防火墙Firewalld(iptables)

最新推荐文章于 2025-04-21 13:34:49 发布
最新推荐文章于 2025-04-21 13:34:49 发布
阅读量884 收藏 6
点赞数 3
文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2201_75444658/article/details/140774096
版权

目录

一、Linux防火墙基础

1.什么是防火墙

2.防火墙的功能

3.防火墙的类型

二、Linux防火墙工具

1.iptables

2. netfilter

3.四表五链结构

3.1四表

3.2五链

3.3总结

4.数据包过滤的匹配流程 

4.1规则表之间的顺序

4.2规则链之间的顺序 

4.3规则链内的匹配顺序

4.4数据包在防火墙中的匹配流程

4.5匹配流程通俗易懂 

三、编写防火墙规则 

1.iptables的安装

2.iptables的基本语法

3. 数据包的常见控制类型

4. iptables命令的常用管理选项

4.1iptables各字段解读

5.iptables规则的使用

5.1查看规则列表

5.2添加规则

5.3删除、清除规则

5.4设置默认策略

6.防火墙规则匹配

6.1通用匹配

6.2隐含匹配

6.3显示匹配

四、两个策略及应用

1.SNAT

2.DNAT

五、firewalld

1.firewalld与iptables的区别

2.firewalld区域 

3. firewalld数据处理流程

4. firewalld防火墙的配置方法

一、Linux防火墙基础

1.什么是防火墙

防火墙是一种网络安全设备或软件,旨在监控和控制网络流量,保护计算机和网络系统免受未授权访问、恶意攻击和其他安全威胁。防火墙通过一组定义好的安全规则来决定哪些网络流量可以进入或离开网络

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制。属于典型的包过滤防火墙。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此获得广泛的应用

2.防火墙的功能

(1)包过滤

根据数据包的源IP地址、目标IP地址、源端口、目标端口、协议类型等条件来允许或拒绝网络数据包
(2)状态检测

监控网络连接的状态(如已建立、相关的连接),并基于连接状态决定是否允许流量通过。例如,允许已建立的连接通过,而阻止新的连接请求
(3)网络地址转换(NAT)

允许内部网络使用私有IP地址,并通过公共IP地址访问外部网络,从而隐藏内部网络结构
(4)访问控制

限制内部用户访问外部网络的某些服务或网站
(5)日志记录和警报

记录所有通过防火墙的流量,并在检测到异常行为时生成警报

3.防火墙的类型

网络防火墙 位于网络边界,用于保护整个网络。通常是硬件设备,但也可以是运行在网络设备上的软件
主机防火墙 安装在单个主机(如服务器或个人计算机)上,用于保护该主机。通常是软件形式
应用层防火墙 能够检查应用层数据(如HTTP、FTP等)并基于应用层协议规则进行过滤
代理防火墙 充当客户端与服务器之间的中介,检查和过滤通过它的所有流量

二、Linux防火墙工具

1.iptables

iptables是Linux操作系统中的一个用户空间工具,用于配置、管理和维护网络防火墙规则。它通过内核的网络子系统来过滤和控制进出网络的数据包

属于“用户态”(User Space, 又称为用户空间)的防火墙管理体系

iptables的工作原理:

通过定义规则来决定如何处理数据包,从而实现网络流量的控制和保护

2. netfilter

是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作

属于“内核态”又称内核空间(kernel space)的防火墙功能体系

3.四表五链结构

3.1四表

raw 确定是否对该数据包进行状态跟踪
mangle 为数据包设置标记
nat 修改数据包种的源、目标IP地址或端口
filter 确定是否放行该数据包(过滤)

3.2五链

INPUT 处理入站数据包
OUTPUT 处理出站数据包
FORWARD 处理转发数据包
PREROUTING 在进行路由选择前处理数据包
POSTROUTING 在进行路由选择后处理数据包

