Linux下的火墙管理及优化

从功能角度来讲

防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进

从功能实现角度来讲

火墙是系统内核上的一个模块netfilter(数据包过滤机制)

通过netfiler来管理kernel space中的策略

netfilter 简介

Netfilter是Linux 2.4.x引入的一个子系统

它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪等等

netfilter分析OSl七层协议的2、3、4层

netfiler可以直接分析数据包头部数据,包括硬件地址,软件地址、TCP、UDP、ICMP等数据包的信息都可以进行过滤分析

Linux的netfilter机制可以进行的工作有:

拒绝让Internet的数据包进入主机的某些端口

拒绝让某些来源ip的数据包进入

拒绝让带有某些特殊标志(fag)的数据包进入,最常拒绝的就是带有SYN的主动连接的标志了

分析硬件地址(MAC)来决定连接与否。

地址转换。

防火墙并不能有效阻挡病毒或木马程序,并且防火墙对于内部LAN的攻击无能为力

什么是内核空间的iptables

iptables 是基于Netfiter框架实现的报文选择系统

iptables用于报文的过滤、网络地址转换和报文修改等功能

iptables 本质上是包含了5个规则表,而规则表则包含了一些列的报文的匹配规则以及操作目标

1 、raw表:

第一优先级的表,设置raw表规则后,不会对数据包进行链接跟踪和NAT转换,使用于PREROUTING和OUTPUT链,对应的动作为NOTRACK。

2 、mangle表:

第二优先级的表,根据规则,修改数据包的TOS(TypeOfService,服务类型)、TTL(TimeToLive,生存周期)以及设置Mark标记,以实现Qos以及策略路由等。

3、nat表

第三优先级的表,网络地址转换表,用于修改源和目的的地址,分SNAT(源目的地址转换)和DNAT(目的地址转换)。

4 、filter表:

第四优先级的表,用于控制到达链(forward链、input链、output链)上的数据包,是放行(accepte)、丢弃(drop)或者拒绝(reject)。

5 、security表:

最不常用的表(通常,我们说iptables只有4张表,security表是新加入的特性),用于在数据包上应用SELinuX.

iptables 服务

iptables服务是用户管理内核空间的iptables的管理工具,通过iptables书写内核空间的iptables策略

iptables的规则是至上而下的读取方式,遇到与数据包信息匹配的规则后直接采用iptables的规则默认保存在内存中,如果需要永久保存需要把策略以字符的形式保存到/etc/sysconfig/iptables中

开启iptables服务

[root@localhost ~]# systemctl disable --now firewalld

Removed "/etc/systemd/system/multi-user.target.wants/firewalld.service".

Removed "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service".

[root@localhost ~]# systemctl mask firewalld

Created symlink /etc/systemd/system/firewalld.service → /dev/null.

[root@localhost ~]# systemctl enable --now iptables.service

Created symlink /etc/systemd/system/multi-user.target.wants/iptables.service → /usr/lib/systemd/system/iptables.service.

iptables 命令的语法格式及常用参数

查看当前iptables策略

清空表中策略

[root@localhost ~]# iptables -t filter -F

允许本机回环接口访问

[root@localhost ~]# iptables -A INPUT -i lo -j ACCEPT

允许本机sshd的22端口被访问

[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

仅允许172.25.254.100访问22端口

[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 ! -s 192.168.230.100 -j REJECT

删除filter表中INPUT链的第三条策略

[root@localhost ~]# iptables -D INPUT 3

修改filter表中INPUT链的第2条策略

[root@localhost ~]# iptables -R INPUT 2 -p tcp --dport 80 -j ACCEPT

在filter表中建立名称叫做xzq的自定义链

[root@localhost ~]# iptables -N xzq

在filter表中重命名xzq为xxx

[root@localhost ~]# iptables -E xzq xxx

删除xxx链

[root@localhost ~]# iptables -X xxx

添加禁止192.168.230.110 22端口远程登陆但是不会生效

[root@localhost ~]# iptables -A INPUT -s 192.168.230.110 -p tcp --dport 22 -j REJECT

添加 第二条 禁止192.168.230.110 80端口远程登陆

[root@localhost ~]# iptables -I INPUT 2 -s 192.168.230.110 -p tcp --dport 80 -j REJECT

测试192.168.230.110访问192.168.230.100

[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@localhost ~]# iptables -nL

Iptables 中nat的应用

开启内核路由功能

火墙策略

访问设置网关ping

dnat 地址转换

相关推荐
白帽黑客沐瑶3 小时前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
树码小子3 小时前
Java网络编程:(socket API编程:TCP协议的 socket API -- 回显程序的服务器端程序的编写)
java·网络·tcp/ip
绿箭柠檬茶5 小时前
Ubuntu 服务器配置转发网络访问
服务器·网络·ubuntu
real 15 小时前
传输层协议UDP
网络·网络协议·udp
路由侠内网穿透7 小时前
本地部署 GPS 跟踪系统 Traccar 并实现外部访问
运维·服务器·网络·windows·tcp/ip
喵手10 小时前
玩转Java网络编程:基于Socket的服务器和客户端开发!
java·服务器·网络
徐子元竟然被占了!!11 小时前
实验-基本ACL
网络
ftpeak12 小时前
从零开始使用 axum-server 构建 HTTP/HTTPS 服务
网络·http·https·rust·web·web app
LabVIEW开发12 小时前
LabVIEW气体污染无线监测
网络·labview·labview知识·labview功能·labview程序
error:(13 小时前
【从零到公网】本地电脑部署服务并实现公网访问(IPv4/IPv6/DDNS 全攻略)
网络·智能路由器