网安技术与应用(3)——Linux防火墙iptables的使用

原创 已于 2022-04-28 15:09:34 修改 · 3.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #网安

于 2022-04-09 11:12:28 首次发布
本文详细介绍了如何在Linux环境下配置防火墙,包括设置原则、iptables的使用方法,演示了从禁止所有流量到限制内外网ping操作的过程,并探讨了包过滤防火墙的优缺点。通过实例操作展示了规则链设置、冲突处理和开放通信的步骤。

一 实验目的

掌握Linux下防火墙的原理和配置方法。

二 实验内容

配置Linux下的一组防火墙规则,对内网、外网以及DMZ区交互的访问进行有效约束。

三 实验原理

防火墙作为一种访问控制的机制是确保网络安全的重要手段。针对不同的的需求和应用环境,可以量身定制出不同的防火墙系统。在众多网络防火墙产品中,Linux操作系统上的防火墙软件特点显著。首先是Linux操作系统在系统稳定性、健壮性及价格的低廉性方面都独具优势;更为重要的是系统包含了建立Internet所需的所有服务软件包。

Linux提供的防火墙软件包内置于Linux内核中,是一种基于包过滤型的防火墙实现技术。其中心思想是根据网络层IP包头中的源地址、目的地址及包类型等信息来控制包的流向。更彻底地过滤规则是检查包中的源端口、目的端口以及连接状态等信息。在Linux 2.4以上版的内核应用里一个全新的包过滤管理工具Iptables,可以加入、插入或删除包过滤表格中的规则。

iptables的原理主要是对数据包的控制:

  1. 一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转发出去。
  2. 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
  3. 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

23102856_n6Xd

四 实验条件

计算机一台,用作外终端,带有一个网卡,命名为B,带linux操作系统虚拟机,命名为A,虚拟机用作路由器。(Ubuntu 20.04)

五 实验过程

1、查看IP并ping通

将虚拟机IP地址配置到和宿主机一个网段即可,注意地址不可与其他地址冲突。

关闭宿主机防火墙后,此时A和B是可以互ping的。

  • 查看虚拟机的IP
# sudo apt install net-tools
ifconfig -a

如果说 ifconfig not found,就用第一行代码安装一下 net-tools

image-20220404111755206

发现IP是192.168.85.128

  • 查看window的IP

                

                
                
        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
网安技术应用(4)——配置iptables防御常见攻击

				
			

			

				

					Netceor的博客
				

				

					04-28
					
					3097
					
				

			

		

		

			
				
一 实验目的
掌握如何设计防火墙的高级过滤策略以抵御各种类型的攻击。
二 实验内容

防止端口扫描;
防止 ping 攻击;
防止 ip 碎片攻击;
丢弃坏的 TCP包;
防止 SYN攻击。

三 实验原理
参见 网安技术应用(3)——Linux防火墙iptables使用
四 实验条件
1、仪器设备条件:PC 及其络环境;
2、物质条件:Linux(kernel 2.6包含 Iptables)3、相关文献资料:教学站所提供的电子文档
五 实验过程
1、默认规则
# 启动防火墙
modprobe 

			
		

	



                

            
              



	

		

			

				
					
北邮 全 期末复习 知识点总结之防火墙

				
			

			

				

					weixin_45746630的博客
				

				

					01-27
					
					4039
					
				

			

		

		

			
				
防火墙

访问控制

定义

访问控制(Access Control)指系统对用户身份及其所属的预先 定义的策略组限制其使用数据资源能力的手段。

两个任务

访问控制需要完成两个任务:识别和确认访问系统的用户、决定 该用户可以对某一系统资源进行何种类型的访问。

三要素

主体S(Subject)

提出访问资源具体请求。是某一操作动作的发起者,但不一定是动作的执行者,

客体O(Object)

被访问资源的实体

控制策略A(Attribution)

主体对客体的相关访问规则集合,即属性集...

			
		

	



              


  
              

                


	

		

			

				
					
LInux高级运维(八)-IPtables及其表的应用

				
			

			

				

					上善若水~的博客
				

				

					07-31
					
					430
					
				

			

		

		

			
				
Iptables 防火墙-保护隔离公
REHEL 默认firewalled防火墙 ->底层还调用的是包过滤防火墙iptables
工作层:络层
调用包过滤防火墙iptables
写过滤规则达到过滤效果
1装包-防火墙软件
Systemctl  status firewall d
yum list  | grep -i iptables
yum -y install iptables-ser...

