Linux中的防火墙(粗糙版)

防火墙的配置和策略

安全技术:

入侵检测系统:特点是不阻断网络访问,量化,定位的方式来锁定内外网络的危险情况,提供告警服务和事后监督为主。

说白了就是默默看着你,没有主动行为

入侵防御系统:特点是以透明模式工作,分析数据包,木马,病毒,服务攻击等进行准确的分析判断,判定之后会立即阻断。

他是主动地有效的保护网络安全

是所有数据进入指定网络的必经之路

防火墙就是入侵防御系统(人工配置或者系统预设):主要就是隔离,工作在网络或者主机的边缘

对进出网络或者主机的数据包基于一定规则的检查。而且在匹配到某规则时,由规则定义做出相应的处理动作

只有允许策略的数据包,才能够通过

防水墙:ensp.他是不透明的一种工作方式,你干什么都会有记录,但是你自己不知道

保护范围:

主机防火墙:只能保护当前一台主机

网络防火墙:可以保护整个防火墙另一侧的局域网

网络协议:

网络层防火墙:iptables firwalld 包过滤防火墙,对数据包进行过滤

应用层防火墙:

iptables 就是包过滤防火墙

面试题:通信的五要素和四要素:

五要素:

源IP和目的IP

源端口和目的端口

协议(tcp/udp)

四要素:

源IP和目的IP

源端口和目的端口

iptables:属于用户态防火墙

用户态:面向使用对象,我们就是使用工具,配置策略

内核态:代码层(开发考虑的)

iptables的配置规则生效之后,会立即生效,无须重启

centos7之前,iptables是默认配置,现在默认配置是firewalld

之后要使用iptables需提前将firewalld关闭

面试题:四个表组成:

row表:控制数据包的状态跟踪,以及可以决定是否跳过后续的处理。(关闭还是启用数据包的跟踪机制,加快数据包穿越防火墙的速度)

mangle表:修改数据包的头部信息(修改数据包的标记位规则)

nat表:用于网络地址转换,可以改变数据包的源IP地址和目的IP地址

filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出。以及是否接受或者拒绝数据包

每个表里面都有链:链里面有5个链:

INPUT链:数据包进入本机的规则

OUTPUT链:数据包出本机的规则

PREROUTING链:数据包进入本机之前,是否做地址转换

POSTROUTING链:数据包离开本机之前,是否要做地址转换

FORWARD链:是否运行数据包通过本机进行转发

四个表……5个链……每个链里面都有对应的规则

规则就是我们人工配置的策略

数据包进入本机之后,匹配表是由优先级的

row…………mangle………net…………filter

PS:到工作中千万不要这么干,发现服务无法启动不要去关防火墙。 生产的防火墙都是白名单。清空防火墙策略,你也要倒霉。

iptables命令的格式和相关选项:

格式:

iptables -t 表名 管理选项 链名 匹配条件 -j 控制类型

不加 -t 表名 默认就是fiter表

不加链名,就是指所有链,不推荐如此操作

管理选项:

-A:在指定链的末尾追加一条

-I:在指定链中插入一条新的规则,根据编号来进行插入,不指定序号,直接插入当前链中的第一条(不推荐)

-P:指定默认策略

-D:删除规则

-R:修改或者替换规则(不推荐)

-L:查看

v:显示详细信息

n:所有字段以数字形式显示

-F:清空链当中的所有规则(慎用)

-X:清空自定义链的规则

匹配条件:

-p:指定匹配数据包的协议类型

-s:指定匹配数据包的源IP地址

-d:指定匹配数据包的目的IP地址

-i:指定数据包进入使用本机的网络接口

-o:指定数据包离开本机使用的网络接口

-sport:指定源端口

-dport:指定目的端口

控制类型:

ACCPET:允许数据包通过

DROP:直接丢弃数据包而且没有任何回应信息

REJECT:拒绝数据包通过,会给一个响应信息

SNAT:修改数据包的源地址

DNAT:修改数据包的目的地址

规则内的匹配顺序:

自上向下按照顺序依次进行检测,找到匹配的规则立刻停止,如果在链中找不到规则,则会按照该链默认策略处理

1.如果策略已保存过,写在配置文件中的保存,导入到iptables,重启服务即可

2.机房调整

3.炸

命令:

iptables -F #清空所有策略

iptables -vnL

iptables -vnL --line-numbers

iptables -t filter -A INPUT -p icmp -j REJECT #禁止所有主机ping本机,包括本机

iptables -t filter -A INPUT -p icmp -j ACCEPT #允许ping通,-A在前一条规则后添加

PS:匹配到了就不会在匹配后面的规则

iptables -t filter -I INPUT 1 -P icmp -j ACCEPT #指定序号插入,插入到第一条,他是立即生效

iptables -vnL --line-numbers #查看行规则的位置

iptables -t filter -I INPUT 1 -p icmp -j DROP #

iptables -A INPUT -s 192.168.86.12 -p icmp -j REJECT #指定拒绝主机

iptables -t filter -I INPUT 1 -s 192.168.86.12 -p tcp --dport 80 -j REJECT

删除规则:

