主頁 > 作業系統 > linux iptables安全技術與防火墻

linux iptables安全技術與防火墻

2023-06-14 07:35:42 作業系統

目錄

一、入侵檢測系統

二、防火墻

三、防水墻  

四、tcpdump抓包

五、實驗演示

  1.SNAT 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

一、入侵檢測系統

  特點:是不阻斷任何網路訪問,量化、定位來自內外網路的威脅情況,
    主要以提供報警和事后監督為主,提供有針對性的指導措施和安全域策依據,類似于監控系統

 

二、防火墻

  1.特點:隔離功能,作業在網路或主機邊緣

      對進出網路或主機的資料包基于一定的規則檢查,并在匹配某規則時由規則定義的行為進行處理的一組功能的組件,

      基本上的實作都是默認情況下關閉所有的通過型訪問,只開放允許訪問的策略,會將希望外網訪問的主機放在網路中,

 

  2.防火墻分類:

    主機防火墻:服務范圍為當前一臺主機

    網路防火墻:服務范圍為防火墻一側的局域網

 

  3.按實作方式劃分:

    硬體防火墻:在專用硬體級別實作部分功能的防火墻;另一個部分功能基于軟體實作

  

   4.按網路協議劃分:

    網路層防火墻:OSI模型下四層,又稱為包過濾防火墻
    應用層防火墻/代理服務器:proxy 代理網關,OSI模型七層

   

  5.Netfilter

    Linux防火墻是由Netfilter組件提供的,Netfilter作業在內核空間,集成在linux內核中

 

  6.iptables

    由軟體包iptables提供的命令列工具,作業在用戶空間,用來撰寫規則,寫好的規則被送往netfilter,告訴內核如何去處理資訊包

    iptables默認安裝

    Linux的防火墻體系主要作業在網路層針對資料包實施過濾和限制,屬于典型的包過濾防火墻(或稱為網路層防火墻),

    (1)五元素:

        1.源ip地址

        2.目標IP地址

        3.源埠

        4.目標埠

        5.協議

     (2)五種規則鏈

        1.INPUT:處理入堆疊資料包

        2.OUTPUT:處理出堆疊資料包

        3.FORWORD:處理轉發資料包

        4.POSTROUTING:處理路由選擇后處理資料包

        5.PREROUTING:處理路由選擇前資料包

 

     (3)四種規則表

        1.raw表:確定是對資料包進行狀態跟蹤

        2.mangle表:為資料包設定標記

        3.nat表:修改資料包的源目標IP地址或埠

        4.fileter表:確認是否放行該資料包

 

        四表五鏈

          規則表的作用:容納各種規則鏈
          規則鏈的作用:容納各種防火墻規則
          總結:表里有鏈,鏈里有規則

        

        注意事項:
          不指定表名時,默認指filter表
          不指定鏈名時,默認指表內的所有鏈,一般不這么操作
          除非設定鏈的默認策略,否則必須指定匹配條件
          選項、鏈名、控制型別使用大寫字母,其余均為小寫

 

     (4)內核中資料包的傳輸程序

        1. 當一個資料包進入網卡時,資料包首先進入PREROUTING鏈,內核根據資料包目的IP判斷是否需要轉送出去,        

        2. 如果資料包是進入本機的,資料包就會沿著圖向下移動,到達INPUT鏈,資料包到達INPUT鏈后, 任何行程都會收到它,

          本機上運行的程式可以發送資料包,這些資料包經過OUTPUT鏈,然后到達        

        3. 如果資料包是要轉發出去的,且內核允許轉發,資料包就會向右移動,經過FORWARD鏈,然后到達POSTROUTING鏈輸出

 

     (5)規則內的匹配順序

        自上向下按順序依次進行檢查,找到相匹配的規則即停止(LOG策略例外,表示記錄相關日志)
        若在該鏈內找不到相匹配的規則,則按該鏈的默認策略處理(未修改的狀況下,默認策略為允許)

     

      (6)資料包的常見控制型別

        ACCEPT:允許資料包通過,

        DROP: 直接丟棄資料包,不給出任何回 應資訊,
        REJECT:拒絕資料包通過,必要時會給資料發送端一個回應資訊,
        SNAT: 修改資料包的源地址
        DNAT: 修改資料包的目的地址

      

