目录
防火墙,防火墙的配置和策略。
1、安全技术:
2、保护范围:
3、iptables就是包过滤防火墙
3.1通信的五要素和四要素
3.1.1五要素:
3.1.2四要素:
4、iptables由四个表组成:
4.1每个表都有5个链
4.2格式:
4.2.1管理选项:
4.2.2匹配条件:
4.2.3控制类型:
4.2.4规则内的匹配顺序:
4.2.5匹配规则:
入侵检测系统:特点是不阻断网络的访问,量化,定位的方式来锁定内外网络的危险情况,提供告警服务和事后监督为主。没有任何主动行为。
入侵防御系统:以透明模式进行工作,分析数据包,木马,病毒,服务器攻击等等进行准确的分析判断。判定之后立刻阻断。
主动的有效的保护网络安全。
是所有数据进入指定网络的必经之路。
防火墙就是防御入侵系统(人工配置或者系统预设):隔离,工作在网络或者主机的边缘。
对进出网络或者主机的数据包基于一定的规则的检查,而且在匹配到某规则时,又规则的定义做出相应的处理动作。只有允许策略的数据包,才能够通过。
防水墙:ensp不透明的工作方式,你干什么都有记录,但你自己不知道。
主机防火墙:只能保护当前一台主机。
网络防火墙:可以保护整个防火墙另一侧的局域网。
按网络协议:网络层防火墙(iptables firewalld 包过滤防火墙)和应用层防火墙
源ip和目的ip
源端口和目的端口
协议(tcpludp)
源ip和目的ip
源端口和目的端口
iptables:属于用户态防火墙。
用户态:面向使用对象,我们就是实用工具,配置策略。
内核态:代码层(开发)
iptables的配置规则生效之后,立即生效,无需重启。
centos7 以前,iptables是默认配置,现在默认的是firewalld。
7以后要使用iptables要把firewalld关闭。
row表:控制数据包的状态跟踪,可以决定是都跳过后续的处理(关闭还是启用数据包的跟踪机制,加快数据包穿越防火墙的速度)
mangle表:修改数据包的头部信息(修改数据包的标记位规则)
nat表:用于网络地址转换,可以改变数据包的源ip地址和目的ip地址
filter表:是iptables的默认表,用于过滤数据包,可以控制数据包的进出,已经时候接受或者拒绝数据包。
INPUT链:数据包进入本机的规则
OUTPUT链:数据包出本机的规则
PRERROUTING链:数据包进入本机之前,是否需要做地址转换
POSTROUTING链:数据包离开本机是否需要做地址转发
FORWARD链:是否允许数据包通过本机进行转发
四个表-----5个链-----每个链里面都有对应的规则
规则就是我们人工配置的策略。
数据包进入本机之后,匹配表是由优先级的
row-------mangle-------nat--------filter
iptables命令的格式和相关选项:
iptables -t 表名 管理选项链名 匹配条件 -j 控制类型
不加 -t 表名 默认就是filter表
不加链名,就是指所有链,不推荐如此操作。
-A :在指定链的末尾追加一条
-I(大写i):在指定链中插入一条新的规则,根据编号来进行插入,不指定序号,直接插入当前链中的第一条(不推荐)
-P:指定默认策略
-D:删除规则
-R:修改或者替换规则(不推荐)
-L:查看
v:显示详细信息
n:所有字段以数字形式显示
-F:清空链当中的所有规则(慎用)
-X:清空自定义链的规则
-p∶指定匹配数据包的协议类型
-s:指定匹配数据包的源ip地址
-d:指定匹配数据包的目的ip地址
-i:指定数据包进入本机的网络接口
-o:指定数据包离开本机使用的网络接口
--sport:指定源端口
--dport:指定目的端口
ACCEPT:允许数据包通过
DROT:直接丢弃数据包,没有任何回应信息
REJECT:拒绝数据包通过,会给一个响应信息
SNAT:修改数据包的源地址
DNAT:修改数据包的目的地址
自上向下按顺序依次进行检查,找到匹配的规则立刻停止,如果在链中招不到规则,则会按照该链的默认策略处理。
1、如果策略已保存过,写配置文件中的,保存,导入到iptables,重启服务器即可
2、机房调整
3、炸
-m iprange --src-range源ip范围
-m iprange --dst-range目的ip范围
-m mac --mac-source mac地址
-m mac --mac-destination mac地址
-i 数据的入口设备
-o 数据的出口设备
iptables -A INPUT -i ens33 -s 192.168.246.11,192.168.246.12 -j DROP
第一:
四表五链
表里有链,链里有规则
row----mangle----nat----filter
INPUT
OUTPUT
PREROUTING
POSTROUTING
FORWRAD
从上到下按照顺序依次检查,找到匹配的规则立刻停止匹配。找到匹配规则,会按照链的默认规则进行执行。
如果不指定表名:默认就是filter
iptables -t filter -A
末尾添加
iptables -t filter -I
指定编号追加
-D删除
-R:修改或者替换规则(不推荐)
-L:查看
v:显示详细信息
n:所有字段以数字形式显示
-F:清空链当中的所有规则(慎用)
-p∶指定匹配数据包的协议类型
-s:指定匹配数据包的源ip地址
-d:指定匹配数据包的目的ip地址
-i:指定数据包进入本机的网络接口
-o:指定数据包离开本机使用的网络接口
--sport:指定源端口
--dport:指定目的端口
-j控制类型
ACCEPT
REJECT 回显消息
DROP直接丢弃,没有任何消息
SNAT源地址转换
DNAT目的地址转换