最新公告
  • 欢迎您光临IO源码网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 技术分享:图文详解防火墙iptables与NAT服务

    大家好,我是IO小编,今天又给大家发布资源了了。

    防火墙实际上是为了在Linux上实现访问控制的功能,分为硬件和软件防火墙两种。 在任何网络中,防火墙工作的地方总是在网络的边缘。 我们的任务是定义防火墙是如何工作的。 这是防火墙的策略、规则,可以发现进出网络的IP和数据。

    技术分享:图文详解防火墙与NAT服务

    一、简介

    1. 关于防火墙

    现在市面上卖的是三四层防火墙,被称为网络层防火墙,还有七层防火墙,其实是代理层的网关。 我们知道,在TCP/IP的7层模型中,第三层是网络层,第三层防火墙在该层检测源地址和目标地址。 但是在7楼的防火墙中,不管你的源端口或目标端口、源地址或目标地址是什么,都要检查你所有的东西。 因此,在设计原理上,7楼防火墙更安全,但这更没有效率。 因此,市售的通常的防火墙方案,两者互相结合。

    2. iptables的发展

    包括iptables及其前身在用户空间工作,是定义规则的工具,本身不是防火墙。 这些可以定义规则,在内核空间的“Netfilter”中读取,可以运行防火墙。 放内核的地方必须是特定的地方,必须是TCP/IP协议栈通过的地方——Netfilter。

    iptables是防火墙的管理工具,内核中实现防火墙功能的是Netfilter。

    在Linux上,TCP/IP协议栈位于内核中意味着数据消息的处理在内核中进行。 也就是说,防火墙在内核中运行,防火墙在内核中完成了TCP/IP消息流入的位置,必须使用规则进行检查,才能真正运行。

    3. iptables的结构

    从上面的发展可以看出作者选择了五个地方作为控制的地方,前三个地方基本上可以完全封锁路径,为什么在出入口设置关卡后需要在内部设置关卡? 由于数据包还没有进行路由决定,不知道数据流向哪里,所以进出口无法实现数据过滤。 因此,设定传输到内核空间的级别,进入用户空间的级别,离开用户空间的级别。 那么,他们没什么用,我们为什么还要放他们呢?

    因为在进行NAT/DNAT时,目标地址转换必须在路由前进行转换。 所以,我们必须在外网接口设定级别。

    Netfilter规定的这五个位置也叫五个规则链:

    图文详解防火墙及NAT服务

    图文详解防火墙及NAT服务

    iptable的结构:在包过滤表中,规则被分组成所谓的链。 如图所示,链是规则的列表。

    图文详解防火墙及NAT服务

    二、表和链

    要设置Linux防火墙,请使用规则,指定每个规则在包中如何匹配,以及对包执行什么操作。 那么什么是规则呢? iptables利用了包过滤的机制,因此分析数据包的头部数据。 根据头数据和定义的规则,确定该包是否可以通过或放弃。 也就是说,根据数据包的分析资料与预先定义的规则内容进行“对照”,如果数据包数据与规则内容一致,则进行相应的处理,否则继续下一个规则的对照。 重点是核对和核对的顺序。

    什么是表和链呢?

    这必须从iptables的名字说起。 为什么叫iptables呢? 这包括多个表,因此每个表定义自己的默认策略和规则,每个表的用途不同。 iptables包含四个表和五个链。 其中,表根据数据包的处理功能来区分,链根据不同的Hook点来区分,表和链实际上是netfilter的二维。

    四个规则表分别是Filter、NAT、Mangle和Raw,默认表是Filter (如果未指定表,则是Filter表)。 表的处理优先级为RawMangleNATFilter

    常用的三个表:

    图文详解防火墙及NAT服务

    三、工作流程

    iptables采用了分组过滤机制,因此分析分组的报头信息,根据预先设定的规则进行匹配,决定分组的处理方法。

    防火墙是分层过滤的,实际上按照匹配规则的顺序从上到下,从前到后进行过滤。 匹配规则后,明确是阻止还是通过,数据包不会继续向下匹配。 在规则中没有明确判断处理结果的情况下,即不匹配当前的规则的情况下,继续向下匹配直到匹配默认的规则,得到最后的处理结果。 所以规则的顺序很重要。

