssh

home 家庭区域 默认只允许ssh

internal 内部区域 和home一样

external 外部区域 默认只允许ssh

work 工作区域 默认放通ssh

相关推荐
CZIDC21 分钟前
H3C Magic路由器安全警报来啦![特殊字符][特殊字符]
安全·智能路由器
前进的程序员26 分钟前
在Linux驱动开发中使用DeepSeek的方法
linux·运维·服务器·人工智能
远方23527 分钟前
应用信息1.13.0发布
测试工具·安全·apk·开发工具·应用·工具·信息
鑫优威激光模组32 分钟前
车载用激光模组在汽车激光雷达中的具体应用方式?
安全
彭友圈10140 分钟前
CE第二次作业
linux·服务器·网络
Tome--1 小时前
运维面试题01
运维
银河麒麟操作系统1 小时前
【银河麒麟高级服务器操作系统】磁盘只读问题分析
java·linux·运维·服务器·jvm
孙克旭_1 小时前
day002
linux
苏生要努力1 小时前
VulnHub-DC-2靶机渗透教程
linux·安全
夜风Sec1 小时前
HTB - BigBang靶机记录
安全