防火墙-——iptables

目录

安全技术:(市场上常见的防御)

1.入侵检测机制

2.入侵防御

3.防火墙

4.防水墙

通信的五大要素和四要素

iptables

四个表

数据流程图

安装iptables

iptables管理选项:

匹配条件

通用匹配规则

1.查看filter中的 INPUT表

2.清空filter表中的规则

3.拒绝所有主机ping

4.在第一行插入新规则允许ping

5.对ip 进行设置

6.对端口进行拒绝

7.指定规则删除

8.-R 修改

9.修改链的策略

10.指定网段

11.拒绝22端口和80端口

-m (+控制模块 ,明确指定类型 多端口 MAC地址 ip范围)显示匹配

12.指定多个端口

13.指定匹配IP地址范围

14.指定匹配mac地址

自定义链:

添加自定义链

自定义链重命名

删除自定义链

自定义链的实现

删除自定义规则和链

SNAT DNAT

工作原理

​编辑

实验

实验需求

策略备份和还原

Linux抓包


安全技术:(市场上常见的防御)

1.入侵检测机制

阻断,量化,定位来自内外的网络的威胁情况
提供报警和事后监督。类似于监控。

2.入侵防御

以透明模式工作,分析数据包的内容,一切进入本机的内容进行防护,木马,蠕虫,系统漏洞进行分析判断,然后进行阻断。主动的防护机制。部署在整个架构,或者是集群的入口处。(必经之路。)


3.防火墙

隔离功能,工作在网络或者主机的边缘  路由
对网络或者主机的数据包按照一定规则进行检查。(网络层转发数据包)
一般对防火墙的设置都是白名单,拒绝所有,允许个别。

保护范围:主机防火墙,仅为当前主机服务。
                  网络防火墙,防护的是另一侧的局域网。
网络层防火墙,iptables包过滤防火墙
访问控制,每个数据包的源IP地址,目的IP地址,端口号,协议等等进行组合式监控,由此来判断数据包是否允许通过。
iptables: 系统自带的包过滤防火墙。
firewalld: 主机防火墙,他也有包过滤的功能。centos7以后集成的。

4.防水墙

透明模式工作,华为的ensp监控就是防火墙。一切对于防水墙都是透明的
    事前,事中,事后都可以进行检测

通信的五大要素和四要素

源/目的ip 源/目的mac 端口 协议。
源/目的ip 源/目的mac 端口

 

iptables

内核防火墙,内置四个表,而且在所有表中配置规则,配置后立即生效,不需要重启服务。

四个表

raw连接跟踪,跟踪数据的一种机制。配置了之后,可以加快防火墙的穿越速度(关闭raw里面的追踪。)
mangle修改数据包的标记规则
nat地址转化的规则表
filter包过滤规则表。根据预定义的规则,人工设置的规则,对符合条件的数据包进行过滤,也是iptables的默认表
四表的优先级:raw---mangle---nat---filter

表里有链,链里面有规则;iptables的配置规则,写在链当中。

五个链

prerouting链处理数据包进入本机之前的规则                                        NAT
input链处理数据包进入本机的规则。                                 包能否进来
FORWARD链处理数据包转发到其他主机的规则。                       包能否转发
output链处理本机发出的数据包的规则,一般不做处理。
postrouting链处理数据包离开本机之后的规则                                        NAT

数据流程图

安装iptables

systemctl stop firewalldyum -y install iptables iptables-servicessystemctl restart iptables

iptables管理选项:

选项说明
-A在指定链的末尾进行追加
-I在指定链插入新的规则。可以指定插入规则的位置
-P修改默认策略(链的策略)
-D删除
-R修改,替换规则
-L查看指定链当中的规则
-n以数字形式显示规则
-v查看详细信息
--line-number给每个链中的规则进行编号查看
-F清空指定链当中的规则(慎用)
-X清空自定义链的规则
-t指定表名

匹配条件

匹配策略:从上到下按照规则顺序匹配,相同类型匹配,只生效第一条

-p指定数据包的协议类型
-s指定数据包的源ip地址
-d指定数据包的目的ip地址
-i指定数据包进入本机的网络接口
-o指定数据包离开本机的时候使用的网络接口
--sport指定源端口
--dport指定目的端口号

控制类型

-j后面跟上控制类型
ACCEPT允许数据包通过
DROP拒绝数据包通过,直接丢弃数据包,不给任何回应的信息
REJECT拒绝,拒绝数据包通过,但会给一个回应的信息
SNAT修改数据包的源地址
DNAT修改数据包的目的地址

