电脑防火墙在哪里设置?防火墙的设置方法(iptables篇)
Firewall 防火墙,工作在网络或主机的边缘,对进出本网络或主机的数据包根据事先设置好的规则进行检查并且能够在数据包匹配到之后由预置的动作进行处理的组件的组合,有规则(符合条件,就有规则指定的动作进行处理);
主机防火墙:管理本主机;
网络防火墙:管理整个网络;
防火墙的分类:
1、包过滤型防火墙:工作在TCP/IP层,根据tcp首部或ip首部数据进行判断,安全性较
低,效率较高;
1、简单包过滤;
2、带状态检测的包过滤;
1)NEW状态;-建立连接;
2)ESTABLISHED状态;-建立连接并传输数据;
3)INVALID状态(无法识别的状态);
4)RELATED(相关联的状态);
2、应用层网关防火墙:工作在应用层,根据数据包传输的实际数据进行判断,安全性较高,效率较低;
防火墙工作在内核空间,需要在内核空间开口子去定义规则(只有管理员可以定义规则,命令是否正确等),在内核上开的口子称为Netfilter(网络过滤器);
地址转换功能:NAT 网络地址转换;
1)SNAT 源网络地址转换;在POSTROUTING上做转换;
连接跟踪;
2)DNAT目标地址转换;在PREROUTING上做转换;
mangle 数据包每经过一次路由减1然后将ip首部打开修改TTL值加1,让访问用户不知
道有防火墙;
raw----没多做解释;
filter过滤在INPUT,OUTPUT和FORWARD接口上;
nat地址转换在PREROUTING,POSTROUTING,OUTPUT接口上;
mangle撕裂在PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING接口上;
raw在PREOUTING和OUTPUT接口上;
优先级排序:raw--->mangle--->nat--->filter
iptables命令用法:
iptables [-t TABLE] COMMAND CHAIN [creteria] -j ACTION
-t {raw|mangle|nat|filter},默认filter
COMMAND的分类:
规则管理类:
-A 追加到最后一条(append);
-I # 插入第几条(insert);
-D # 表示删除第几条(delete);
-R # 表示替换某条规则;
链接管理类:
-F 清空(flush)链中规则,加链表示清空某条链;
-N 新建链(new),可以用-j跳转到这个链上;
-X 删除自己定义的空链;
-E 重命名(rename);
默认策略:
-P (policy);
清空计数器:
-Z (zero);
每条规则(包括默认策略)都有两个计算器;
1)被此规则匹配到的所有数据包的个数;
2)被此规则匹配到的所有数据包的大小之和;
查看类:
-L (list)列表的格式显示;
-L的子选项:-n (以纯数字的格式显示numeric);
-v 详细的信息(verbose),-vv或-vvv更详细;
-x 显示精确信息不做单位换算(exactly);
--line-numbers 规则显示行号;
匹配条件creteria:
基本匹配:
-s SOURCE:(IP,NETWORK)或加!表示取反(例:! -s NETWORK);(可以省略表示多有主机)
-d DESTIONIP(目标地址);
-p {tcp|udp|icmp};
-i INTERFACE 表示从哪个网卡流进来;(仅用于INPUT,FORWARD,POSTROUTING)
-o INTERFACE 表示从哪个网卡流出去;(仅用于OUTPUT,FORWARD,PRETROUTING)
扩展匹配:指的是调用iptables的模块,以便扩展iptables的匹配功能;
隐含扩展
-p tcp
--sport PORT
--dport PORT
--tcp-flags 检查tcp的标志位;
只检查ACK,SYN,RST,FIN
SYN的简写--syn
-p udp
--sport PORT
--dport PORT
-p icmp
--icmp-type
ping命令的TYPE:
echo-request请求用8代替;
echo-reply 回应用0代替;
3----自己查看TCP/IP详解书;
显示扩展(必须用-m指定检测状态);
-m state --state 检测状态
-m multiport这个模块匹配一组源或目标端口,可以指定多达15个端口;
--source-ports 22,53,80
--destination-ports 22,53,80
--ports 22,53,80
-m iprange(指定ip范围)
--src-range ip-ip
--dst-range ip-ip
-m connlimit(并发连接限定)
--connlimit-above # (超过#个)
-m limit
--limit rate 限定速率;
