Linux防火墙
安全技术:
1、入侵检测机制:
特点:阻断、量化、定位来自内外的网络的威胁情况
提供报警和事后监督,类似于监控
2、入侵防御:
以透明模式工作
对数据包内容进行分析,对一切进入本机的内容进行防护,木马、蠕虫、系统漏洞进行分析判断,然后进行阻断。
主动的防护机制,部署在整个架构中,或者是集群的入口处(必经之路)
3、防火墙:
作用:隔离功能
工作在网络或者主机的边缘
对网络或者主机进出的数据包按照一定的规则进行检查(网络层转发的数据包)
4、防水墙:
透明模式工作(华为的ensp监控就是防水墙)
一切对于防水墙都是透明的。可以在事前、事中、事后进行检测
防火墙的种类:
一、按照保护范围
1、主机防火墙(仅为当前主机服务)
2、网络防火墙(防护的是另一侧的局域网)
网络层防火墙:iptables,包过滤防火墙
也可以称为访问控制。可以对每个数据包的源IP地址、目的IP地址、端口号、协议等进行组合式监控,由此来判断数据包是否允许通过
Q:通信的五要素和四要素分别是什么?
A:五要素:源IP、目的IP、源端口、目的端口、协议。四要素:源IP、目的IP、源端口、目的端口
核心:iptables:系统自带的包过滤防火墙
firewalld 主机防火墙,也有包过滤的功能。centos7以后集成的
iptables 内核防火墙,内置四表,而且在所有的表中配置规则。配置之后立即生效,立刻生效,无需重启
四个表:
1、raw 连接跟踪,跟踪数据包的一种机制。配置之后可以加快防火墙的穿越速度(关闭raw里面的追踪)
2、mangle 修改数据包的标记位规则
3、nat 地址转换规则表
4、filter 包过滤规则表。根据预定义的规则、人工设置的规则,对符合条件的数据包进行过滤,也是iptables的默认表
四个表有优先级:raw > mangle > nat > filter
四表五链:
prerouting链 处理数据包进入本机之前的规则 结合NAT表
input链 处理数据包进入本机的规则
forward链 处理数据包转发到其他主机的规则
output链 处理本机发出的数据包的规则,一般不做处理
postrouting链 处理数据包离开本机之后的规则 结合NAT表
表里有链,链里有规则
iptables的配置规则写在链当中
管理选项:
-A 在指定链的末尾进行追加
-I(大i) 在指定链插入新的规则
-P(大p) 修改默认策略(链的策略)
-D 删除
-R 修改、替换规则
-L 查看指定链中的规则 【和-n 、 -v结合使用】
-n 以数字形式显示规则
-v(小写v) 查看详细信息
--line-numbers 给每个链中的规则进行编号查看
-F 清空指定链中的规则(慎用)
-X(大写x) 清空自定义链的规则
-t 指定表名
匹配条件:
-p(小p) 指定数据包的协议类型
-s(小写s) 指定数据包的源IP地址
-d 指定数据包的目的IP地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机的时候使用的网络接口
--dport 指定目的端口号
--sport 指定源端口
控制类型:
-j
ACC 允许数据包通过
DROP 拒绝数据包通过,直接丢弃数据包,不给任何回应的信息
REJECT 拒绝数据包,但是会给一个回应的信息
SNAT 修改数据包的源地址
DNAT 修改数据包的目的地址
匹配规则的策略:
从上往下按照规则顺序匹配。匹配到了规则,后面的规则就不再匹配。如果针对相同规则的类型,匹配到之后后续的规则也不生效
修改(一般不用,容易出问题)
修改默认策略
通用匹配的规则
IP地址+端口+网段+接口(网卡设备)
【整个卡死动不了了(无截图)】
隐藏扩展模块
-p 指定协议时,不需要使用-m指明扩展模块。-m tcp
指定多端口匹配【小端口号在前,大端口号在后,否则报错】
如何使用-m
-m 扩展模块 明确指定类型(多端口、MAC地址、IP范围)
-m multiport --sport --dport
一次性指定多端口,,端口大小排序任意
ip地址的范围
-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围
自定义链:
删除自定义规则和链:
SNAT和DNAT
SNAT 源地址转换
DNAT 目的地址转换
局域网共享上网
修改内核参数的文件,可以立即生效【非常重要】
-t nat 指定地址转换表
-A PREROUTING 在进入本机之后添加地址转换规则
-d 11.0.0.11 指定目的地址
-i ens35 进入内网的设备接口
-p tcp 指定协议
--dport 指定目的端口,80
-j DNAT 转换目的地址
--to 192.2222.222.10:80 只要是从ens35这个网络接口进入本机内网的IP地址,访问内网服务http的80端口,目的IP地址都可以转化成11.0.0.11
Q:Linux系统能抓包吗?
A:tcpdump(自带的抓包工具)
wireshark只适用于windows。
tcpdump抓包方式:
1、指定抓包数量
tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.222.222.0/24 -w ./target.cap
tcodump 抓包命令,固定开头
tcp :抓包的协议是什么
-i:经过,只抓经过ens33的数据包
-t:不显示时间戳
-s0:抓完整的数据包-c:指定抓包的个数
dst port: 80,访问的是http 80
src net: 192.168.233.0/24
-w:抓包的数据,保存位置。
./ 保存在当前目录
.cap
2、动态抓包(一直会获取,除非人工停止)
tcpdump -i ens33 -t -s0
抓完后还要放到本机用wireshark进行分析
firewalld centos7自带的,和iptables一样,也是包过滤防火墙。
firewalld过滤通过区域来进行配置的。
iptables是静态防火墙
firewalld是动态防火墙
firewalld区域:
1、trusted 信任区。所有流量都可以传入
2、public 公共区域。允许ssh或者dhcpv6-client的流量可以传入,其他的全部拒绝,也是firewalld的默认区域
3、external 外部区域。只有ssh和dhcpv6-client的流量可以传入,其他的全部拒绝。默认通过此区域转发的ipv4流量地址,在这里可以进行伪装
4、home 家庭区域。只有ssh和dhcpv6-client的流量可以传入,其他的全部拒绝
5、internal 内部区域。默认值和home区域的作用相同
6、work 工作区域。只有ssh和dhcpv6-client的流量可以传入,其他的全部拒绝
7、DMZ 隔离区,也叫非军事区。只允许ssh和其他预定义好的配置的流量可以传入,其他的全部拒绝
8、block 限制区域。所有流量都会被拒绝
9、drop 丢弃区域。所有流量都会丢弃,没有任何响应
dhcpv6-client:获取ipv6地址的客户端侗剧
查看区域内允许通过的服务
显示默认区域内所有的规则
显示当前系统中的默认区域