通用匹配规则

ip+端口+网段+接口(网卡设备)

1.查看filter中的 INPUT表

iptables -t filter -vnL INPUT --line-numbers

num   pkts bytes target     prot opt in     out     source               destinationnum:--line-numbers 序号
pkts:匹配规则收到的报文个数
bytes:包的大小综合
target:规则对应的动作
port:规则对应的协议

2.清空filter表中的规则

iptables -F

3.拒绝所有主机ping

iptables -t filter -A INPUT -p icmp -j REJECT

4.在第一行插入新规则允许ping

iptables -t filter -I INPUT 1 -p icmp -j ACCEPT

5.对ip 进行设置

对ping本机进行限制
1.对单个ip拒绝
iptables -A INPUT -s 192.168.10.20 -p icmp -j REJECT 2.对多个ip决绝
iptables -A INPUT -s 192.168.10.20,192.168.10.30 -p icmp -j REJECT

6.对端口进行拒绝

1.对192.168.10.20的22端口进行限制---禁止20远程登陆本机
iptables -A INPUT -s 192.168.10.20 -p tcp --dport 22 -j REJECTs--源主机限制

7.指定规则删除

删除INPUT里的第一条规则iptables -D INPUT 1 1--协议序号

8.-R 修改

注意同时源地址改变,工作中极少使用

9.修改链的策略

工作中都拒绝所有,允许个别

修改INPUT策略iptables -P INPUT DROP

10.指定网段

11.拒绝22端口和80端口

1.拒绝20网段80端口
iptables -A INPUT -s 192.168.20.0/24 -p tcp --dport 20:80 -j REJECT
小号端口在前,大号端口在后2.拒绝20网段20,30,80,90,254端口
iptables -A INPUT -s 192.168.20.0/24 -p tcp -m multiport --dport 20,80,30,90,254 -j REJECT

-m (+控制模块 ,明确指定类型 多端口 MAC地址 ip范围)显示匹配

nultiport 端口
iprange --src-range 源ip
iprange --dst-range 目的ip
mac --mac-source 源mac

12.指定多个端口

13.指定匹配IP地址范围

14.指定匹配mac地址

自定义链:

添加自定义链

iptables -N LIU2

自定义链重命名

iptables -E LIU2 LIU3

删除自定义链

iptables -X 自定义列名

自定义链的实现

在自定义链添加规则,将自定义列添加到系统原有链中(添加如下图)规则才会实现


删除自定义规则和链

先将自定义链从系统默认链中删除,再将自定义链中的规则删除,最后删除自定义链

SNAT DNAT

SNAT    源地址转换
DNAT    目的地址转换

工作原理

实验

实验需求

test1

test2

        ens33

        ens36

1、SNAT
iptables -t nat -A POSTROUTING -s 192.168.233.0/24 -o ens36 -j SNAT -t 10.0.0.10-t 指定的表名
nat: 地址转换的表名
-A 添加一条规则,在行尾追加
POSTROUTING: 在出本机的时候添加一个地址转换的规则
-s 192.168.233.0/24: 指定源p地址
-o ens36: 从网卡设备ens36出去的数据都会做转换
-j SNAT: 指定控制类型,源地址转换
--to 10.0.0.10 所有的源ip属于233.0这个网段,只要你是从ens36出来的,都会把他们的ip地址转换成10.0.0.102、DNATiptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT -to 192.168.233.10:80-t nat: 指定地址转换表
-A PREROUTING:在进入本机之后添加地址转换的规则
-d 11.0.0.11: 指定目的地址
ens36: 进入内网的设备接口
-p 指定协议
--dport 80 指定端口
-j DNAT 转换目的地址
--to 192.168.10.10:80 只要是从何ens36这个网络接口进入本机内网的ip地址,访问内网服务http的80端口,目的ip地址都可以转换成11.0.0.113、开启转发
vim /etc/sysctl.confnet.ipv4.ip_forward=1
sysctl -p 立即生效

        test3

策略备份和还原

备份 iptables-save >/opt/iptables.bank
还原 iptables-restore < /opt/iptable.bank
默认策略存放位置  /etc/sysconfig/iptables 立即生效

Linux抓包

linux能否抓包?????????????????