3.3总结

规则表

表的作用:容纳各种规则链

表的划分依据:与防火墙规则的作用相似

规则链

链的作用:容纳各种防火墙规则

链的分类依据:处理数据包的不同时机

规则

规则的作用:对数据包进行过滤或处理

总结

表里有链,链里有规则

4.数据包过滤的匹配流程 

4.1规则表之间的顺序

raw→mangle→nat→filter

4.2规则链之间的顺序 

入站:PREROUTING→INPUT→本机的应用程序
出站:本机的应用程序→OUTPUT→POSTROUTING
转发:PREROUTING→FORWARD→POSTROUTING

4.3规则链内的匹配顺序

自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)要么放行,要么丢弃
若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

4.4数据包在防火墙中的匹配流程

入站数据流向
1.PREROUTING链:
数据包从外部网络到达防火墙,首先被PREROUTING链处理
进行地址修改等预处理(如 DNAT)
2.路由选择:
防火墙内核进行路由选择,判断数据包的目标地址
如果目标地址是防火墙本机(如访问防火墙的Web服务),则进入INPUT链
3. INPUT链:
数据包进入INPUT链进行过滤处理,决定是否允许通过
通过后,数据包被交给系统上层的应用程序(如 httpd 服务器)进行响应

转发数据流向
1.PREROUTING链:
数据包从外部网络到达防火墙,首先被PREROUTING链处理
进行地址修改等预处理(如 DNAT)
2.路由选择:
防火墙内核进行路由选择,判断数据包的目标地址
如果目标地址不是防火墙本机,而是其他外部地址(如局域网用户访问外部的 QQ 服务器),则进入FORWARD链
3.FORWARD链:
数据包进入FORWARD链进行过滤处理,决定是否允许转发或拦截、丢弃
4.POSTROUTING链:
转发允许的数据包进入POSTROUTING链,进行地址修改等后处理(如 SNAT)
数据包最终被转发到目标网络

出站数据流向
1.路由选择:
防火墙本机生成的数据包(如测试公网 DNS 服务),首先进行路由选择,确定输出路径
2.OUTPUT链:
数据包进入OUTPUT链进行过滤处理,决定是否允许发送
3.POSTROUTING链:
允许发送的数据包进入POSTROUTIN