iptables -D INPUT 需要删除的序号

修改规则:(极其不推荐此功能)

iptables -R INPUT 1 -s 192.168.86.12 -p tcp --dport 80 -j ACCEPT

修改默认策略:

iptables -P INPUT DROP

拒绝整个网段:

iptables -A INPUT -ptcp -s 192.168.86.0/24 --dport 80 -j REJECT

拒绝多个网络是用逗号隔开

拒绝多个端口是用:隔开,而且需要小的端口在前,大的端口在后

iptables -A INPUT -p tcp -m -- dport 22:80 -j REJECT

显示匹配:已-m扩展模块形式指出类型,多端口MAC地址,ip范围

多端口:

iptables -A INPUT -p tcp -m multiport -- dport 80,22,21,53 -j REJECT

IP范围:

iptables -A INPUT -p tcp -m iprange --src-range 192.168.86.11-192.168.86.14 --dport 80 -j REJECT

MAC地址:

iptables -A INPUT -m mac --mac-source mac地址 -j REJECT

对指定设备进行操作:

-i:数据的入口设备

-o:数据的出口设备

需求:所有从ens33接口进入的数据包,全部拒绝,而且指定IP地址DROP

iptables -A INPUT -i ens33 -s 192.168.86.12,192.168.86.13 -j DROP

iptables -A INPUT -p icmp -j ACCEPT

备份:

iptables-save > /opt/iptables.bak

cat /etc/sysconfig/iptables

iptables-restore < /opt/iptables.bak #这是临时导入

cat /opt/iptables.bak > /etc/sysconfig/iptables #这是永久导入

PS:导入配置文件之前,原文件一定要备份!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/118874.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Flutter 06 动画

一、动画基本原理以及Flutter动画简介 1、动画原理&#xff1a; 在任何系统的Ul框架中&#xff0c;动画实现的原理都是相同的&#xff0c;即&#xff1a;在一段时间内&#xff0c;快速地多次改变Ul外观&#xff1b;由于人眼会产生视觉暂留&#xff0c;所以最终看到的就是一个…

多模态中各种Fusion方式汇总

多模态中各种Fusion骚操作 大噶好&#xff0c;我是DASOU&#xff1b; 今天继续写多模态系列文章&#xff0c;对多模态感兴趣的可以看我之前的文章&#xff1a; 其实对于多模态来说&#xff0c;主要可以从三个部分去掌握它&#xff1a; 如何获取多模态的表示【learning mult…

大数据毕业设计选题推荐-收视点播数据分析-Hadoop-Spark-Hive

✨作者主页&#xff1a;IT研究室✨ 个人简介&#xff1a;曾从事计算机专业培训教学&#xff0c;擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Python…

Spring基础(2):放弃XML,走向注解

上一篇并没有实际地带大家去看源码&#xff0c;而是介绍了两个概念&#xff1a; BeanDefinitionBeanPostProcessor 当然&#xff0c;我介绍得非常笼统&#xff0c;不论是BeanDefinition还是BeanPostProcessor其实都有着较为复杂的继承体系&#xff0c;种类也很多。作为Spring…

5.网络之IP

IP协议&#xff08;网络层&#xff09; 文章目录 IP协议&#xff08;网络层&#xff09;1. 报文格式2. IP地址2. 地址管理3. 特殊IP地址 IP协议&#xff08;Internet Protocol&#xff0c;互联网协议&#xff09;&#xff0c;是TCP/IP协议栈中最核心的协议之一&#xff0c;通过…

2024年天津财经大学珠江学院专升本预计新增金融学招生专业

2024年天津高职升本科天津财经大学珠江学院预计在今年新增招生专业&#xff0c;专业为金融学&#xff0c;目前该专业正在向天津市教育委员会申报中&#xff0c;预计最快下周即可在天津财经大学珠江学院招生官方发出通知。具体以官方审批是否通过为准。 珠江消息详情如下&#x…

01-单节点部署clickhouse及简单使用

1、下载rpm安装包&#xff1a; 官网&#xff1a;https://packages.clickhouse.com/rpm/stable/ clickhouse19.4版本之后只需下载3个rpm安装包&#xff0c;上传到节点目录即可 2、rpm包安装&#xff1a; 安装顺序为conmon->server->client 执行 rpm -ivh ./clickhouse-…

相机滤镜软件Nevercenter CameraBag Photo mac中文版特点介绍

Nevercenter CameraBag Photo mac是一款相机和滤镜应用程序&#xff0c;它提供了一系列先进的滤镜、调整工具和预设&#xff0c;可以帮助用户快速地优化和编辑照片。 Nevercenter CameraBag Photo mac软件特点介绍 1. 滤镜&#xff1a;Nevercenter CameraBag Photo提供了超过2…

