课堂总结 —— Linux开源防火墙:netfilter/iptables

最新推荐文章于 2025-05-01 00:15:00 发布
最新推荐文章于 2025-05-01 00:15:00 发布
阅读量684 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Amazing_gl/article/details/88994425
版权

netfilter是Linux内核中实现的防火墙功能,iptables则是应用态的防火墙管理工具

其中包含三个最基本的规则表:

   1. 用于包过滤处理的filter表

   2. 用于网络地址转换的nat表

  3. 用于特殊目的的数据包修改的mangle表

规则表规则链规则处理对象处理动作
 

 

filter

包过滤

 

INPUT发送给本地协议的数据包

过滤、接受等

 

OUTPUT本地协议栈发出的数据包

过滤、接受等

 

FORWARD路由转发的数据包过滤、接受等

 

 

 

nat

NAT代理

 

 

 

PREROUTING未经路由选择的数据包DNAT、NAPT等
POSTROUTING已经过路由选择的数据包

SNAT

 

OUTPUT本地协议栈发出即将路由的数据包本地数据包DNAT等

 

mangle

特殊数据包修改

以上五个规则链所有数据包特殊目的的数据包头部修改

iptables [-t table] command  [match]  [target]

 

-t:指定配置规则所在的表         :filter、 nat、 mangle、 raw 。。。。。。

command:告诉iptables命令要做什么

-A(--append):将一条规则附加到链的末尾

$iptables -A INPUT -s202.152.1.1 -j ACCEPT  //向INPUT链中添加一个规则

-D(--delete):指定要匹配的规则或者指定规则在链中的位置编号,将其从链中删除该规则

-P(--policy):设置链的缺省目标操作,即所有与链中任何规则都不匹配的信息包都将被强制使用此链的缺省操作

 

$iptables -P INPUT DROP   //将缺省值设置为DROP(ACCEPT/接受;DROP/丢弃)

-N(--new-chain):用命令中所指定的名称创建一个新链

-F(--flush):如果指定链名,该命令删除链中所有的规则,如果未指定链名,该命令删除所有链中所有的规则。

$iptables -F FORWARD //删除FORWARD中所有的规则

-L(--list):列出指定链中所有的规则

$iptables -L FORWARD //列出FORWARD中的所有规则

match:部分为规则匹配条件-----  多个匹配条件之间是的关系

通用匹配:

             -i/-o:进入网络接口/发出网络接口

            -s/-d:源和目的地址

            -p    :协议类型

            -m   :网络连接状态等

特定协议匹配:

           --sport/--dport:为TCP/UDP端口匹配设置条件等

Target:指定满足匹配条件之后的目标操作

ACCEPT:-j ACCEPT   接受(允许他前往目的地),并且他将停止遍历规则链

DROP:-j DROP   阻塞该信息,丢弃

REJECT:-j REJECT  与DROP类似,但不会在服务器和客户机上留下死套接字,另外,它将错误消息发回给数据包的发送方。

 RETURN:-jump RETURN   让与该规则匹配的信息包停止遍历包含该规则的链。

包过滤与报文状态检查机制

 简单的静态包过滤机制

 ACCEPT:允许数据包经过网络协议栈

DROP:静默丢弃数据包,不通知发送源

QUEUE:通过nf_queue机制将数据包传送至应用层供上层应用处理

STOLEN:保持数据报直到特定条件后处理,用于处理ip分片等

REPEAT:使得数据包重新进入Hook检查点

注意:ACCEPT和DROP最常用

报文状态检查

NEW:新建连接,即接受到连接处是报文,或只看到一个方向的数据包

ESTABLISHED:已经完成三次握手的TCP连接,或已看到双向通信的网络连接

RELATED:相关网络链接,用于处理FTP等协商端口的网络协议

INVALD:非法状态,即当前网络交互处理不符合网络协议规范,造成非法链接

//允许链接目标地址为web服务器IP,当前状态为NEW的网络链接可通过防火墙转发
# iptables-t filter -A FORWARD -d [WEB_SERVER] -m state --state NEW -j ACCEPT
//已经建立网络链接和相关网络链接可以通过防火墙
# iptables -t filter -A FORWARD -m state --state RELATED, ESTABLISHED -j ACCEPT

