首页 > 系统相关 >Linux进阶(三)

Linux进阶(三)

时间:2022-10-02 18:58:12浏览次数:75  
标签:进阶 防火墙 过滤 nat Linux OUTPUT INPUT 数据包

目录

架构图

image

IP tables

  • 简介

    IPtablesLinux防火墙工具,真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构;防火墙是干什么的呢?防止别人恶意访问,为了保证安全而存在;IP tables是上架构图中的“冰山一角”~

    image

    网络从设备驱动进入,往上走,netfilter是网络安全框架用于过滤,hook勾子函数!

    • 防火墙的分类

      防火墙种类 名称
      硬件防火墙 [F5](F5设备_百度百科 (baidu.com))
      软件防火墙 iptables 和 firewalld
      云服务防火墙 安全组
    • 包过滤防火墙

      • 包:数据传输过程,并不是一次性传输完成的,而是将数据分成若干个数据包,一点一点传输;类似看视频,加载的缓存,不是一次性将视频加载出来,而是一点一点加载;
      • 包过滤防火墙:过滤数据包的防火墙
    • Iptables如何过滤

      iptables通过四表五链过滤各种规则

    • “四表”

      filter、nat、mangle、raw

      表名 作用 与链的关系
      filter表 过滤数据包 INPUT、OUTPUT、FORWARD
      Nat表 用于网络地址转换(IP、端口) PREROUTING、INPUT、OUTPUT、POSTROUTING
      Mangle表 修改数据包的服务类型、TTL、并且可以配置路由实现QOS PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
      Raw表 决定数据包是否被状态跟踪机制处理 PREROUTING、OUTPUT
    • “五链”

      PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING

      链名 处理机制
      INPUT链 进来的数据包应用此规则链中的策略
      OUTPUT链 外出的数据包应用此规则链中的策略
      FORWARD链 转发数据包时应用此规则链中的策略
      PREROUTING链 主机外报文进入位置,所有的数据包进来的时侯都先由这个链处理,允许的表mangle, nat(目标地址转换,把本机地址转换为真正的目标机地址,通常指响应报文)
      POSTROUTING链 报文经过路由被转发出去,所有的数据包出来的时侯都先由这个链处理,允许的表mangle,nat(源地址转换,把原始地址转换为转发主机出口网卡地址)
    • Iptables流程

      完整流程

      image

      经常用filter和nat,filter和nat 版

      image

      如果有网络A,和网络B,或需要AB中间网络转换,运用上述流程该如何走?如下:

      image

标签:进阶,防火墙,过滤,nat,Linux,OUTPUT,INPUT,数据包
From: https://www.cnblogs.com/al6nlee/p/16749223.html

相关文章

  • 【Linux】学习-02-Linux基础命令
    注意:Linux下,所有的命令可以组合使用,如以下的【ls-al】,就是【ls-a】和【ls-l】的组合ls:显示文件夹下的内容ls-a:显示文件夹下的全部文件,包括隐藏文件ls-l:以竖......
  • 【Linux】学习-01-Linux概述
    1、KailLinux:安全渗透测试使用,黑客等安全相关的人员所擅长的技术。2、补天:漏洞响应平台。https://www.butian.net/3、红帽认证工程师:Linux领域广为认可的专业技术认证......
  • 如何在 Linux 上创建可启动的 U 盘
    注意:以下命令需在root权限下执行,使用不当可能会损坏硬盘数据以及操作系统使用下列命令行请将<usb_drive>替换为设备名称,将<file.iso>替换为镜像文件的路径。您可用df、......
  • 主机访问不了Linux虚拟机
    一、检查防火墙systemctlstatusfirewalldsystemctlstopfirewalldsysytemctldeablefirewalld二、检查是否ip冲突#试着关闭NetworkManagersystemctlstopNetworkmanag......
  • 函数进阶
    一、多函数程序执行流程(一)共用全局变量#定义全局变量num=0deftest1():globalnum#修改全局变量num=100deftest2():#调用test1函数中修......
  • JavaScript中this指向哪儿?如何确定this?-前端面试进阶
    前言只要你踏入JavaScript的世界,那么你一定会遇到this关键词。有许多人所this是JavaScript中最复杂的东西之一,也有人说this其实很简单......但是事实确实,有许多工......
  • 在Linux环境下添加应用快捷方式
    以添加intellij快捷方式为例ref:https://blog.csdn.net/baidu_24285051/article/details/107451136创建intellij-idea.desktop文件[DesktopEntry]Encoding=UTF-8V......
  • JavaScript中this指向哪儿?如何确定this?-前端面试进阶
    前言只要你踏入JavaScript的世界,那么你一定会遇到this关键词。有许多人所this是JavaScript中最复杂的东西之一,也有人说this其实很简单......但是事实确实,有许多......
  • 约一个月linux办公环境使用体验
    规划由于实际工作的需要,我在今年9月份就开始规划给主机重新进行系统的配置,由原先的单win10转向linux+win10双系统。作出这样的考虑主要是由于我目前开发所需要使用的eda工......
  • linux下nano中复制粘贴剪切的快捷键是什么
    1.复制:alt+62.剪切:ctrl+k3.粘贴:ctrl+u4.自由剪切:ctrl+6指定起始剪切位置,按上下左右键来选中内容,然后按下ctrl+k即可自由剪切5.撤销:alt+u使用快捷Ctrl+X,然后会......