iptables学习2
Firewall:工做在主机或网络边缘,对进出的报文按事先定义的规则进行检查,算法
而且由匹配到的规则进行处理的一组硬件或软件,甚至多是二者的组合安全
隔离用户访问,只容许访问指定的服务 经过ADSL拨号连入互联网服务器
放一个硬件防火墙在网络前 这样的主机 CPU一般都是特制的 这就是硬件防火墙网络
主机防火墙:工做于主机边缘, 只能对一台主机起到保护做用 并发
网络防火墙:工做于网络边缘, 对多台主机起到保护做用 这是一个硬件 有CPU内存 不须要硬盘 app
对数据报文进行分析 可是必须打开全部功能,也能够严格定向框架
工做在内核空间中, 至关于在TCP/IP协议栈前面加一道墙 tcp
网卡--->防火墙----->TCP/IP协议栈 这种是针对主机函数
网络层防火墙:工做在网络层 网络防火墙 须要拆掉物理层和链路层 仅能检查源和目标的端口、源和目标IP 内容不能检查。工具
没问题就能够进行转发。
应用层防火墙:工做在网关 拆掉TCP和IP首部对内容进行分析 ,
没问题就进行转发 至关于路由器 这个网管被称为代理服务器
分别是:网络层防火墙 应用层防火墙 内部主机
可是仍然有可能精心设计报文 怎么办?
IDS:入侵检测系统 至关于监控器也须要规则 结合防火墙一块儿使用
HIDS:主机入侵检测系统,做用于主机 例如:OSSEC
NIDS:网络入侵检测系统 例如:snort
Filesystem:文件系统级别入侵检测 例如修改配置文件等行为 tireware
IPS(IDS+防火墙):入侵防护系统 IDS结合防火墙一块儿工做 及时减低损失
honeypot:蜜罐 诱捕黑客 有漏洞吸引你
系统评估安全工具:全方面扫描检测 例如: Nessus nmap
rootkit攻击 乌云平台
iptables/netfilter:基于网络层的防火墙, 支持链接追踪(状态检测)
netfilter提供钩子函数
ipfw ----> ipchains-----> iptables Linux防火墙是参考 openBSD的防火墙
iptables:自己只是防火墙规则编写工具
netfiter:让规则生效的网络过滤器,是一个框架 规则放在这个上面工做
hook_function 钩子函数 转发不会通过用户空间,只是在内核空间
INPUT 到本机内部
OUTPUT 到本机出去
FORWARD 转发
POSTROUTING 路由以后 作原地址转换成公网的IP才能出去 私有地址是不能进行路由的
PRERROUTING 路由以前 报文回来的时候就须要转发,不然就交给本身本机处理了 目标地址转换
每一个网卡都有本身的发送队列
防火墙功能:
过滤:作报文筛选
NAT:Network Address Transltion 网络地址转换
DNAT 转换目标地址
SNAT 转换源地址
mangle: 修修补补 改变IP信息等 在这五个位置上都行
raw: 先无论 用的很少
FORWARD:
filter
mangle
INPUT
filter
mangle
OUT
filter
mangle
nat
PREROUTING
mangle
nat
POSTOUTING
mangle
nat
规则优化:将控制强的放在前面, 应用访问频繁的也要放在前面
四表:
fileter net mangle raw
五链
PREROUTING INPUT FOREARD OUTPUT POSTROUTING
目标主机不是本机才会转发 本机进出都不会通过FORWARD
表和链的对应关系
filer:INPUT FORWARD.OUTPUT
nat:PREROUTING OUTPUT POSTROUTING
magle:PREROUTING FORWARD POSTROUTING INPUT OUTPUT
规则:检查条件, 处理机制
默认策略: 只针对filter
通:白名单,默认为堵,只对能识别的进行放行
堵:黑名单,默认为通,只对能识别的进行阻截
检查条件:网络层
IP:SIP,DIP
TCP:SPORT,DPORT,FLags(标志位) 例如:syn ack等
UDP:SPORT,DPORT
ICMP:ICMP-TYPE(报文类型) ping出去和回来是不一样的 ping用的协议
扩展机制:
Time、string、state(connection-tracking)链接追踪
处理机制:
DROP(丢弃) REJECT(拒绝,并返回)
ACCEPT(容许) SNAT DNAT 目标转换
RETURN(返回) REDIRECT(端口转发)
LOG(只记录日志)
mangle:作防火墙标记
如何写规则
-t 表 -L 列出 -n 以数值方式显示
iptables [-t table] -N chain
建立一条自定义的空规则链
iptables [-t table] -X chain
删除一条自定义的空规则链
iptables [-t table] -E old-chin-name new-chain-name
为链修更名
iptables [-t table] -P chain—name target
为链指定默认策略,修改默认的属性
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
-F 清空链中的规则
规则由编号,在链中自上而下,从1开始
-L list 列出表中的全部规则
-n:数字格式显示ip和port 不然会反解成名字 速度很慢
-v:显示信息,
pkts:packets,被本规则全部匹配到的报文的个数
baytes:被本规则所匹配到的全部报文的大小子和,单位是字节,会执行单位换算
target:目标,即处理机制
port:协议通常为(TCP|UDP|ICMP)
opt:可选项
in:数据包的流入接口
out:数据包的流出接口
scource:源地址
destination:目标地址
-vv:
-vvv:
-x:exactly:精确值,不执行单位换
--line-nambers:显示各规则的行号
-Z:zero,清零:
把规则的计数器清零
iptables [-t table] {-A|-D} chain rule-specification
-A:append,附加一条规则
rule-specification 匹配条件 -j 处理机制
匹配条件:
通用匹配
-s 匹配源地址,能够IP,也能够网络地址:可使用!操做符取反,!172.168.0.0/16 -s至关于 --src,或 --source
-d 匹配目标地址,能够IP,也能够网络地址:可使用!操做符取反,!172.168.0.0/16
-p 匹配协议,一般只能使用{TCP|UDP|ICMP}三者之一
