防火墙基础知识--TCP Wrappers和IPtables两种机制

  1. 认识防火墙

    1. 概念
    2. 作用
    3. Linux上防火墙类别
      1. 封包过滤机制Netfilter
      2. 程序管控机制TCP Wrappers
    4. 一般网络布线
    5. 使用能力限制
  2. TCP Wrappers程序管控
    1. 概念:
      简单来说,TCP wrappers就是透过/etc/hosts.allow/etc/hosts.deny这两个文件来管理,但并非所有软件都可以。
    2. 支持的服务
      1. super daemon (xinetd)管理的服务
        chkconfig --list 显示内容下的xinetd based services:
      2. 支持libwrap.so模块的服务
        由于支持tcp wrappers的服务必定包含libwrap这个动态库,所以可以通过ldd来观察:
        ldd `which sshd` | grep libwrap
        libwrap.so.0 => /lib/libwrap.so.0 (0x00145000)
      3. /etc/hosts.{allow|deny}的设定方式
        1. 语法结构
          <service(program_name)>:<IP,domain,hostname>
          例如rsync:192.168.1.0/255.255.255.0
        2. 规则优先顺序
          1. /etc/hosts.allow
          2. /etc/hosts.deny
          3. 以上都不符合,则放行
  3. 封包过滤软件:iptables
    Kernel2.4和2.6以上使用iptables这个机制,PS:uname -r查看核心版本

    1. 比对与分析顺序
      rule1
      rule2
      policy预设封包动作
    2. table和chain
      1. table(表):filter(过滤器)、nat()、mangle()

        1. filter:INPUT、OUTPUT、FORWARD
        2. nat:PREROUTING、POSTROUTING、OUTPUT
        3. mangle:多个
      2. chain(链)
        1. INPUT:主要负责制定想要进入Linux主机的封包的规则
        2. OUTPUT
        3. FORWARD
    3. 语法结构
      1. 规则的查看
        iptables [-t tables] [-L] [-nv]

        1. -t
        2. -L:列出table的规则内容
        3. -n
        4. -v
      2. iptables内容构成

        target    prot    opt    source    destination

        1. target
        2. prot
        3. opt
        4. source
        5. destination
      3. 规则的清除
        iptables [-t tables] [-FXZ]

        1. -F:清除所有已存在的规则(不是永久改变,除非写入配置文件)
        2. -X:杀掉所有自定义
        3. -Z:将所有chain统计归零
      4. 定义预设封包动作policy
        policy:当你的封包不在设定的规则之内时,则该封包的通过与否,是以Policy的设定为准即最后一条规则)
        iptables [-t tables] -P [chain] [ACCEPT,DROP]

        1. ACCEPT
        2. DROP
      5. 封包的比对设定
        用法:iptables [-AI chain] [-io 网络接口] [-p 协议] [-s 源IP] [-d 目标IP] -j [ACCEPT|DROP|REJECT|LOG]
        例子:
        iptables -I INPUT -i eth0 -d --dport 22 -j DROP    #禁止远程主机SSH连接 
        如果没有指定的项目,则表示该项目完全接受

        1. -A:新增新规则
        2. -I:插入新规则
        3. -i:入口网络接口,需与INPUT链配合使用
        4. -o:出口网络接口
        5. -p:设定此规则适用那种协议,主要有tcp,udp,icmp,all
        6. -s
        7. -d
        8. -j
        9. -p [tcp|udp] --sport
        10. -p [tcp|udp] --dport
      6. iptables外挂模块
        用法:-m [state|mac] --state | --mac
        例子:
        iptables -A INPUT -m state --state RELATED -j ACCEPT
        iptables -I INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff

        1. --state:一些封包的状态
          INVALID
          ESTABLISHED
          NEW
          RELATED
        2. --mac:根据mac地址设定规则
      7. icmp封包规则的比对:针对是否响应ping
        用法:-m icmp --icmp-type

        1. icmp-type对应

          0 3 4 8 11 12
          Echo Reply 不可达 Source quench Echo request TTL=0 坏包
        2. 禁止远程主机ping包
          iptables -I INPUT -p icmp --icmp-type 8 -j DROP    #不接受echo request
          或者
          iptables -I OUTPUT -p icmp --icmp-type 0 -j DROP    #不发出echo reply
      8. 写入防火墙规则配置文件
        配置文件/etc/sysconfig/iptables
        /etc/init.d/iptables save    #将防火墙规则写入到/etc/sysconfig/iptables
        #iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
    4. IPv4的核心管理功能:/proc/sys/net/ipv4/*
时间: 2024-10-17 17:51:09

防火墙基础知识--TCP Wrappers和IPtables两种机制的相关文章

Linux防火墙基础知识及配置

Linux防火墙基础知识 Linux的防火墙正确的来说并不算是防火墙,只是一种防火墙的功能体现.我们现在来讲解下Linux的这个防火墙功能的详细解释. Linux的防火墙是由iptables与netfilter两个程序组成的,而iptables是一个单独的程序,netfilter是集成到内核中的一个程序,两个程序合作才能拥有完整的防火墙功能. Iptables的功能是向netfiler提供规则,netfilter则是将规则执行起来. Linux防火墙还分为主机防火墙与网络防火墙. 主机防火墙:工

Python -- 值转换为字符串的两种机制

可以通过以下两个函数来使用这两种机制:一是通过str函数,它会把值转换为合理形式的字符串,以便用户可以理解:而repr会创建一个字符串,它以合法的Python表达式的形式来表示值.下面是一些例子: >>> print repr("Hello, world!") 'Hello, world!' >>> print repr(10000L) 10000L >>> print str("Hello, world!")