netfilter/iptables的NAT机制

NAT配置:PREROUTING(用于DNAT)、POSTROUTING(用于SNAT)、OUTPUT(用于本地产生的包的DNAT)  3个缺省链

SNAT:改变网络连接数据包的源地址

DNAT:改变网络连接数据包的目的地址

IP伪装

     使得内部网络主机发出的数据包进行源IP地址伪装,使用防火墙外网IP地址。

#   iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE

SNAT机制

    按照用户规则配置,可以将网络连接的源地址改编成各种灵活配置的不同地址

    SNAT机制需要在POSTROUTING链中完成

    因为路由、包过滤都是在源地址改变之前做的

  用目标操作选项  “-j SNAT”         用“--to-source"来描述要转换的IP地址、或者一个范围的IP地址及端口

//通过路由发出的网络连接的源IP地址都修改为2.2.2.2
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 2.2.2.2

//通过路由发出的TCP网络链接的源IP地址修改为2.2.2.2,且源端口设置为1-1023范围内的一个
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 2.2.2.2:1-1023

DNAT机制

DNAT机制需要在PREROUTING链中完成

对于本机的应用程序来说都忽略目的地址的改变,认为到达真实的目标地址。需要用到“-i”选项

//将目的地址转换为3.3.3.3
# iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 3.3.3.3

//jiang web网络流量的目的地址和端口转换为4.4.4.4:8080
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to 4.4.4.4:8080

//将本地发出的到2.2.2.2的数据包重定向至本地loopback
# iptables -t nat -A OUTPUT -d 2.2.2.2 -j DNAT --to 127.0.0.1

//将到外网IP1.2.3.4的8080端口网络流量转发至内网ip192.168.1.1的80端口
# iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080 -j DNAT --to 192.168.1.1:80

 

 

 