        答:tcpdump(系统自带的)

                    分为:指定抓包
                                动态抓包,一直获取,手动停止

   抓包命令格式

tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.10.0/24 -w ./target.captcpdump 固定格式
tcp 抓取tcp协议
-i 只抓经过ens33的数据包
-t 不显示时间戳
-s0 抓完整的数据包
-c 指定抓包的个数
dst port 80 访问httpd 80
src net 192.168.10.0/24   源地址来自192.168.10.0网段的ip
-w 抓包的数据,保存位置 
*.cap  Wireshark分析.cap 后缀的

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/151622.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Docker中MySql容器的数据挂载

1.查看是否有数据卷 docker inspect mysql 说明&#xff1a;Name的值是随机生成的不是命令的。因此没有数据卷。 2. 目录挂载 说明&#xff1a;本地目录不允许简写&#xff1b;在执行docker runi命令时&#xff0c;使用-v本地目录&#xff1a;容器内目录可以完成本地目录挂载…

滴滴发布十一大数据:延边出行需求上涨280% 西部省份成旅游热点

今年十一假期适逢中秋佳节&#xff0c;在亲友团聚和长假出游的多重期盼下&#xff0c;超级黄金周展现强劲内需&#xff0c;带动多样化的消费趋势&#xff0c;出行热情也随之高涨。滴滴出行数据显示&#xff0c;打车需求相比去年同期上涨80%&#xff0c;高峰时段每分钟呼叫突破1…

2019架构真题2020案例(四十七)

数据存储在中央仓库&#xff0c;处理流程独立&#xff0c;交互性好数据和处理耦合在一起&#xff0c;每次修改需要重启劣势&#xff1a;需要通过连接组件进行连接&#xff0c;性能降低优势&#xff1a;支持并发通过仓库连接组件访问&#xff0c;效率高 (8分)缓存中存储当前的热…

深度学习-卷积神经网络-ResNET

文章目录 前言1.resnet2.作者3.精度&#xff08;TOP-5&#xff09;4.论文一览5.竞赛排名6.网络退化7.残差8.残差 1.作者 前言 本文来自B站&#xff1a; ResNet深度残差网络 1.resnet 2.作者 3.精度&#xff08;TOP-5&#xff09; 4.论文一览 5.竞赛排名 6.网络退化 ResNet解…

12P4375X042-233C KJ2005X1-BA1 CE3007 EMERSON servo controller

12P4375X042-233C KJ2005X1-BA1 CE3007 EMERSON servo controller 我们提供三种不同类别的EDGEBoost I/O模块供选择&#xff0c;以实现最大程度的I/O定制: 数字和模拟输入/输出网络和连接边缘人工智能和存储 利用EDGEBoost I/O实现变革性技术 EBIO-2M2BK EBIO-2M2BK载板支持…

Android ncnn-android-yolov8-seg源码解析 : 实现人像分割

1. 前言 上篇文章&#xff0c;我们已经将人像分割的ncnn-android-yolov8-seg项目运行起来了&#xff0c;后续文章我们会抽取出Demo中的核心代码&#xff0c;在自己的项目中&#xff0c;来接入人体识别和人像分割功能。 先来看下效果&#xff0c;整个图像的是相机的原图&#…

Linux CentOS7 vim多窗口编辑

我们在用vim编辑文件时&#xff0c;有各种需求。如有时需要在多个文件之间来回操作&#xff0c;一会关闭一个文件&#xff0c;一会再打开另外一个文件&#xff0c;这样来回操作显得太笨拙。有时&#xff0c;vim编辑多行的大文件&#xff0c;来回查看、编辑前面一部分及最后一部…

NFT合约分析:ERC721A

概述 读者可前往我的博客获得更好的阅读体验。 本文主要介绍标准NFT实现的一个变体&#xff0c;即ERC721A合约实现的相关细节。ERC721A是由著名NFT系列Azuki提出&#xff0c;该系列NFT是著名的蓝筹NFT。本文主要聚焦于Azuki提出的ERC721A合约的代码细节分析。 与传统的ERC72…

C++ 字符串

在本文中&#xff0c;您将学习如何在C中处理字符串。您将学习声明它们&#xff0c;对其进行初始化以及将它们用于各种输入/输出操作。 字符串是字符的集合。C 编程语言中通常使用两种类型的字符串&#xff1a; 作为字符串类对象的字符串&#xff08;标准C 库字符串类&#xff0…

HiveServer2 Service Crashes(hiveServer2 服务崩溃)

