标签:计数 指定 基本语法 删除 目标 网络 改名 文件内容 格式
Firewall:防火墙 实际是一个隔离工具:工作于主机或网络边缘,对于进出的报文根据事先定义好的匹配规则作检查,
对于能够被规则匹配到的报文做出相应处理的组件(硬件或者软件)
在协议栈上放防火墙
主机防火墙:工作在主机边缘
网络防火墙:工作在网络边缘 只能和外网通信时才能防火,对于内部的没有用
防火墙和杀毒软件的区别:前者针对可能出现的网络攻击 后者可能修改文件等等
比如:如果只是窃取数据,并没有修改文件内容 这就需要防火墙 而不能使用杀毒软件来防护
接受到报文的走向:
如果目标地址是本机 进入用户空间
不是本机 要进行核心转发(转发给下一跳 不会经过用户空间)
根据报文的流向 来进行防火 设置多个钩子函数
可以对报文做出修改
Nat 网络地址转化 改目标/源 IP
Pat 端口地址转换 改变端口
只能防范已经的攻击行为
IDS:入侵检测系统 只是能检测到入侵 通告给Firewall
合起来的功能 IPS 入侵防御系统
IDS:检测到入侵 可以出发报警
IDS的2中实现
HIDS 主机入侵检测系统
NIDS 网络入侵检测系统
Honeypot 伪装很巧妙的 让别人来攻击 蜜罐
iptables有2部分组成 全称是iptables/netfilter
内核中是framework(防火框架): netfilter
Netfilter:负责提供钩子(hooks function) 工作在内核空间
只是在报文流经的地方设置钩子函数
Iptables:负责在钩子上添加规则 他是一个规则管理工具 工作在用户空间
完成防火功能的组件 写成脚本 就能一直有效 只是让规则重新生效
防火墙并不是服务 并不需要运行任何进程 因为是工作在内核上
Iptables 前身
NetBSD 注重安全 有防火墙 linux就模仿写了一个
早期叫ipfw(很简单) --> ipchains --> iptables(表)
功能:
filter:过滤 防火墙的功能
net:地址转换 network address translation 重要功能 LVS的基础
mangle:拆解报文 做出修改 重新封装报文
row:net的补充 关闭net表上启用的连接追踪机制 用的不多
需要启用连接追踪功能
连接追踪:能识别主机的报文 需要记录 有些很繁忙的前端服务器 这个功能不能启用
否则 准备好足够多的内存
5个内置的链
PREROUTING: 报文刚到达本机 路由选择发生之前(用来判断是否是发往本机的报文)
INPUT:到本机内部
FORWARD:由本机转发 2中情况 (只是转发、本机发出的报文) 转发完成是需要重新做路由选择的
OUTPUT:本机内部发出的
POSTROUTING:第二次路由决策发出之后
既能做网络防火前(利用forward) 也能做主机防火墙(利用input 和output)
报文流向:
流入 PREROUTING --> INPUT
流出 OUTPUT --> POSTROUTING
转发 PREROUTING --> FORWARD --> POSTROUTING
各功能的分别实现:
Filter:INPUT、FORWARD、OUTPUT
Nat:PREROUTING(DNAT目标地址转换)、OUTPUT、POSTROUTING(SNAT源地址转换)
现在也有fullnat(目标和源都改变)
Mangle:5个地方都行
Raw:OUTPUT 、PREROUTING
路由发生的位置:
报文进入本机后:判断是否为目标主机
报文发出之前:经由哪个接口送往下一跳
Iptables:4表5链
添加规则时的考量点:
(1) 要实现什么功能:判断添加在那张表上
(2) 报文流经的路径:判断添加到哪个链上
链:链上规则的次序既为检查的次序:因此隐含一定的法则
(1) 同类规则匹配(控制同一种应用访问), 范围小的放上面:例如都访问22端口的
(2) 不同类规则(访问不同应用),匹配到报文频率大的放上面
(3) 设置默认规则 都没有匹配到 将有些可以合并的规则合并
白名单(默认为拒绝) 黑名单 建议使用白名单
功能的优先级次序 raw --> mangle -->nat -->filter
规则:
组成部分:报文的匹配条件,匹配到之后处理动作
匹配条件:根据协议报文特征指定
基本匹配条件 源/目标 端口 IP
扩展匹配条件
处理动作:
内建处理机制
自定义处理机制 自定义链
注意:报文不会经过自定义链, 只能在内置链上通过规则引用后生效
Iptables 就是规则管理工具 iptables将规则送往内核的netfilter并发起系统调用来让这些规则生效
添加 修改 删除 显示等
规则和链有计数器
Pkgs:由规则或链匹配到的报文的个数
Bytes: 由规则和链匹配到的所有报文大小之和
基本语法: 匹配标准
iptables [-t TABLE] COMMAND CHAIN CRETIRIA -j TARGET(处理动作)
-t TABLE:
Filter nat mangle raw 默认为filter 优先级刚好相反
COMMAND:
链管理相关:
-F:表示flush, 清空规则链 省略链表示清空指定表上的所有链
-N:表示new, 创建新的自定义规则连 不能重名
-X: 表示delete, 删除一条自定义的空的规则链(需要使用-F清空) 没有就删除所有自定义链
-Z: 表示zero 计数器归零
-P: 设置默认策略,对filter表来讲,默认规则为ACCEPT DROP REJECT
-E: 重命名自定义链 引用计数器不为0的自定义链无法改名和删除
链中的规则:
-A 将新规则追加至链的尾部
-I 将新规则插入至指定位置 省略时表示第一条
-D 删除指定链上的指定规则
有2种指定方式:
指定匹配条件 或者 指定规则标号
-R 替换指定链上的指定规则
查询:
-L 列出指定链上的所有规则
-n: 数字格式显示主机地址和端口,避免反解 避免速度慢
-v: 显示详细格式,-vv, -vvv 可以显示计数器
--line-numbers: 显示规则编号 然后可以通过这个编号来删除
-x 精确 不希望自动做单位换算(可能丢精度)
Iptables -t filter -L -n
Iptables -x 删除所有的自定义链
Iptables -t filter -N IN_putlic新建
target prot opt source destination
处理目标(可以是自定义链) 协议(3中) 选项 源地址 目标地址 追踪状态
Iptables -L -n -v
pkts bytes target prot opt in out source destination
包数 字节数 目标 协议 流入的接口 流出的接口 源地址 目标地址
Iptables -t filter -P FORWARD DROP 修改默认策略
标签:计数 指定 基本语法 删除 目标 网络 改名 文件内容 格式
原文地址:https://www.cnblogs.com/escapist/p/9153250.html