     (7)管理選項   

         -A             在指定鏈末尾追加一條

         -I             在指定鏈中插入一條新的,未指定序號默認作為第一條

         -P             指定默認策略

         -D             洗掉

         -R             修改、替換某一條規則

         -L             查看

         -n             所有欄位以數字形式顯示

         -v             查看時顯示更詳細資訊,常跟-L一起使用 

         --line-numbers  規則帶編號

         -F             清除鏈中所有規則

         -X             清空自定義鏈的規則,不影響其他鏈 

         -Z             清空鏈的計數器

         -S 看鏈的所有規則或者某個鏈的規則/某個具體規則后面跟編號

 

      (8)匹配的條件

       -p              指定要匹配的資料包的協議型別  

       -s         指定要匹配的資料包的源IP地址

       -d     指定要匹配的資料包的目的IP地址

          -i      指定資料包進入本機的網路介面
       -o     指定資料包離開本機做使用的網路介面
         --sport       指定源埠號
         --dport       指定目的埠號

    例子演示:

      (1)粗略查看默認規則:

       (2)數字化的形式查看規則:

      (3) 指定表查看:

       (4)查看指定表中的指定鏈

       (5) 清空規則(清除前先備份)

       (6)備份iptabs

       (7)還原iptabes

      (8)添加規則,禁止所有主機ping本機   

  可以看到所有網段無法通信

 

     (9)添加所有網段都可以通信

     (10)指定序號插入,插入到第一條

      (11) 添加禁止任何主機tcp

     (12)添加允許任何主機udp

     (13)查看行規則的位置

     (14)添加拒絕某一臺主機,其他的可以

     (15) 拒絕多臺主機

     (16) 添加指定埠(禁止22埠ssh服務會掉)

     (17)添加指定IP地址的服務埠拒絕

         可以看到IP地址可以登錄,但是使用指定埠不可通信

     (18)根據序號洗掉內容

      (19)內容匹配洗掉(有兩個相同的則作用為去重) 如果有兩個重復的規則,則洗掉序號較小的

       (20)修改默認規則:

       (21)filter三條鏈的默認值為ACCEPT,修改為DROP

       (22)除了icmp以外,所有的協議都可以進入

       (23)禁止整個網段訪問21和80埠 (小的數字寫在前面,大的寫在后面)

      

    顯示匹配      

      (1)-m multiport --sport 源埠串列 -m multiport --dport 目的埠串列

       (2)IP范圍匹配

          -m iprange --src-range 源IP范圍

          -m iprange --dst-range 目的IP范圍

       (3)MAC匹配

          -m mac --mac-source MAC地址

 

       (4) 自定義鏈使用

           (5)自定義鏈改名

         (6)創建自定義鏈規則

         (7)洗掉自定義規則鏈:先洗掉iptables INPUT鏈中的對應關系,然后洗掉自定義鏈中的規則,

 

 

  7.firewalld

    軟體包:firewalld、firewalld-config

    管理工具:firewall-cmd 命令列工具、firewall-config 圖形作業

  

 

三、防水墻

  特點:廣泛意義上的防水墻:防水墻,與防火墻相對,是一種防止內部資訊泄漏的安全產品,   

    防水墻針對這四種泄密途徑,在事前、事中、事后進行全面防護,

 

四、 tcpdump抓包

    tcpdump抓包工具的運用
    wireshark 抓包工具只在windows中使用,
    tcpdump 可以在Linux系統中使用,

    1.靜態抓包

    linux沒有查看工具,所有將target.cap匯入到外面實驗target查看

   2.動態抓包

 

 

 

五、實驗演示

  1.在pc1配置內網地址

    重啟服務

   2.配置外網地址pc3

3.中轉服務器pc2,先配置ens33網關

   重啟網卡

   配置ens37網卡作為外網的轉發處

    重啟網卡  

    4.修改網卡模式

    內網和對應網卡為nat,外網為僅主機  

      網關服務器配置:

  外網網卡配置

 5.啟動轉發

  進入/etc/sysctl.conf

 6.添加規則,允許訪問指定網段埠

 使用pc1向外網通信

 pc3外網訪問內網

 

轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/555038.html

標籤:其他

上一篇:檔案系統

下一篇:返回列表

標籤雲
其他(160895) Python(38222) JavaScript(25493) Java(18225) C(15237) 區塊鏈(8270) C#(7972) AI(7469) 爪哇(7425) MySQL(7248) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5874) 数组(5741) R(5409) Linux(5347) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4591) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2435) ASP.NET(2404) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) .NET技术(1984) 功能(1967) HtmlCss(1964) Web開發(1951) C++(1933) python-3.x(1918) 弹簧靴(1913) xml(1889) PostgreSQL(1881) .NETCore(1863) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • CA和證書