--limit-burst number 限定峰值;
-m string 字符串匹配;
--algo bm|kmp(算法);
--string “STRING”
-m time 时间限制;
--timestart value(10:00);
--timestop value
--days lsitofday
--datestart date
--datestop date
-j ACTION(ACTION的选项);
ACCEPT 允许;
DROP 拒绝(悄悄的丢弃);
REJECT 拒绝(直接拒绝);
SNAT 源地址转换;
DNAT 目标地址转换;
REDIRECT 重定向端口;
RETURN 返回INPUT链;
如何开放FTP服务:
主动模式下:
tcp 20(数据),21(命令);
被动模式下:
tcp 21,>1023的端口;
上述需要将RELATED(相关联的状态)打开;
modprobe ip_nat_ftp
lsmod | grep tcp
redhat中iptables的脚本文件为/etc/rc.d/init.d/iptables
service iptables start 启用保存的规则;
service iptables stop 清空链;
/etc/sysconfig/iptables 保存规则的文件;
/etc/sysconfig/iptables-config 向iptables脚本提供配置文件的文件;
将规则保存到配置文件中的方法:
1)service iptables save 将规则保存到配置文件中的命令;
2)iptables-save > /etc/sysconfig/iptables-test (将生效的规则保存至自己指定文件中);
iptables-restore< /etc/sysconfig/iptables-test (从另外自己指定的规则文件启用规则);
地址转换:
源地址转换:
-j SNAT --to-source 192.168.100.1 指定源地址转换成其它地址;
-j MASQUERADE(地址伪装,比SNAT占用更多的资源,当ADSL拨号上网做转换时比较常用);
目标地址转换:一般要限定协议和端口;
-j DNAT --to-destination 192.168.100.2
PNAT端口转换:
-j DNAT --to-destination 192.168.100.2[:port]请求的和转发的相同可省略,不相
同不省略;
-j LOG 转发日志;
--log-prefix “DNAT for web”可以与-m limit --limit 3/minute --limit-burst 3合用;
利用iptables的recent模块来抵御DOS攻击;(以拒绝服务的方式实现,很有限)
-m recent
--set --name SSH
--update --seconds 300 --hitcount 3
利用iptables的recent模块来抵御DOS攻击示例;
ssh: 远程连接,
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
1.利用connlimit模块将单IP的并发设置为3,会误杀使用NAT上网的用户,可以根据实际情况增大该值;
2.利用recent和state模块限制单IP在300s内只能与本机建立3个新连接,被限制一分钟后即可恢复访问;
下面对最后两句做一个说明:
1.第一句是记录访问tcp 22端口的新连接,记录名称为SSH;
--set 记录数据包的来源IP,如果IP已经存在将更新已经存在的条目;
2.第三句是指SSH记录中的IP,300s内发起超过3次连接则拒绝此IP的连接;
--update 是指每次建立连接都更新列表;
--seconds必须与--rcheck或者--update同时使用;
--hitcount必须与--rcheck或者--update同时使用;
3.iptables的记录:/proc/net/ipt_recent/SSH
摘自 凌驾于linux之上博客
心脏出血漏洞的相关问题及解答
小编带来了openssl安全漏洞介绍,想知道openssl心脏出血漏洞防治方法是什么吗?近日,openssl心脏出血漏洞被曝光,该漏洞影响范围甚广,大家可以通过下文了解详细信息。--什么是SSL?SSL是一种流行的加密技术,可以
详情2018-01-02 17:24:41责编:llp 来源:驱动管家linux防火墙怎么设置? 防火墙在linux系统上的应用
iptables 这个指令, 如同以下用 man 查询所见, 它用来过滤封包和做NAT Network Address Translation(网路位址转译), 这个指令的应用很多, 可以做到很多网路上的应用 iptables - administration tool
详情2018-01-04 08:58:02责编:llp 来源:驱动管家帮你识别特洛伊木马程序 特洛伊木马程序有哪些特性?