最低0.47元/天 解锁文章
单字叶
关注
Linux 防火墙(一)(防火墙基础与编写防火墙规则)
Xucf1
12-28 4338
文章目录前言一、Linux 防火墙基础1.概述2.netfilter 与 iptables2.1 netfilter2.2 iptables2.3 小结3.iptables 的表、链结构3.1 简介3.2 规则表(四表)3.3 规则链(五链)4.数据包过滤的匹配流程4.1 规则表之间的匹配顺序4.2 规则链之间的顺序4.3 规则链内部各条防火墙规则之间的顺序二、编写防火墙规则1.安装iptables2.基本语法3.常用的控制类型4.常用的管理选项4.1 添加新的规则4.2 查看规则表4.3 设置默认策略4.
26_ 防火墙工具:Firewalldiptables 详解
Hui`s的博客
10-30 1071
Firewalld是一个动态防火墙管理工具,它提供了一个用户友好的界面来管理防火墙规则。它使用iptables作为后端来处理实际的规则,但提供了更高级的功能,如区域管理、服务和端口的动态添加等。iptables是一个功能强大的防火墙工具,它允许管理员通过定义一系列的规则来控制进出Linux系统的数据包。这些规则可以基于数据包的源地址、目的地址、端口号、协议类型等条件来设置。
细说firewalldiptables
weixin_34220834的博客
03-03 625
在RHEL7里有几种防火墙共存:firewalldiptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalldiptables比起来至少有两大好处:1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效;2、firewalld在使用上要比...
iptables 完整入门与实战技巧:Linux 防火墙配置详解
最新发布
2503_91655817的博客
04-21 1950
iptablesLinux 内核自带的包过滤系统,用于控制进出服务器的数据包。通过配置规则,它可以:拒绝恶意访问限制端口访问防止暴力破解实现简单的 NAT 或转发iptables是一把双刃剑,用得好可以帮你把网络安全控制得非常细致;用得不好也可能导致自己连不上服务器。配置前一定备份当前规则;实验时保留 SSH 端口,避免锁死自己;推荐将规则写成脚本或保存为文件,方便恢复。如果你对iptables更深层的功能(如 NAT、端口转发、限速等)感兴趣,可以告诉我,我可以出一篇。
防火墙firewalldiptables
热门推荐
一涵的博客
12-04 5万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 关于两者的不同介绍如下: 1 2 iptables通过控制端口来控制服务,而firewalld则是通过控制协议来控制
防火墙firewalldiptables
weixin_34362991的博客
02-18 321
防火墙: 保证数据的安全性是继数据可用性之后的最为重要的一项工作 防火墙作为公网和内网之间的保护屏障 防火墙种类: 硬件防火墙:网关服务器 软件防火墙:装在操作系统中的软件 防火墙管理工具 主要功能:依据策略对穿越防火墙的自身流量进行过滤。 在centos和RHEL系统中: firewalld:7版本以上(centos7.x,RHEL7.x) iptables:6版本(centos6.x,...
iptablesfirewalld
weixin_46362974的博客
06-19 1235
iptablesfirewalld防火墙策略设置 SNAT与DNAT策略的配置
Linux系统-centos防火墙firewalld详解
u013015301的博客
02-08 791
CentOS 7.6默认的防火墙管理工具是firewalld,它取代了之前的iptables防火墙firewalld属于典型的包过滤防火墙或称之为网络层防火墙,与iptables一样,都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。
Linux防火墙firewalldiptables
day day up
07-15 2826
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
防火墙工具Firewalldiptables轻松搞定
知识库总结、分享
05-29 1075
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活和易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufw和firewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
浅析FirewalldIptables
lilygg的博客
06-08 1万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 关于两者的不同介绍如下: firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter...
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1880
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
Nine iptablesFirewalld防火墙
weixin_50848408的博客
11-09 164
Copyright © 1999-2020, youkuaiyun.com, All Rights Reserved 搜索博文/帖子/用户 木子~忘忧关注Linux就该这么学—Nine IptablesFirewalld防火墙 原创2019-07-27 11:22:53 5点赞木子~忘忧 码龄8年关注防火墙管理工具防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的
Linux Nine IptablesFirewalld防火墙
weixin_45595338的博客
10-22 239
防火墙管理工具 防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。 在RHEL 7系统中,firewalld防火墙取代了iptables防火墙iptablesfirewalld都不是真正的防火墙,它们都只...
摇摆摇摆~防火墙
weixin_68579466的博客
07-14 1239
位于linux内核中的包过滤功能体系称为linux防火墙的“内核态”iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。...
Firewall和Iptables
qq_61468858的博客
05-29 866
软件防火墙:软件技术实现对数据包的过滤(iptables Firewall)硬件防火墙:使用硬件设备对数据包过滤使用软件防火墙Iptables/Firewall与linux操作系统内核中的netfilter系统内核模块交互,实现数据包的过滤。
Firewalld防火墙策略详解
Iands。的博客
02-24 2368
一、Firewalld firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务
Linux--IptablesFirewalld防火墙
小李学不完的博客
07-09 1361
防火墙管理工具、IptablesFirewalld、服务的访问控制列表、Cockpit驾驶舱管理工具
linux防火墙firewalldiptables)_firewalld
2401_86358891的博客
09-07 1691
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu18.04版以上所支持(apt install firewalld安装即可)firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供。
防火墙firewalldiptables的关系,防火墙关闭后,iptables还有效吗
06-09
防火墙firewalldiptables都是Linux系统中常见的防火墙,二者在功能上有所重叠,但是实现方式和管理方式有所不同。firewalld是一个动态的防火墙管理工具,它使用D-Bus和Netlink协议与内核交互,支持动态添加、删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值