热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Linux防火墙系统

   Linux系统上的防火墙是由iptablesetfilter组成,其中iptables是规则的制定工具,netfilter在内核协议框架中定义了5个卡点位置,并在这5个位置通

     Linux系统上的防火墙是由iptables/netfilter组成,其中iptables是规则的制定工具,netfilter在内核协议框架中定义了5个卡点位置,并在这5个位置通过钩子函数对进出的数据包进行过滤,从而达到防火墙的功能,iptables工具工作在用户空间,它可以制定一些规则然后送达到内核空间,然后结合netfilter的钩子函数及处理方法对数据包进行放行或者拒绝处理。防火墙里面有许多个table,每个表格里面都定义许多的规则,并且每个表格的用途不同,iptables按用途和功能对其分类成四个表,这四个表又由五个链组成,这五个链对应上面五个钩子函数。

     防火墙的四个表分别为:filter,nat,mangle,raw;默认表是filter,表的处理优先级依次为:raw,mangle,nat,filter。每个表的处理功能分别为

    ##filter:一般的过滤功能;

    ##nat:用于nat功能(地址转换、隐射,端口隐射);

    ##mangle:用于对特定数据包的修改,(较少使用);

    ##raw:一般是为了不在让iptables做数据包的链接跟踪处理,从而提高性能;

     四个表下的五个链分别为:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

    ##INPUT:通过路由表判断后目的地是本机,然后进入本机内部资源

blob.png

    ##OUTPUT:由本机产生的数据向外部转发

blob.png

    ##FORWARD:通过路由表判断后目的地不是本机,然后通过路由转发到其他地方

blob.png

blob.png

blob.png

blob.png

blob.png

    ##PREROUTING:流入的数据包进入路由表之前

    ##POSTROUTING:传出的数据包到达网卡出口前

iptables的语法格式:  iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA -j TARGET

    ## -t TABLE: 指定表,默认为filter,包括filter,nat,mangle,raw四表

    ## SUBCOMMAND:对链的操作(被引用中的链,无法删除和改名)

        -F 清空指定表的指定链上所有的规则;省略链名时,清空表中的所有链

blob.png

        -N 新建一个用户自定义的链;自定义链只能作为默认链上的跳转对象,即在默认链通过引用来生效自定义链

blob.png

        -X 删除用户自定义的空链;非空自定义链和内置链无法删除

blob.png

        -Z 将规则的计数器置为0

        -P 设置链的默认处理机制;当所有都无法匹配或有匹配有无法做出有效处理机制时,默认策略即生效

blob.png

        -E 重命名自定义链

blob.png

    ##iptables 规则管理

        -A 在链尾追加一条规则

blob.png

blob.png

        -I 在指定位置插入一条规则

blob.png

blob.png

        -D 删除指定规则

blob.png

        -R 替换指定的规则

blob.png

        -L 列出指定链上的所有规则

blob.png

blob.png

blob.png

    ##CRETERIA: 匹配条件

检查IP首部、检查TCP、UDP或ICMP首部,也可以基于扩展机制,进行额外的检查,如做连接追踪;注意,可同时指定多个条件,默认多条件要同时满足。匹配条件又分通用匹配和扩展匹配

        ##通用匹配

            [!] -s,-src,--source  IP|Network  :检查报文中的IP地址

            -d,--dst--destination  :检查报文中的目标IP地址

            -p      :检查报文中的协议,包括tcp,udp,icmp

            -i,--in-interface   :数据报文的流入接口,通常用于PREROUTING,INPUT,FORWARD链上的规则

            -o,--out-interface  :数据报文的流入接口,通常用于FORWARD,OUTPUT,POSTROUTING链上的规则

        ##扩展匹配

            隐形扩展:如果在通用匹配上使用-p选项指明了协议的话,则使用-m选项指明对其协议的扩展就变得可有可无

                tcp:针对tcp协议

                    --dport PORT[-PORT]

                    --sport

                    --tcp-flags LIST1 LIST2

                        LIST1 :要检查的标志位

                        LIST2 :在LIST1中出现过的且为1标记位;而余下的则必须为0;

                    --syn :用于匹配tcp会话三次握手中的第一次

blob.png

                udp:针对udp协议

                    --sport

                    --dport

blob.png

                icmp:针对icmp协议

                    --icmp-types

                        8:echo request

                        0:echo reply

blob.png

blob.png

            显式扩展:必须指明使用的扩展机制

                -m 模块名称 (每个模块会引入新的匹配机制)

                    multiport扩展: 定义多端口匹配,最多指定15个端口

                        --source-ports,--sport

                        --destination-ports

                        --ports

blob.png

                    iprange扩展:指定连续的IP地址范围,在匹配非整个网段地址时使用

                        [!]--src-range IP

                        [!]--dst-range IP

blob.png

                    srting扩展:检查报文中出现的字符串,与给定的字符串做匹配

                        --algo

                        --string"STRING"

