防火墙-——iptables-CSDN博客

目录

安全技术市场上常见的防御

1.入侵检测机制

2.入侵防御

3.防火墙

4.防水墙

通信的五大要素和四要素

iptables

四个表

数据流程图

安装iptables

iptables管理选项:

匹配条件

通用匹配规则

1.查看filter中的 INPUT表

2.清空filter表中的规则

3.拒绝所有主机ping

4.在第一行插入新规则允许ping

5.对ip 进行设置

6.对端口进行拒绝

7.指定规则删除

8.-R 修改

9.修改链的策略

10.指定网段

11.拒绝22端口和80端口

-m (+控制模块 明确指定类型 多端口 MAC地址 ip范围)显示匹配

12.指定多个端口

13.指定匹配IP地址范围

14.指定匹配mac地址

自定义链

添加自定义链

自定义链重命名

删除自定义链

自定义链的实现

删除自定义规则和链

SNAT DNAT

工作原理

​编辑

实验

实验需求

策略备份和还原

Linux抓包

---

安全技术市场上常见的防御

1.入侵检测机制

阻断量化定位来自内外的网络的威胁情况
提供报警和事后监督。类似于监控。

2.入侵防御

以透明模式工作分析数据包的内容一切进入本机的内容进行防护木马蠕虫系统漏洞进行分析判断然后进行阻断。主动的防护机制。部署在整个架构或者是集群的入口处。(必经之路。)

3.防火墙

隔离功能工作在网络或者主机的边缘  路由
对网络或者主机的数据包按照一定规则进行检查。网络层转发数据包
一般对防火墙的设置都是白名单拒绝所有允许个别。

保护范围主机防火墙仅为当前主机服务。
                  网络防火墙防护的是另一侧的局域网。
网络层防火墙iptables包过滤防火墙
访问控制每个数据包的源IP地址目的IP地址端口号协议等等进行组合式监控由此来判断数据包是否允许通过。
iptables: 系统自带的包过滤防火墙。
firewalld: 主机防火墙他也有包过滤的功能。centos7以后集成的。

4.防水墙

透明模式工作华为的ensp监控就是防火墙。一切对于防水墙都是透明的
    事前事中事后都可以进行检测

通信的五大要素和四要素

源/目的ip 源/目的mac 端口 协议。
源/目的ip 源/目的mac 端口
 

iptables

内核防火墙内置四个表而且在所有表中配置规则配置后立即生效不需要重启服务。

四个表

raw	连接跟踪跟踪数据的一种机制。配置了之后可以加快防火墙的穿越速度(关闭raw里面的追踪。)
mangle	修改数据包的标记规则
nat	地址转化的规则表
filter	包过滤规则表。根据预定义的规则人工设置的规则对符合条件的数据包进行过滤也是iptables的默认表
四表的优先级raw---mangle---nat---filter

表里有链链里面有规则iptables的配置规则写在链当中。

五个链

prerouting链	处理数据包进入本机之前的规则                                        NAT
input链	处理数据包进入本机的规则。                                 包能否进来
FORWARD链	处理数据包转发到其他主机的规则。                       包能否转发
output链	处理本机发出的数据包的规则一般不做处理。
postrouting链	处理数据包离开本机之后的规则                                        NAT

数据流程图

安装iptables

systemctl stop firewalld

yum -y install iptables iptables-services

systemctl restart iptables

iptables管理选项:

选项	说明
-A	在指定链的末尾进行追加
-I	在指定链插入新的规则。可以指定插入规则的位置
-P	修改默认策略(链的策略)
-D	删除
-R	修改替换规则
-L	查看指定链当中的规则
-n	以数字形式显示规则
-v	查看详细信息
--line-number	给每个链中的规则进行编号查看
-F	清空指定链当中的规则慎用
-X	清空自定义链的规则
-t	指定表名

匹配条件

匹配策略从上到下按照规则顺序匹配相同类型匹配只生效第一条

-p	指定数据包的协议类型
-s	指定数据包的源ip地址
-d	指定数据包的目的ip地址
-i	指定数据包进入本机的网络接口
-o	指定数据包离开本机的时候使用的网络接口
--sport	指定源端口
--dport	指定目的端口号

控制类型

-j	后面跟上控制类型
ACCEPT	允许数据包通过
DROP	拒绝数据包通过直接丢弃数据包不给任何回应的信息
REJECT	拒绝拒绝数据包通过但会给一个回应的信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址

通用匹配规则

ip+端口+网段+接口(网卡设备)