网络安全_(开源防火墙
weixin_43603708的博客
08-09 987
[pfSense GitHub仓库](https://github.com/pfsense/pfsense)- [OPNsense GitHub仓库](https://github.com/opnsense/core)- [iptables Git仓库](http://git.netfilter.org/iptables/)- [nftables Git仓库](http://git.netfilter.org/nftables/)- 下载方式:可通过Git命令克隆仓库,
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1441
Netfilter是什么? NetfilterLinux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙Netfilter是自由软件,但在各方面均不逊于商业版的防火墙NetfilterLinux的关系 NetfilterLinux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的...
8 个开源Linux 防火墙
lionzl的专栏
06-28 1210
8 个开源Linux 防火墙 114人收藏此新闻,我要收藏 | 新闻投递 oschina 发布于: 2012年06月21日 (20评) 1. Zentyal Zentyal 的前身是eBox Platform,非常流行的Linux安全网关发行版。Zentyal将作为eBox的社区版品牌,而本身的eBox将作为公司的商业版服务。 Zentyal提供了网关基础管理,统一威胁管理,办
开源功能丰富的防火墙OPNsense
最新发布
人人可学,人人可用,IT与AI不是高不可攀!
05-01 1253
OPNsense 是一个基于 FreeBSD 的开源防火墙和路由平台,以用户友好性、安全性和功能丰富着称。自 2015 年从 pfSense 和 m0n0wall 分叉以来,OPNsense 快速演进,成为企业、家庭和高级用户的热门选择。以下是对 OPNsense 的详细介绍,介绍其背景、功能、插件生态、架构、安装与配置、优缺点以及与 pfSense 的对比。
开源Linux防火墙
网络研究观
06-04 2071
功能齐全的 Linux 防火墙
linux开源防火墙系统,LuLu:一款macOS的开源防火墙
weixin_31937289的博客
05-13 708
LuLu是一款macOS下的免费且开源防火墙,其主要用于阻止未经授权的(传出)网络流量,除非用户明确允许:完整的细节和使用说明可以点此查看。LuLu的初心是打造一款简单易用的防火墙,因此在使用上也存在着局限性。其中的一些不足之处将在后续的开发中得到补充,而对于部分设计则是我们已经确定好的不会再做添加。网络监控根据设计,LuLu只对传出网络连接进行监控,可以配合Apple内置的防火墙使用(阻止未经授...
(一)Linux 防火墙(重点,字节跳动最新开源
2401_84140547的博客
04-09 1436
入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略()2. 防火墙的分类主机防火墙: 服务范围为当前网络防火墙:服务范围为防火墙
Linux防火墙与代理服务器:netfilter/iptables详解
防火墙Linux代理服务器是现代网络管理的重要组成部分,特别是在Linux系统中,netfilter/iptables工具提供了强大的防火墙和数据包过滤功能。本文档详细介绍了这个开源且功能丰富的解决方案。 首先,netfilter/...
Linux防火墙系统构建指南:Netfilter/Iptables配置管理
iptablesLinux操作系统平台上的一种防火墙系统,Netfilter/Iptables是其核心组件。本文档旨在帮助读者快速掌握iptables的管理和配置要领,为企业的网络安全提供相关的安全保障。 知识点: 1. iptables的运行机制...
Linux防火墙-Netfilteriptables
flytalei的博客
07-11 799
防火墙(FireWall ) :隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
Linux防火墙netfilter/iptables/firewalld/关闭selinux
FUYY'S BLOG
09-26 1645
netfilteriptables、firewalld的关系: iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter(网络过滤器来读取)从而实现真正的防火墙功能。 关系如图:(iptables/firewalld管理工具都是通过iptables命令来管理防火墙netfilter) 在centos7以上...
基于开源Linux防火墙技术
08-15
网络安全得到越来越多的关注, 防火墙无疑是保障网络安全的重要设备。开源软件项目为我们实现 防火墙技术提供了新的选择。文章介绍了入侵检测原理及开源Linux 操作系统下防火墙技术的基本原理和设 计思路。
开源DNS防火墙-Linux开发
05-27
开源DNS防火墙如何贡献克隆存储库并创建新分支:$ git checkout https://github.com/invictuseurope/dinamit -b <new>。 进行更改提交带有compreh的开源DNS防火墙的请求请求如何贡献克隆存储库并创建新分支:$ git checkout https://github.com/invictuseurope/dinamit -b 。 进行更改提交有关更改的全面说明的Pull Request演示https://demo.dinamit.dev电子邮件:[受电子邮件保护]密码:测试
Netdeep Secure Firewall:下一代开源防火墙-开源
07-05
Netdeep Secure 是一个专注于网络安全的 Linux 发行版。 是下一代开源防火墙,可提供贵公司可能需要的几乎所有外围安全功能。 它提供 Web 内容过滤器,确保更好的网络性能,允许用户高效安全地使用服务,提供对 Web 访问服务使用的深度控制,阻止访问不需要的网站、病毒、垃圾邮件、应用程序和入侵企图. 其配置完全由 Web 界面完成。
Firewalld(防火墙)课程总结
weixin_42769625的博客
02-18 846
防火墙 (1)分类:1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。 3.从防火墙结构分为 &lt; 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。 5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。 (2)linux防火墙的核...
科普一下Linux防火墙Netfilter/iptables
ZoMoe's eye
02-27 2183
最近看了一些网络安全的东西,觉得网络的世界远远没有我们想象的那么简单。去年自己只是简单的看了一些关于iptables的简单使用规则,当然现在也只是对iptables有简单的了解而已,不能算上是熟悉,写这点东西的目的也只是简单的科普,很多东西只能简单的提下,因为这部分内容实在太多,无法一一列举。         iptables本身是Linux用来处理底层网络数据的一种方法,很多人都将iptab
开源防火墙
ZHANGJNWEI的专栏
01-05 4430
一、PfSense 它与Untangle非常相似;但是,PfSense开源防火墙缺少一些其他功能,例如Web过滤和防病毒。但是,有超过三打的外部加载项可通过软件包管理器轻松安装。 PfSense的主要功能: 禁用过滤–如果要将PfSense变成纯路由器,可以完全禁用防火墙过滤器。 NAT(网络地址转换) HA(高可用性) 多WAN(广域网) 负载均衡 VPN(虚拟专用网) PPPoE服务器 图形和日志监控 动态DNS 专属门户 DHCP服务器和DHCP中继 二、Untangle防火
Linux系统中最实用的十大开源防火墙
tomcat-oracle
01-20 364
如今,开源防火墙可谓数目繁多。本文将涉及十个适合企业需求的最实用的开源防火墙。     1. Iptables     Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。许多系统管理员用它来微调服务器。其作 用是过 滤内核中网络堆栈中的数据包,特性包括:列出数据包过滤规则集的内容;执行速度快,因为它仅检查数据包的头部;管理员可以根据需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值