Troubleshooting Hive | 5.9.x | Cloudera Documentation 原因&#xff1a;别人用的都好好的&#xff0c;我的集群为什么会崩溃&#xff1f; 1.hive分区表太多(这里没有说具体数量。) 2.并发连接太多&#xff0c;我记的以前默认是200个连接 3.复杂的hive查询访问表的的分区…

【好玩】如何在github主页放一条贪吃蛇

前言 &#x1f34a;缘由 github放小蛇&#xff0c;就问你烧不烧 起因看到大佬github上有一条贪吃蛇扭来扭去&#xff0c;觉得好玩&#xff0c;遂给大家分享一下本狗的玩蛇历程 &#x1f95d;成果初展 贪吃蛇 &#x1f3af;主要目标 实现3大重点 1. github设置主页 2. git…

多功能频率计周期/脉宽/占空比/频率测量verilog,视频/代码

名称&#xff1a;多功能频率计周期、脉宽、占空比、频率测量verilog 软件&#xff1a;Quartus 语言&#xff1a;Verilog 代码功能&#xff1a; 多功能频率计&#xff0c;可测量信号的周期、脉冲宽度、占空比、频率&#xff0c;语言为verilog&#xff0c;quartus软件设计仿真…

【C++设计模式之组合模式:结构型】分析及示例

简介 组合模式是一种结构型设计模式&#xff0c;它能够将对象组合成树形结构以表示“整体-部分”的层次结构&#xff0c;并且能够使用相同的方式处理单个对象和组合对象。组合模式使得客户端可以一致地处理单个对象和组合对象&#xff0c;无需关心具体的对象类型。 组合模式将对…

3D模型格式转换工具HOOPS Exchange助力Halocline开发VR

挑战&#xff1a; 支持客户群使用各种CAD系统和CAD文件格式。快速准确的加载可视化硬件数据。提供访问模型详细信息&#xff0c;同时确保高帧频性能。 结果&#xff1a; 确保支持标准文件格式和来自领先工程软件包的CAD数据。 通过查看简化模型或根据需要访问高层次的细节&am…

文本自动输入/删除的加载动画效果

效果展示 CSS 知识点 绕矩形四周跑的光柱动画实现animation 属性的 steps 属性值运用 页面基础结构实现 <div class"loader"><!-- span 标签是围绕矩形四周的光柱 --><span></span><span></span><span></span>&l…

Javascript中的模块化详解

1.什么是模块化、模块化开发&#xff1f; 事实上模块化开发最终的目的是将程序划分成一个个小的结构&#xff1b; 这个结构中编写属于自己的逻辑代码&#xff0c;有自己的作用域&#xff0c;不会影响到其他的结构&#xff1b; 这个结构可以将自己希望暴露的变量、函数、对象等…

自动驾驶技术的基础知识

自动驾驶技术是现代汽车工业中的一项革命性发展&#xff0c;它正在改变着我们对交通和出行的理解。本文将介绍自动驾驶技术的基础知识&#xff0c;包括其概念、历史发展、分类以及关键技术要素。 1. 自动驾驶概念 自动驾驶是一种先进的交通技术&#xff0c;它允许汽车在没有人…

ADuM1250 ADuM1251 模块 I2C IIC总线2500V电磁隔离 接口保护

功能说明&#xff1a; 1&#xff0c;2500V电磁隔离&#xff0c;2通道双向I2C&#xff1b; 2&#xff0c;支持电压在3到5.5V&#xff0c;最大时钟频率可达1000KHz&#xff1b; 3&#xff0c;将该隔离模块接入总线&#xff0c;可以保护主MCU引脚&#xff0c;降低I2C总线上的干…

周总结【java项目】

项目进度&#xff1a; 学习了JavaFX&#xff0c;下载了sceneBuilder辅助工具构建窗口&#xff08;目前建立了登陆&#xff0c;注册&#xff0c;忘记密码的界面&#xff09;&#xff0c;然后是学习了MySQL的连接&#xff0c;现在的项目是刚连上数据库&#xff1b; 下一步&…

Tasmota系统之外设配置

Tasmota系统之外设配置 &#x1f388;相关篇《ESP32/ESP8266在线刷写Sonoff Tasmota固件以及配置简要》&#x1f516;这里以ESP32配置DS18B20温度传感器和dht11温湿度传感器为例。 ✨如果想接特定型号的显示屏幕&#xff0c;需要下载指定的固件&#xff0c;目前官方所提供的固件…