1.查看filter中的 INPUT表

iptables -t filter -vnL INPUT --line-numbers

num   pkts bytes target     prot opt in     out     source               destination

num--line-numbers 序号
pkts匹配规则收到的报文个数
bytes包的大小综合
target规则对应的动作
port规则对应的协议

2.清空filter表中的规则

iptables -F

3.拒绝所有主机ping

iptables -t filter -A INPUT -p icmp -j REJECT

4.在第一行插入新规则允许ping

iptables -t filter -I INPUT 1 -p icmp -j ACCEPT

5.对ip 进行设置

对ping本机进行限制
1.对单个ip拒绝
iptables -A INPUT -s 192.168.10.20 -p icmp -j REJECT 

2.对多个ip决绝
iptables -A INPUT -s 192.168.10.20,192.168.10.30 -p icmp -j REJECT

6.对端口进行拒绝

1.对192.168.10.20的22端口进行限制---禁止20远程登陆本机
iptables -A INPUT -s 192.168.10.20 -p tcp --dport 22 -j REJECT

s--源主机限制

7.指定规则删除

删除INPUT里的第一条规则

  iptables -D INPUT 1 

1--协议序号

8.-R 修改

注意同时源地址改变工作中极少使用

9.修改链的策略

工作中都拒绝所有允许个别

修改INPUT策略

iptables -P INPUT DROP

10.指定网段

11.拒绝22端口和80端口

1.拒绝20网段80端口
iptables -A INPUT -s 192.168.20.0/24 -p tcp --dport 20:80 -j REJECT
小号端口在前大号端口在后


2.拒绝20网段20,30,80,90,254端口
iptables -A INPUT -s 192.168.20.0/24 -p tcp -m multiport --dport 20,80,30,90,254 -j REJECT

-m (+控制模块 明确指定类型 多端口 MAC地址 ip范围)显示匹配

nultiport 端口

iprange --src-range 源ip

iprange --dst-range 目的ip

mac --mac-source 源mac

12.指定多个端口

13.指定匹配IP地址范围

14.指定匹配mac地址

自定义链

添加自定义链

iptables -N LIU2

自定义链重命名

iptables -E LIU2 LIU3

删除自定义链

iptables -X 自定义列名

自定义链的实现

在自定义链添加规则将自定义列添加到系统原有链中添加如下图规则才会实现

删除自定义规则和链

先将自定义链从系统默认链中删除再将自定义链中的规则删除最后删除自定义链

SNAT DNAT

SNAT    源地址转换
DNAT    目的地址转换

工作原理

实验

实验需求

test1

test2

        ens33

        ens36

1、SNAT
iptables -t nat -A POSTROUTING -s 192.168.233.0/24 -o ens36 -j SNAT -t 10.0.0.10

-t 指定的表名
nat: 地址转换的表名
-A 添加一条规则在行尾追加
POSTROUTING: 在出本机的时候添加一个地址转换的规则
-s 192.168.233.0/24: 指定源p地址
-o ens36: 从网卡设备ens36出去的数据都会做转换
-j SNAT: 指定控制类型源地址转换
--to 10.0.0.10 所有的源ip属于233.0这个网段只要你是从ens36出来的都会把他们的ip地址转换成10.0.0.10


2、DNAT
   iptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT -to 192.168.233.10:80

-t nat: 指定地址转换表
-A PREROUTING:在进入本机之后添加地址转换的规则
-d 11.0.0.11: 指定目的地址
ens36: 进入内网的设备接口
-p 指定协议
--dport 80 指定端口
-j DNAT 转换目的地址
--to 192.168.10.10:80 只要是从何ens36这个网络接口进入本机内网的ip地址访问内网服务http的80端口目的ip地址都可以转换成11.0.0.11



3、开启转发
vim /etc/sysctl.conf
    net.ipv4.ip_forward=1
sysctl -p 立即生效

        test3

策略备份和还原

备份 iptables-save >/opt/iptables.bank
还原 iptables-restore < /opt/iptable.bank
默认策略存放位置  /etc/sysconfig/iptables 立即生效

Linux抓包

linux能否抓包

        答tcpdump系统自带的

                    分为指定抓包
                                动态抓包一直获取手动停止

   抓包命令格式

tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.10.0/24 -w ./target.cap

tcpdump 固定格式
tcp 抓取tcp协议
-i 只抓经过ens33的数据包
-t 不显示时间戳
-s0 抓完整的数据包
-c 指定抓包的个数
dst port 80 访问httpd 80
src net 192.168.10.0/24   源地址来自192.168.10.0网段的ip
-w 抓包的数据保存位置 
*.cap  Wireshark分析.cap 后缀的