    防火墙的默认规则是只有在所有规则都不匹配时才运行的规则。

    图文详解防火墙及NAT服务

    图文详解防火墙及NAT服务

    命令的一般操作选项:

    图文详解防火墙及NAT服务

    公共分组匹配参数:

    图文详解防火墙及NAT服务

    其他选项:

    图文详解防火墙及NAT服务

    图文详解防火墙及NAT服务

    操作示例:禁止SSH远程登录

    图文详解防火墙及NAT服务

    注:从命令行添加的防火墙命令只是暂时生效,系统重新启动无效。

    处理行动如下。

    图文详解防火墙及NAT服务

    命令格式图像:

    图文详解防火墙及NAT服务

    两个附加规则选项之间的区别:

    -A chain rule-specification :在指定规则链的末尾添加规则,使其成为最后一条规则。

    – I chain [ rule num ] rule-specification :如果未指定序号,则添加的规则将是对应链中的第一个规则。 如果指定了序列号,则成为该序列号上的规则,原本在该序列号中的规则向后移动1位。

    图文详解防火墙及NAT服务

    操作示例:禁止对本机进行ping (ping命令是ICMP协议,类型是“8”)

    图文详解防火墙及NAT服务

    四、企业案例

    1. 配置案例讲解

    生产环境配置防火墙主要有两种模式:参观公园和看电影。

    公园游览模式:默认随意出入,拒绝非法分子。 企业应用程序:企业配置互联网网关路由。

    看电影模式:默认不包括票,所以你可以付钱买票进入电影院。 企业应用程序:服务器防火墙。

    可见第二种模式更严格安全。 其本质区别在于防火墙的默认规则是允许还是拒绝。

    图文详解防火墙及NAT服务

    企业面试问题:定制链处理“syn”攻击

    图文详解防火墙及NAT服务

    2. 工作中如何维护防火墙

    在实际生产中,一般第一次添加规则是在命令行或脚本中进行的,一次保存为配置文件,之后的维护工作以该配置文件的修理为中心进行。

    图文详解防火墙及NAT服务

    3. 配置网关

    图文详解防火墙及NAT服务

    第一步:首先,作为网关的主机具备双网卡,除了能够连接到互联网等物理条件之外,还确保打开内核的传输功能。

    它还要求过滤器表中的“向前”链可以通过。

    图文详解防火墙及NAT服务

    第二步:确保已加载网关主机的相关模块。

    图文详解防火墙及NAT服务

    步骤3 :内部网服务器必须能够Ping网关主机的内外网卡。

    第4步:在网关主机上配置规则(两种方法)。

    图文详解防火墙及NAT服务

    至此,Linux网关主机的配置完成。

    另一个应用程序是将外部IP地址和端口映射到内部服务的地址和端口(与共享互联网的环境相同)。

    图文详解防火墙及NAT服务

    要求:

    图文详解防火墙及NAT服务

    图文详解防火墙及NAT服务

    企业应用场景:

    将访问外网IP和端口的请求映射到内部网某台服务器的地址和指定端口(企业内)。

    硬件防火墙将访问LVS/Nginx外网VIP和80端口的请求映射到IDC负载平衡服务器内部IP和指定端口(IDC房间操作)

    iptables在企业中的应用总结:

    Linux主机防火墙(表: Filter )

    最内部网共享网络的网关(表: NAT,链: POSTROUTING )

    从外部到内部的端口映射(表: NAT,链: PREROUTING )

    图文详解防火墙及NAT服务

    指定地址段。

    图文详解防火墙及NAT服务

    4. 端口映射

    图文详解防火墙及NAT服务

    连接跟踪表已满,开始丢包的解决办法:

    一、关闭防火墙。 简单粗暴,直接有效。

    二、加大防火墙跟踪表的尺寸,优化相应的系统参数

    谢谢大家耐心看完,如果有好的建议,欢迎评论区留言!

    1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!384324621@qq.com
    2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
    3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
    4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有★币奖励和额外收入!

    IO 源码网 » 技术分享:图文详解防火墙iptables与NAT服务

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    IO源码吧
    一个高级程序员模板开发平台

    发表评论

    • 104会员总数(位)
    • 11140资源总数(个)
    • 84本周发布(个)
    • 18 今日发布(个)
    • 449稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情