防火墙基础知识

防火墙概念 隔离功能,工作在网络或主机边缘,对进出网络或主机的 数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一 组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允 许访问的策略 工作特性(防火墙默认放行两种类型的数据包): 1.企业内网中的主机向外网发送的请求数据包 2.外网主机对内网主机的请求进行响应的数据包 防火墙种类 主机防火墙 网络层防火墙 通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议 状态等因素,或他们的组合来确定是否允许该数

绿盟防火墙基础知识

1.定义接口类型 接口:指网络物理硬件接口的逻辑对象,拥有配置网络地址并进行网络通讯的能力. 接口的模式 :  全双工  半双工 以及 auto  . 绿盟防火墙的默认接口模式为 auto . 子接口:信息流进出安全区的开口 (安全区域的类型为type 3 ,能够配置不同网段的地址) 即一个物理接口,可以分为多个子接口 (类似VLAN的划分模式) 2.绿盟防火墙的5种工作模式 1.透明(layer2)--配置在同一种安全区的多个接口处于二层交换工作模式. 2.路由(layer3)--配置在同一种

JavaWeb前置知识 : 动态和静态的区别、两种架构、常见状态码

JavaWeb程序设计(一) : 前置知识 1.动态网页与静态网页的区别: a.不要和是否有"动感"混为一谈. b.是否随着时间.地点.用户操作的改变而改变 (例如 : 在百度上搜索某个城市的房价) c.动态网页需要用到 服务端脚本语言(eg : JSP) 2.架构: 1.B/S (浏览器/服务端) Eg: 网页版的淘宝 2.C/S (客户端/服务端) Eg: 手机端的淘宝.QQ 3.两种架构的利弊: C/S : 优点:响应速度快,客户端界面也较为丰富. 缺点:不便于维护更新 B/S

PE知识复习之PE的两种状态

一丶熟悉PE的整体结构 从下面依次网上看.可以得出PE结构 其中DOS头有DOS头结构 也就是 IMAGE_DOS_HEADER 关于结构体的各项属性.前边已经写过了.本系列博客就是加深PE印象.理解复杂的原理. IMAGE_DOS_HEADER 大小 64个字节    十六进制 0x40字节 IMAGE_FILE_HEADER 大小 20个字节     十六进制 0x14字节 IAMGE_OPTIONAL_HEADER 224个字节 十六进制  0xE0 IMAGE_SECTION_HEADE

25Spring_事务管理的两种机制

一共有两种事务管理机制:编程式事务管理和声明式事务管理. 1.编程式事务管理企业已经不用了. 2.我们主要讲的是声明式事务管理.声明式事务管理 ,无需要修改原来代码,只需要配置,为目标代码添加事务管理 , AOP底层实现 --- 企业推荐 下面写一个案例:通过Spring声明式事务管理.实现转账案例. 第一步:建表: 建表语句如下:account中有两个账户(aaa和bbb) CREATE TABLE `account` ( `id` int(11) NOT NULL AUTO_INCREMEN

【学习&amp;理解】基于TSS和基于内核栈两种机制的进程切换

在Linux0.11中,进程的切换是基于intel提供的TSS机制的,要从一个进程切换到别的进程,就是切换TSS这个结构.但是,这样的切换方式效率太低,所以后来Linux和Windows都改成采用基于内核栈来切换这种方式.由于TSS机制比较简单,所以大部分精力用于讲解基于内核栈机制. 以下的基于内核栈方式是通过修改Linux0.11的基于TSS方式实现的. TSS机制 以下是从网上找到的TSS机制切换的流程图: 就这张图来讲解,TR(task register)是用于在GDT中索引当前任务的TS

Redis RDB、 AOF 两种机制

二.RDB机制的优势和劣势: RDB存在哪些优势呢? 1). 一旦采用该方式,那么你的整个Redis数据库将只包含一个文件,这对于文件备份而言是非常完美的.比如,你可能打算每个小时归档一次最近24小时的数据,同时还要每天归档一次最近30天的数据.通过这样的备份策略,一旦系统出现灾难性故障,我们可以非常容易的进行恢复. 2). 对于灾难恢复而言,RDB是非常不错的选择.因为我们可以非常轻松的将一个单独的文件压缩后再转移到其它存储介质上. 3). 性能最大化.对于Redis的服务进程而言,在开始持久