linux防火墙_代码007(未授权)

入侵检测系统（Int rus ion De tec t ion Syste ms）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类似于监控系统一般采用旁路部署（默默的看着你）方式。
入侵防御系统（Int rus i on Pr event i on Syste m）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）
防火墙（ Fi reWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demili tarized zone)网络中.
防水墙（Wa ter wall）：与防火墙相对，是一种防止内部信息泄漏的安全产品。网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

防火墙的分类

按保护 范围 划分

主机防火墙：服务范围为当前一台主机
网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分

硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为，山石hills t one,天融信，启明星辰，绿盟，深信服, Pa loAlto , fortinet, Cis co, Chec k point， NetSc reen(Juni per2004年40亿美元收购)等
软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Win dows 防火墙 ISA –&g t; Fore front

按网络协议 划分

网络层防火墙：OSI模型下四层，又称为包过滤防火墙
应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

正反向 代理

正向代理：（翻墙），代理的是客户端，绕开防火墙限制，加快访问速度

反向代理：代理的是服务端

轮询：代理的客户端，按照1：1：1的规则分配

加权：按照自定的规则分配（1：2：4）

linux防火墙的基本认识

net filter

Linux防火墙是由Netfilter 组件提供的，Netfilter 工作在内核空间，集成在linux 内核中

net filer中的四个表五个链

数据流向表

五个链：

input：进入本机
output：出本机
prerout in g：路由选择前
postrout in g：路由选择后
forwar d：转发

四个规则表（容纳各种规则链）

raw表：确定是否对该数据包进行状态跟踪（跟踪）
mangle表：为数据包设置标记（标记）
nat表：地址转换
filter表：确定是否放行该数据包（过滤）

注：表的作用是存放链，链决定了在什么位置控制流量，表中有链，链中有规则

iptables

iptables的组成

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。

netfilter/iptables：IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成。

netfilter：属于“内核态”又称内核空间（kernel s p ace）的防火墙功能体系。
iptables：属于“用户态”(User Sp ace，又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/s bin/iptables目录下。

raw表：主要用来决定是否对数据包进行状态跟踪包含两个规则链，OUTPUT，PREROUTING
mangle表 : 修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING
filter表：负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链，即PREROUTING、POSTROUTING、OUTPUT

iptables的实际操作

iptables的命令 格式

iptables -t 指定表  子命令 指定链  规则

语法表

管理选项

-A：在指定链末尾追加
-I：在指定链中插入一条新的，未指定序号默认作为第一条
-P：指定默认规则，一般默认的规则是ACCEPT()黑名单， ACCEPT为黑名单（默认允许所有访问），DROP为白名单（默认拒绝所有访问）
-D：删除指定链
-R：替换指定链
-Z：清空链的计数器

规则选项

-s：源地址
–d：目的地址
-p：协议（tcp，udp，icmp）
–sport：源端口
—dport：目标端口
-i：进口网卡
-o：出口网卡

跳转

DROP：丢弃
REJECT：拒绝
ACCEPT：允许
LOG：添加备注（日志）

注：

ip tables –vnL：看表（v：详细，n：数字化，L：列表）
ip tables –vnL —line –num：看表时给规则加上序号
ip tables -F ：清空所有规则

ip tables的操作范例

基础操作

1.看表（1）

2.看表（2）

3.制定规则拒绝另外一台主机的访问

在20主机设置防火墙

去到10主机ping20主机，看防火墙规则是否应验

再回到20主机查看iptables表，看记录

4.添加，删除，替换规则

5.设置当前主机的防火墙默认规则为白名单，并且将xshell的ssh 服务添允许访问加到规则里，让xshell能恢复使用，并且添加另一条白名单允许一台主机也能访问当前主机，最后再将当前虚拟机的默认规则改为黑名单，允许所有访问

此时当前主机拒绝所有访问

回到虚拟机终端，查看iptables表

此时，在白名单中添加一些允许的规则，允许这些规则中的主机可以访问当台虚拟机

再去到xshell，看是否能恢复使用

再添加另一条ip地址允许访问规则

去到10主机看是否能成功访问20主机

回到虚拟机终端，恢复默认规则为黑名单

6.清除计数器

扩展 模块 操作

1.限制端口访问

添加 input的一条链规则：拒绝192.168.75.40主机访问22端口

去到40主机，进行tcp22端口的ssh 服务

去到30主机，进行tcp22端口的ssh 服务

2.iprange 扩展（ip地址范围）

去到30，40主机看能否ping通20主机

去到10主机看能否ping通（不在规则范围内）

3.限制源MAC地址访问

先去客户端10主机看其mac地址

得到10主机的mac地址后，去服务端20主机添加拒绝规则

回到10主机，测试

4.string 字符串

进到20主机服务端写入

在添加规则不允许bi libili 字符出现

规则添加成功后，去10主机客户端进行对20主机服务端的访问

原文地址:https://blog.csdn.net/weixin_72625764/article/d etails/134690466

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。

如若转载，请注明出处：http://www.7code.cn/show_13389.html

如若内容造成侵权/违法违规/事实不符，请联系代码007邮箱：suwngjj01@126.com进行投诉反馈，一经查实，立即删除！

主题授权提示：请在后台主题设置-主题授权-激活主题的正版授权，授权购买：RiTheme官网

显示所有内容

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

iptables 虚拟机防火墙

代码007普通

安全技术和防火墙

安全技术

防火墙的分类

按保护范围划分

按实现方式划分

按网络协议划分

正反向代理

linux防火墙的基本认识

netfiler中的四个表五个链

iptables的组成

iptables的实际操作

iptables的命令格式

iptables的操作范例

基础操作

相关文章

发表回复 取消回复

net filer中的四个表五个链

ip tables的操作范例

发表回复取消回复