1.防火墙种类
硬件: 整个企业入口- 三层路由: H3C 华为 Cisco(思科)
- 防火墙: 深信服,绿盟,奇安信.....
- Juniper
- iptables 写入到Linux内核中,以后服务docker 工作在 4层(大部分)
- firewalld C7
- nftalbes C8
- ufw (ubuntu firewall) Ubuntu
- 阿里云:
- 安全组 (封ip,封端口)
- NAT网关(共享上网,端口映射....)
- waf应用防火墙
- 书写规则(描述攻击过程,关键提示,关键操作.)
2.关键名词
- 容器: 瓶子 罐子 存放东西
- 表(table): 存放链的容器,防火墙最大概念
- 链(chain): 存放规则的容器
- 规则(policy): 准许或拒绝规则 ,未来书写的防火墙条件就是各种防火墙规则
3.iptables执行过程
工作流程小结:※※※※※ 1. 防火墙是层层过滤的,实际是按照配置规则的顺序从上到下,从前到后进行过滤的。 2. 如果匹配成功规则,即明确表示是拒绝(DROP)还是接收(ACCEPT),数据包就不再向下匹配新的规则。 3. 如果规则中没有明确表明是阻止还是通过的,也就是没有匹配规则,向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。 4. 防火墙的默认规则是所有规则都匹配完才会匹配的。4.表与链
- 表(table)是对功能的分类,防火墙功能(filter表),共享上网,端口转发(nat表)
- 链对数据流进行处理,需要使用不同的链(数据流入(INPUT),数据流出(OUTPUT))
- iptables 是4表伍链
- 4表: filter 表 nat表 raw表 mangle表
- 伍链: INPUT OUTPUT FORWARD PREROUTING POSTROUTING
5.filter表
是iptables默认的表,filter表示过滤. 实现防火墙功能:(对数据包的filter过滤)屏蔽或准许,端口,ip
6.nat表
实现nat功能- 实现共享上网(内网服务器上外网)
- 端口映射和ip映射
7.iptables命令参数
案例:禁止访问22端口
#拒绝用户访问22端口 iptables -t filter -A INPUT -p tcp --dport 22 -j DROP #查看规则并加上序号 iptables -t filter -nL --line-number #删除规则 iptables -t filter -D INPUT 1 #根据序号删除
8.匹配ICMP类型
- ICMP(Internet Control Message Protocol)Internet控制报文协议 ping
- 整个网站核心
精确的写法是 iptables -t filter -I INPUT -p icmp Վʔicmp-type 8 -j DROP 简单写法 iptables -t filter -I INPUT -p icmp -j DROP
9.匹配网络状态(TCP/IP连接状态)
- -m state --state 状态即可.
- NEW:已经或将启动新的连接
- ESTABLISHED:已建立的连接
- RELATED:正在启动的新连接
- INVALID:非法或无法识别的
10.限制并发及速率
-m limit --limit n/{second/minute/hour}: 解释:指定时间内的请求速率”n”为速率,后面为时间分别为:秒 分 时-m limit Վʔlimit 10/minute #每分钟只能有10个数据包每6秒生成
11.防火墙规则的保存和恢复
- iptables-save 进行备份,默认输出到屏幕
- iptables-restore 进行恢复,加上文件
- 写入到/etc/sysconfig/iptables
- 逛公园模式: 默认规则是 ACCEPT
- 看电影模式: 默认规则是 DROP 白名单模式
- nat表用于实现nat功能. nat网络地址转换.
- 共享上网
- 端口转发/端口映射
- ip映射
- 1. 防火墙添加规则 SNAT\规则 nat表 POSTROUTING
- 2. 防火墙服务器 开启ip转发功能
- 3. 后端节点,配置网卡,让网卡网关指向防火墙
- 4. 后端节点的网卡中配置DNS1=223.5.5.5 ,DNS2=223.6.6.6
15.小结
面试题: 防火墙4表伍链,处理流程. 防火墙filter表,禁用ip,端口. 防火墙nat表实现:共享上网,端口映射. 防火墙备份与恢复. 标签:iptables,ip,Linux,防火墙,filter,nat,规则 From: https://www.cnblogs.com/anni-qianqian/p/18221163