-i 数据报文流入的接口,一般只用于INPUT FORWARD和PREROUTING
-o 数据报文流出的接口,一般只用OUTPUT FORWARD和POSTROUTING
保存规则: iptables不是服务 不会监听端口 定义成服务 只是为了开机自动运行
service iptables save
规则会被保存至/etc/sysconfig/iptables文件中:
默认,start时也会读取该文件中的内容以设置规则
# iptables-save > /path/to/some_rulefile 保存iptables至别的位置
# iptables-restore < /path/to/some_rulefile 从自定义的位置读取并使之生效
规则命令:
-A:添加
-D:删除
iptables [-t table] -D chain rulenum
当一条被删除,另外的一条会被补上
插入规则
iptables [-t table] -I chain [rulenum] rule-specification
替换规则(覆盖指定规则)
iptables [-t table] -R chain rulenum rule-specification
显示指定链上的规则添加命令
iptables [-t table] -S [chain [rulenum]]
扩展匹配
隐含扩展:使用-p {tcp|udp|icmp}指定某特定协议后,自动可以对协议进行的扩展
-p tcp
--dport m[-n],匹配的目标端口,能够是连续的多个端口
--sport:m[-n],匹配的源端口,能够是连续的多个端口
--tcp-flags
URG PSH PST SYN ACK FIN
-p udp
--dport m[-n],匹配的目标端口,能够是连续的多个端口
--sport:m[-n],匹配的源端口,能够是连续的多个端口
-p icmp
icmp-type
显式扩展:必需要明确指定的扩展模块
-m 扩展模块名称 --专用选项1 --专用选项2
multiport:多端口匹配,一次指定多个离散端口
--source-ports --sport ports{port1 port2}
--destination-ports, --dports
--ports
iprange:ip地址服务
[!] --src-range from [-to]
[!] --dst-range from [-to]
time 指定时间范围
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss]
--timestart hh:mm[:ss]
[!] --weekdays day[,day....]
string 字符串匹配
--alog {bm|kmp} :字符匹配查找时使用的算法
--string “STRING” :要查找的字符串
--hex-string "HEX-STRING" 要查找的字符,先编码成16进制格式
connlimit:每IP对指定服务的最大并发链接数
[!] --connlimit-above
limit:报文速率控制
--limit #[/second|/minute|/hour|/day]
--limit-burst #
hping3:安装此包,作测试
state:状态追踪
ip_conntrack,nf_conntrack
netfilter:会话
--state
NEW
ESTABLISHED
RELATED
INVALID
调整链接追踪功能所能容纳的最大链接数
cat /proc/sys/net/nf_conntrack_max
定义了链接追踪的最大值,所以,建议按需调大此值
cat /proc/net/nf_conntrack
记录了当前追踪的全部链接
cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
超时时间
法则:
1.对于进入状态为ESTABLISHED都应该放行
2.对于返回状态为ESTABLISHED都应该放行
3.严格检查进入的状态为NEW的连接
4.全部状态为INVALID都应该拒绝
-j target
RETURN:返回调用链
如何放行工做与被动模式的ftp服务
1、确保iptables加载ftp协议支持的模块,ip_nat_ftp,ip_conntrack_ftp
编辑/etc/syconfig/iftables-config文件,定义以下参数:
IPTABLES_MIDULES="ip_nat_ftp ip_conntrack_ftp"
2。放行请求报文的RELATED和ESTABLISHED状态,放行响应报文的ESTABLISHED状态
回顾:开机流程
POST--> BootSequence(MBR:bootloader) -->GRUB -->kernel(initramfs) --> /sbin/init (/etc/inittab,/etc/init/*.conf)
启动服务时的最后一个服务一般是/etc/rc.d/rc.local(/etc/rc.local),这事实上是一个脚本,但凡写在脚本的命令到或脚本调用都在系统运行至此服务被执行
- 1. iptables学习(一)
- 2. iptables 学习
- 3. netfilter/iptables学习
- 4. iptables学习
- 5. LInux iptables学习
- 6. iptables(2)
- 7. iptables学习笔记
- 8. Iptables学习笔记
- 9. iptables 简单学习
- 10. iptables 学习笔记
- 更多相关文章...
- • 您已经学习了 XML Schema,下一步学习什么呢? - XML Schema 教程
- • 我们已经学习了 SQL,下一步学习什么呢? - SQL 教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • 适用于PHP初学者的学习线路和建议
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. iptables学习(一)
- 2. iptables 学习
- 3. netfilter/iptables学习
- 4. iptables学习
- 5. LInux iptables学习
- 6. iptables(2)
- 7. iptables学习笔记
- 8. Iptables学习笔记
- 9. iptables 简单学习
- 10. iptables 学习笔记