什么是特洛伊木马木马,其实质只是一个网络客户 服务程序。网络客户 服务模式的原理是一台主机提供服务 (服务器),另一台主机接受服务 (客户机)。作为服务器的主机一般会打开一个默认的端口开进行监听(Listen)
详情2018-01-04 11:19:52责编:llp 来源:驱动管家请谨慎打开javaScript文件,里面可能携带恶意代码
JavaScript邮件附件可能携带恶意代码,一起来看看是怎么回事?
详情2018-01-04 19:32:53责编:llp 来源:驱动管家手机软件排行榜是真的吗?手机软件排行是恶意刷榜?
随着移动端应用市场数量爆炸式增长,App推广和曝光率也越来越难。哪里有需求哪里就有生财之道,自然,App刷榜也就形成了一条产业链,它能够在短期内大幅提高下载量和用户量,进而提高应用的曝光率。当你打开应用
详情2018-01-03 15:50:38责编:llp 来源:驱动管家手机使用技巧 智能手机怎么用?
1。用智能手机工作室1 1版备份联系人、短信、通话记录等, 下载刷机相关文件(刷机工具, ROM, Radio, 格式化ExtROM工具Repart_DOC exe), 同步软件ActiveSync要用最新版4 0以上的。2。确认下载的ROM文件(n
详情2018-01-04 11:50:01责编:llp 来源:驱动管家面向目标ip发起ddos攻击的木马工具
DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的,词文章主要是针对那些对一种被大量肉鸡使用,面向目标IP发起DDoS攻击的木马工具。本篇文章是对一种被大量肉鸡使用,面向目标IP发起DDoS攻击
详情2018-01-04 11:13:04责编:llp 来源:驱动管家大蜘蛛杀毒软件怎么卸载?大蜘蛛杀毒软件的卸载方法
Dr Web大蜘蛛反病毒2008专业版,在软件程序设计的又如何呢,我们今天来检查一下它的卸载过程。
详情2018-01-04 10:30:53责编:llp 来源:驱动管家怎么保护dns服务器?dns服务器的十种保护方法
本文收集总结了几点保护DNS服务器的有效方法,感兴趣的小伙伴们可以参考一下。
详情2018-01-04 17:09:39责编:llp 来源:驱动管家局域网共享文件的软件:大势至局域网共享文件系统
大势至局域网共享文件权限管理系统专门用于管理和监控服务器共享文件,可以给不同用户、不同文件设置不同访问权限,包括新建、复制、修改、删除、剪切、重命名、另存、打印等,还可以详细记录用户对共享文件的操
详情2018-01-05 12:26:52责编:llp 来源:驱动管家
- 电脑文件夹需要加密怎么办?电脑文件夹加密的方法是什么?
- 怎么关闭sgtool.exe?关闭sgtool.exe的方法
- lcd显示器一不小心都会造成这些坏点
- 关于笔记本cpu天梯图你了解了多少呢?
- 电脑想要彻底关闭索引服务怎么操作
- 小米4刷win10怎么做?小米4刷win10的步骤
- 电脑用久了特别卡是怎么回事?电脑卡怎么处理?
- 局域网共享文件的软件:大势至局域网共享文件系统
- 电脑无法格式化硬盘应该怎么解决呢
- theworld.exe文件损坏的解决方案是什么?
- 最简单的安装惠普1020打印机驱动的方法
- 电脑机箱有一个外置光驱它到底是什么
- win10系统电脑截图快捷键有什么办法可以保存在电脑的桌面上
- 怎么判断自己的手机需要刷机?三星i9100如何刷机?
- 系统高级选项中的安全模式是干什么用的?电脑进入安全模式的原因
- shell脚本怎么监控mysol服务器?shell脚本监控mysol服务器的步骤
- ttl是什么意思?ttl值设置大小的作用
- 安装win7系统之前先来了解一下它的配置要求
- 最快速的SSD固态硬盘是什么意思 ssd固态硬盘的好处?
- 关于cpu水冷散热器的双排和单排你知道是什么意思吗