                        --hex-string"HEX_STRING":HEX_STRING为编码成16进制格式的字符串

blob.png

                    time扩展:基于时间区间的访问控制

                        --datestart

                        --dattestop

                        --timestart

                        --timestop

                        --weekdays

blob.png

                    connlimit扩展:基于连接数作限制;对每个IP能够发起的并发连接数作限制

                        --connlimit-above

blob.png

                    limit扩展:基于发包速率作限制

                        --limit

                        --limit-burst

blob.png

                    state扩展:启用连接追踪模板记录连接

                        NEW:新建立的连接,连接追踪模板中无相应记录时,客户端第一次发出的请求

blob.png

                        ESTABLISHED:NEW状态后,边距追踪模板中的记录删除之前进行的通信过程

blob.png

                        RELATED:相关联的连接

blob.png

                        INVALIED:无法识别的状态

    ##TARGET:采取的动作

        -j :跳转目标

            ACCEPT :允许接受

            DROP :丢弃

            REJECT :拒绝

SNAT:主要用于实现内网客户端访问外部主机时使用,要定义在POSTOUTING链,也可以在OUTPUT上使用

blob.png

blob.png

blob.png

DNAT:主要用于发布内部服务器,让内网中的服务器在外网中可以被访问到,要定义在PREROUTING链

blob.png

blob.png

blob.png

blob.png


推荐阅读
  • C# 中创建和执行存储过程的方法
    本文详细介绍了如何使用 C# 创建和调用 SQL Server 存储过程,包括连接数据库、定义命令类型、设置参数等步骤。 ... [详细]
  • 本文探讨了如何通过Service Locator模式来简化和优化在B/S架构中的服务命名访问,特别是对于需要频繁访问的服务,如JNDI和XMLNS。该模式通过缓存机制减少了重复查找的成本,并提供了对多种服务的统一访问接口。 ... [详细]
  • 在Java开发中,保护代码安全是一个重要的课题。由于Java字节码容易被反编译,因此使用代码混淆工具如ProGuard变得尤为重要。本文将详细介绍如何使用ProGuard进行代码混淆,以及其基本原理和常见问题。 ... [详细]
  • 处理Android EditText中数字输入与parseInt方法
    本文探讨了如何在Android应用中从EditText组件安全地获取并解析用户输入的数字,特别是用于设置端口号的情况。通过示例代码和异常处理策略,展示了有效的方法来避免因非法输入导致的应用崩溃。 ... [详细]
  • 在1995年,Simon Plouffe 发现了一种特殊的求和方法来表示某些常数。两年后,Bailey 和 Borwein 在他们的论文中发表了这一发现,这种方法被命名为 Bailey-Borwein-Plouffe (BBP) 公式。该问题要求计算圆周率 π 的第 n 个十六进制数字。 ... [详细]
  • 近期尝试从www.hub.sciverse.com网站通过编程手段获取数据时遇到问题,起初尝试使用WebBrowser控件进行数据抓取,但发现使用GET方法翻页时,返回的HTML代码始终相同。进一步探究后了解到,该网站的数据是通过Ajax异步加载的,可通过HTTP查看详细的JSON响应。 ... [详细]
  • spring boot使用jetty无法启动 ... [详细]
  • 本文将从基础概念入手,详细探讨SpringMVC框架中DispatcherServlet如何通过HandlerMapping进行请求分发,以及其背后的源码实现细节。 ... [详细]
  • 深入理解:AJAX学习指南
    本文详细探讨了AJAX的基本概念、工作原理及其在现代Web开发中的应用,旨在为初学者提供全面的学习资料。 ... [详细]
  • importjava.io.*;importjava.util.*;publicclass五子棋游戏{staticintm1;staticintn1;staticfinalintS ... [详细]
  • 在现代Web开发中,HTML5 Canvas常用于图像处理和绘图任务。本文将详细介绍如何将Canvas中的图像导出并上传至服务器,适用于拼图、图片编辑等场景。 ... [详细]
  • php三角形面积,335宝石大全
    php三角形面积,335宝石大全 ... [详细]
  • 尽管Medium是一个优秀的发布平台,但在其之外拥有自己的博客仍然非常重要。这不仅提供了另一个与读者互动的渠道,还能确保您的内容安全。本文将介绍如何使用Bash脚本将Medium文章迁移到个人博客。 ... [详细]
  • 如何高效解决Android应用ANR问题?
    本文介绍了ANR(应用程序无响应)的基本概念、常见原因及其解决方案,并提供了实用的工具和技巧帮助开发者快速定位和解决ANR问题,提高应用的用户体验。 ... [详细]
  • 本文介绍了如何通过 XMLHttpRequest 对象在不同浏览器中实现 AJAX 的 POST 和 GET 请求,并详细说明了 XMLHttpRequest 的五个状态及其含义。 ... [详细]
author-avatar
海岛迷情
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有