    1、在 CentOS7 中使用 gpg 創建 RSA 非對稱密鑰對 gpg --gen-key #Centos上生成公鑰/密鑰對(存放在家目錄.gnupg/) 2、將 CentOS7 匯出的公鑰,拷貝到 CentOS8 中,在 CentOS8 中使用 CentOS7 的公鑰加密一個檔案 gpg -a ......

    uj5u.com 2020-09-10 00:09:53 more
  • Kubernetes K8S之資源控制器Job和CronJob詳解

    Kubernetes的資源控制器Job和CronJob詳解與示例 ......

    uj5u.com 2020-09-10 00:10:45 more
  • VMware下安裝CentOS

    VMware下安裝CentOS 一、軟硬體準備 1 Centos鏡像準備 1.1 CentOS鏡像下載地址 下載地址 1.2 CentOS鏡像下載程序 點擊下載地址進入如下圖的網站,選擇需要下載的版本,這里選擇的是Centos8,點擊如圖所示。 決定選擇Centos8后,選擇想要的鏡像源進行下載,此 ......

    uj5u.com 2020-09-10 00:12:10 more
  • 如何使用Grep命令查找多個字串

    如何使用Grep 命令查找多個字串 大家好,我是良許! 今天向大家介紹一個非常有用的技巧,那就是使用 grep 命令查找多個字串。 簡單介紹一下,grep 命令可以理解為是一個功能強大的命令列工具,可以用它在一個或多個輸入檔案中搜索與正則運算式相匹配的文本,然后再將每個匹配的文本用標準輸出的格式 ......

    uj5u.com 2020-09-10 00:12:28 more
  • git配置http代理

    git配置http代理 經常遇到克隆 github 慢的問題,這里記錄一下幾種配置 git 代理的方法,解決 clone github 過慢。 目錄 git配置代理 git單獨配置github代理 git配置全域代理 配置終端環境變數 git配置代理 主要使用 git config 命令 git單獨 ......

    uj5u.com 2020-09-10 00:12:33 more
  • Linux npm install 裝包時提示Error EACCES permission denied解

    npm install 裝包時提示Error EACCES permission denied解決辦法 ......

    uj5u.com 2020-09-10 00:12:53 more
  • Centos 7下安裝nginx,使用yum install nginx,提示沒有可用的軟體包

    Centos 7下安裝nginx,使用yum install nginx,提示沒有可用的軟體包。 18 (flaskApi) [root@67 flaskDemo]# yum -y install nginx 19 已加載插件:fastestmirror, langpacks 20 Loading ......

    uj5u.com 2020-09-10 00:13:13 more
  • Linux查看服務器暴力破解ssh IP

    在公網的服務器上經常遇到別人爆破你服務器的22埠,用來挖礦或者干其他嘿嘿嘿的事情~ 這種情況下正確的做法是: 修改默認ssh的22埠 使用設定密鑰登錄或者白名單ip登錄 建議服務器密碼為復雜密碼 創建普通用戶登錄服務器(root權限過大) 建立堡壘機,實作統一管理服務器 統計爆破IP [root ......

    uj5u.com 2020-09-10 00:13:17 more
  • CentOS 7系統常見快捷鍵操作方式

    Linux系統中一些常見的快捷方式,可有效提高操作效率,在某些時刻也能避免操作失誤帶來的問題。 ......

    uj5u.com 2020-09-10 00:13:31 more
  • CentOS 7作業系統目錄結構介紹

    作業系統存在著大量的資料檔案資訊,相應檔案資訊會存在于系統相應目錄中,為了更好的管理資料資訊,會將系統進行一些目錄規劃,不同目錄存放不同的資源。 ......

    uj5u.com 2020-09-10 00:13:35 more
最新发布
  • linux iptables安全技術與防火墻

    目錄 一、入侵檢測系統 二、防火墻 三、防水墻 四、tcpdump抓包 五、實驗演示 1.SNAT 一、入侵檢測系統 特點:是不阻斷任何網路訪問,量化、定位來自內外網路的威脅情況, 主要以提供報警和事后監督為主,提供有針對性的指導措施和安全域策依據,類似于監控系統 二、防火墻 1.特點:隔離功能,工 ......

