安全防护(iptables)
安全设备分类
基础类防火墙:根据数据包报文的结构特性进行对应处理的模块;
IPS:入侵防御系统,拦截数据报文
eq:防毒墙
IDS:入侵检测系统,事后分析检测
eq:跳板机,堡垒机
主动类防火墙
eq:
waf(web服务防护)
daf(数据库防护)
防火墙:工作在网络或主机边缘处,对进出的报文根据规则进行处理的模块或机制。
结构:
软件:360,iptables
硬件:网御,深信服,360网擎
工作模式:
包过滤防火墙:MAC,IP,port,status
应用层防火墙:hostname,URL
工作层级:
用户态:iptables,firewalld
内核态:netfilter
规则:默认规则,自定义规则
顺序:
规则顺序:自上而下,依次匹配,匹配即停止
书写顺序:有相关,小得放前;无相关,打的放前
表的顺序:raw>mangle>nat>filter
链的顺序:
入站:PREROUTING>INPUT
出站:OUTPUT>POSTROUTING
转发:PREROUTING>FORWORD>POSTROUTING
防火墙的规则:
语法构成:
iptables -t 表名 选项 链名 条件 -j 控制类型
注意事项:不指定表名时,默认filter表
不指定链名时,默认指表内所有链
除非设置默认策略,否则必须指定匹配条件
选项,链名,控制类型使用大写字母,其余均为小写
防护墙链表结构.png
数据匹配流程图.png
表:承载链(根据防火墙对数据的处理方式)
raw:路由跟踪(确定是否对数据包进行数据跟踪)
mangle:标记,修改(为数据包设置标记)
nat:路由转换(修改数据包中的源、目标IP地址或端口)
SNAT:利用单独公网IP给内网用户提供访问公网的能力
DANT:端口映射
filter:数据报文过滤(确定是否放行数据包)
选项:
iptables选项.png
链名:
PREROUTING:路由前SNAT
POSTROUTING:路由后DNAT
FORWORD:处理转发请求
INPUT:处理入站请求
OUTPUT:处理出站请求
条件:
iptables条件.png
控制类型:
ACCEPT:运行通过
DROP:直接丢弃,不给予任何回复
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志信息,然后传递给下一条规则继续匹配
SNAT:修改数据包源地址
DNAT:修改数据包目的地址
REDIRECT:重定向
设置iptables开机启动或关闭
chkconfig iptables on
chkconfig iptables stop
即使启动或关闭
service iptables start
service iptables stop
保存防火墙规则
sbin/service iptables save
#保存到/etc/sysconfig/iptables 文件中的规则会在服务启动或重新启动时被应用