HTML 表格

<!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>表格标签</title>/* <style>.yun {widt…

【MongoDB】索引 - 数组字段的多键索引

数组字段创建索引时&#xff0c;MongoDB会为数组中的每个元素创建索引键&#xff08;多键索引&#xff09;&#xff0c;多键索引支持数组字段的高效查询。 一、准备工作 这里准备一些数据 db.shop.insertMany([{_id: 1, name: "水果店1", fruits: ["apple&qu…

turtle绘制分形树-第10届蓝桥杯省赛Python真题精选

[导读]&#xff1a;超平老师的Scratch蓝桥杯真题解读系列在推出之后&#xff0c;受到了广大老师和家长的好评&#xff0c;非常感谢各位的认可和厚爱。作为回馈&#xff0c;超平老师计划推出《Python蓝桥杯真题解析100讲》&#xff0c;这是解读系列的第5讲。 turtle绘制分形树&…

Sui发布RPC2.0 Beta,拥抱GraphQL并计划弃用JSON-RPC

为了解决现有RPC存在的许多已知问题&#xff0c;Sui正在准备推出一个基于GraphQL的新RPC服务&#xff0c;名为Sui RPC 2.0。GraphQL是一种开源数据查询和操作语言&#xff0c;旨在简化需要复杂数据查询的API和服务。 用户目前可以访问Sui主网和测试网网络的Beta版本的只读快照…

基于侏儒猫鼬算法的无人机航迹规划-附代码

基于侏儒猫鼬算法的无人机航迹规划 文章目录 基于侏儒猫鼬算法的无人机航迹规划1.侏儒猫鼬搜索算法2.无人机飞行环境建模3.无人机航迹规划建模4.实验结果4.1地图创建4.2 航迹规划 5.参考文献6.Matlab代码 摘要&#xff1a;本文主要介绍利用侏儒猫鼬算法来优化无人机航迹规划。 …

2024年人工智能安全发展十大预测

上周三&#xff0c;包括英国、美国和中国在内的近30个国家&#xff08;以及欧盟&#xff09;在人工智能安全峰会上达成首个全球性人工智能安全协议&#xff0c;并发布了《人工智能安全宣言》&#xff0c;这标志着人工智能正式进入安全发展的强监管时代。 峰会期间&#xff0c;…

网络爬虫的实战项目:使用JavaScript和Axios爬取Reddit视频并进行数据分析

概述 网络爬虫是一种程序或脚本&#xff0c;用于自动从网页中提取数据。网络爬虫的应用场景非常广泛&#xff0c;例如搜索引擎、数据挖掘、舆情分析等。本文将介绍如何使用JavaScript和Axios这两个工具&#xff0c;实现一个网络爬虫的实战项目&#xff0c;即从Reddit这个社交媒…

Spring boot集成sentinel限流服务

Sentinel集成文档 Sentinel控制台 Sentinel本身不支持持久化&#xff0c;项目通过下载源码改造后&#xff0c;将规则配置持久化进nacos中&#xff0c;sentinel重启后&#xff0c;配置不会丢失。 架构图&#xff1a; 改造步骤&#xff1a; 接着我们就要改造Sentinel的源码。…

【蓝桥杯省赛真题41】Scratch电脑开关机 蓝桥杯少儿编程scratch图形化编程 蓝桥杯省赛真题讲解

目录 scratch电脑开关机 一、题目要求 编程实现 二、案例分析 1、角色分析

【数据开发】大数据平台架构,Hive / THive介绍

1、大数据引擎 大数据引擎是用于处理大规模数据的软件系统&#xff0c; 常用的大数据引擎包括Hadoop、Spark、Hive、Pig、Flink、Storm等。 其中&#xff0c;Hive是一种基于Hadoop的数据仓库工具&#xff0c;可以将结构化的数据映射到Hadoop的分布式文件系统上&#xff0c;并提…

✔ ★【备战实习(面经+项目+算法)】 11.6 学习

✔ ★【备战实习&#xff08;面经项目算法&#xff09;】 坚持完成每天必做如何找到好工作1. 科学的学习方法&#xff08;专注&#xff01;效率&#xff01;记忆&#xff01;心流&#xff01;&#xff09;2. 每天认真完成必做项&#xff0c;踏实学习技术 认真完成每天必做&…

【Vue.js】Vue3全局配置Axios并解决跨域请求问题

系列文章目录 文章目录 系列文章目录背景一、部署Axios1. npm 安装 axios2. 创建 request.js&#xff0c;创建axios实例3. 在main.js中全局注册axios4. 在页面中使用axios 二、后端解决跨域请求问题方法一 解决单Contoller跨域访问方法二 全局解决跨域问题 背景 对于前后端分离…