    uj5u.com 2023-06-14 07:35:42 more
  • 檔案系統

    # 檔案系統 > 檔案是面向OS和面向使用者而言的,對于人來說,音樂,圖片,檔案,游戲,軟體,郵件,等記錄資訊的載體都被作業系統統稱為檔案,而存盤在HDD(機械硬碟)和SSD(固態硬碟)里.因此檔案是一種物體的抽象,而之所以檔案需要檔案名,是因為不同的檔案需要進行相對應的區分,也就是檔案名,而其中的 ......

    uj5u.com 2023-06-14 07:03:16 more
  • 微控制器實時作業系統實踐3任務信令和通信機制

    ## 3任務信令和通信機制 在本章中,將簡要介紹任務信號和任務間通信的核心機制。這些基元是事件驅動的并行編程的基礎,它是基于RTOS的應用程式良好實作的基礎。 與其直接進入FreeRTOS的API,不如將每個基元與一些圖形例子和一些關于每個機制可被使用的建議一起介紹。不要擔心:在后面的章節中,我們將 ......

    uj5u.com 2023-06-08 10:15:30 more
  • 微控制器實時作業系統實踐3任務信令和通信機制

    ## 3任務信令和通信機制 在本章中,將簡要介紹任務信號和任務間通信的核心機制。這些基元是事件驅動的并行編程的基礎,它是基于RTOS的應用程式良好實作的基礎。 與其直接進入FreeRTOS的API,不如將每個基元與一些圖形例子和一些關于每個機制可被使用的建議一起介紹。不要擔心:在后面的章節中,我們將 ......

    uj5u.com 2023-06-08 09:54:21 more
  • Shell腳本

    # Shell腳本 ## Shell是什么? * Shell腳本語言屬于弱型別語言,決議用戶輸入的命令和程式,使得用戶可以與Linux進行互動; * 適合處理純文本型別資料(日志、組態檔、文本、網頁檔案、大多數純文本型別的檔案)。 ## Shell概念 ### `shebang` * 即檔案的第一 ......

    uj5u.com 2023-06-08 06:43:29 more
  • 微控制器實時作業系統實踐2了解RTOS任務

    ## 2了解RTOS任務 超級回圈編程范式通常是嵌入式系統工程師最先接觸到的編程方法之一。用超級回圈實作的程式有一個單一的頂層回圈,在系統需要執行的各種功能之間回圈。這些簡單的while回圈很容易創建和理解(當它們很小的時候)。在FreeRTOS中,任務與超級回圈非常相似--主要區別在于,系統可以有 ......

    uj5u.com 2023-06-07 08:28:34 more
  • 微控制器實時作業系統實踐2了解RTOS任務

    ## 2了解RTOS任務 超級回圈編程范式通常是嵌入式系統工程師最先接觸到的編程方法之一。用超級回圈實作的程式有一個單一的頂層回圈,在系統需要執行的各種功能之間回圈。這些簡單的while回圈很容易創建和理解(當它們很小的時候)。在FreeRTOS中,任務與超級回圈非常相似--主要區別在于,系統可以有 ......

    uj5u.com 2023-06-07 08:22:25 more
  • Tinyhttpd:原始碼分析【3】

    ## 一、問題引入 通過 **Tinyhttpd:運行測驗【1】 和 抓包分析【2】**,基本完成了對程式的功能測驗和通信原理。此時可以進一步對原始碼進行分析,本文不考慮代碼一行一行的分析,僅對關鍵部分代碼決議。 ## 二、解決程序 ### 2-1 main()函式 主函式主要創建http的監聽套接字 ......

    uj5u.com 2023-06-06 13:49:45 more
  • Tinyhttpd:原始碼分析【3】

    ## 一、問題引入 通過 **Tinyhttpd:運行測驗【1】 和 抓包分析【2】**,基本完成了對程式的功能測驗和通信原理。此時可以進一步對原始碼進行分析,本文不考慮代碼一行一行的分析,僅對關鍵部分代碼決議。 ## 二、解決程序 ### 2-1 main()函式 主函式主要創建http的監聽套接字 ......

    uj5u.com 2023-06-06 13:47:49 more
  • WIN11安卓子系統WSA閃退之后無法打開應用的解決方法

    網上很多方法都試過,什么“修復”,關掉行程,重啟都試過了,但是想保留資料所以不想重置 **最后發現打不開的原因:C盤空間滿了** 但是我在安裝的時候明明設定在別的盤 ![image](https://img2023.cnblogs.com/blog/2580807/202306/2580807-20 ......

    uj5u.com 2023-06-06 07:42:29 more