			
		

	





	

		

			

				
					
iptables防止nmap扫描以及binlog实现增量备份

				
			

			

				

					middlecorn的博客
				

				

					07-16
					
					410
					
				

			

		

		

			
				
iptables工具防止nmap恶意扫描,及binlog增量备份

			
		

	



		

			
		



	

		

			

				
					
iptables防止nmap端口扫描

				
			

			

				

					m0_49137360的博客
				

				

					07-17
					
					2068
					
				

			

		

		

			
				
防火墙

			
		

	





	

		

			

				
					
iptables防止nmap扫描以及binlog备份

				
			

			

				

					CNS2900761382的博客
				

				

					07-17
					
					463
					
				

			

		

		

			
				
iptables防止nmap扫描以及binlog备份

			
		

	





	

		

			

				
					
开源项目:使用iptables防止端口扫描 - 强力防护新手段

					
最新发布

				
			

			

				

					gitblog_00095的博客
				

				

					05-17
					
					673
					
				

			

		

		

			
				
开源项目:使用iptables防止端口扫描 - 强力防护新手段
去发现同类优质开源项目:https://gitcode.com/
在这个数字化的时代,全无处不在。面对端口扫描这类常见的络威胁,你需要一款能够及时响应并有效防御的工具。这就是我们要推荐的开源项目——使用iptables防止端口扫描。这个项目利用iptables的强大功能,巧妙地设置陷阱,实时检测并阻止潜在的扫描行为。
项目介绍...

			
		

	





	

		

			

				
					
华中科技大学学院防火墙设计代码实现

				
			

			

				

					
				

			

		

		

			
				
该项目实现的是一个用户态防火墙(User-space Firewall),内核态防火墙(如Linuxiptables/netfilter)不同,它不直接在内核中拦截数据包,而是通过特定机制捕获络流量,在用户空间进行分析和处理。...

			
		

	





	

		

			

				
					
Linux系统入门进阶视频教程合集

				
			

			

				

					
				

			

		

		

			
				
如最小权限原则、日志审计、入侵检测基础、SELinux/AppArmor强制访问控制机制简介,甚至渗透测试相关命令演练(需强调合法合规使用),这“道德_Linux系列教程(共22课)”的命名相呼应——即从全防御...

			
		

	





	

		

			

				
					
shell脚本结合iptables防端口扫描的实现

				
			

			

				

					09-15
				

			

		

		

			
				
主要介绍了shell脚本结合iptables防端口扫描的实现,中间使用了inotify-tools工具,需要的朋友可以参考下

			
		

	





	

		

			

				
					
shell脚本使用iptables防端口扫描的一段代码

				
			

			

				

					行走的小陀螺
				

				

					07-16
					
					1754
					
				

			

		

		

			
				
shell脚本结合iptables防端口扫描的实现,中间使用了inotify-tools工具。

上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控ipt

			
		

	





	

		

			

				
					
防止端口扫描shell脚本

				
			

			

				

					devon的博客
				

				

					06-05
					
					2232
					
				

			

		

		

			
				
上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起

			
		

	





	

		

			

				
					
防系列-利用iptables/firewalld防止nmap扫描

				
			

			

				

					weixin_46206086的博客
				

				

					01-14
					
					3311
					
				

			

		

		

			
				
linux防火墙防止nmap扫描策略配置

			
		

	





	

		

			

				
					
iptables防止nmap扫描

				
			

			

				

					lin152235的博客
				

				

					07-17
					
					997
					
				

			

		

		

			
				
iptablesLinux中真正的防火墙是Netfilter,但由于都是通过应用层程序如iptablesfirewalld进行操作,所以我们一般把iptablesfirewalld叫做Linux防火墙。**INPUT链**当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则;**注意**以上说的iptables都是针对IPv4的,如果IPv6,则要用。...

			
		

	





	

		

			

				
					
干货!Linux 防火墙配置 ( iptablesfirewalld )

				
			

			

				

					<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
				

				

					04-14
					
					1070
					
				

			

		

		

			
				
????????关注后回复“进群”,拉你进程序员交流群????????来自:入门小站防火墙基本概念防火墙就是根据系统管理员设定的规则来控制数据包的进出,主要是保护内全,目前 Linux 系统的防火墙类型主要有两种:分别是 [iptables] 和 firewalldIptables-静态防火墙早期的 Linux 系统中默认使用的是 iptables 防火墙,配置文件在 / etc/sysconfig/iptab...

			
		

	





	

		

			

				
					
iptables详解

				
			

			

				

					wdt3385的专栏
				

				

					12-25
					
					5294
					
				

			

		

		

			
				
看完下面这个iptables的讲解一下子豁然开朗,写的很详细




一:前言


防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个络中,防火墙工作的地方一定是在络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入络的IP、数据进行检测。


目前市面上比较常见的

			
		

	





	

		

			

				
					
Linux防火墙iptables四表五链配置实战详解

				
			

			

				

					
				

			

		

		

			
				
资源摘要信息:"【Linux系统管理】Iptables防火墙规则详解:四表五链配置实战案例分析"一文系统性地讲解了Linux环境下iptables防火墙的核心机制实际应用iptables作为Linux内核自带的包过滤工具,是实现全...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值