iptables:防火墙以及网络协议基本原理

以马内利 Linux干货

一、 Linux 网络安全模型 

    1. 防火墙: 工作在主机或者网络边缘,对进出报文使用实现定义的规则进行检测,并且由匹配的规则进行处理的一组硬件或者软件。也可能两者结合。 

        1) 通常使用的防火墙设备         

                硬件防火墙:专门的一台防火墙硬件设备,工作在整个网络入口处。 

                软件防火墙:工作在主机中TCP/IP协议站上面的软件(工作在内核中)。

        2) 防火墙工作位置 

                网络层:工作在网络层,类似路由器,主要拆除物理层和链路层协议,检测IP/TCP/UDP/ICMP网络层协和传输层协议首部,来进行规则定制

                应用层:工作在应用层,拆除网络层和传输层首部,查看应用层内容。

    2. IDS(Intrusion-detection system) 入侵检测系统

            HIDS(主机入侵检测系统):OSSEC

            NISC(网络入侵检测系统):snort(可以作为网络嗅探器) 

            Filesystem: 文件系统级别检测入侵检测

    3. IPS(入侵防御系统): IDS + Firewall两者联动
    4. honeypot:蜜罐系统,用于诱捕黑客,获取证据。 

    5. 系统安全漏洞漏洞扫描工具,进行系统安全评估:Nessus, nmap 等  

    6. rootkit:直接在系统层植入后门,将无法防护,只能重新安装系统 。 

二、 iptables工作机制 

    1. iptables/netfilter:网络层防火墙,可以链接追踪状态(状态检测), 是一个规则编写工具。规则通过内核中netfilter框架产生作用。  

    2. 设置iptables防护的五个位置(hook_function 位置)以及允许规则(五链四表): 

iptables_model.png

            1) PREROUTING: 主机外报文进入位置,允许的表mangle, nat(目标地址转换,把本机地址转换为真正的目标机地址,通常指响应报文) 

            2) INPUT:报文进入本机用户空间位置,允许的表filter, mangle 

            3) OUTPUT:报文从本机用户空间出去的位置,允许filter, mangle, nat

            4) FOWARD:报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去,允许filter, mangle 

            5) POSTROUTING:报文经过路由被转发出去,允许mangle,nat(源地址转换,把原始地址转换为转发主机出口网卡地址)

            四表: filter, nat , mangle, raw 

            五链:PREROUNTING, INPUT, FORWARD, OUTPUT, POSTROUTING 

    3. 表与链的对应关系 

            1) filter: INPUT, FORWARD, OUTPUT 

            2) nat: PREROUTING, OUTPUT, POSTROUTING 

            3) mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 

            4) raw: 

iptables_chain_table.png

    4. 规则:匹配到后的处理机制 

            1) 通: 默认为堵, 只对规则匹配到的进行开放 

            2) 堵: 默认为同, 只对规则匹配到的堵

    5. 网络层和传输层协议检查内容

            1) IP: 

                    SIP: 源IP

                    DIP: 目标IP

            2) TCP: 

                    SPORT: 源端口

                    DPORT:目标端口 

                    Flags:标识位

            3) ICMP: ICMP-TYPE (ping 命令)

      6. 关于TCP协议标识位以及有限状态机图解

tcp_stat.png

TCP协议通信时,伴随着标识位的相互传输,以及在各个状态之间的转换。这些标识位将成为规则检测的内容。 

    7. 扩展检测机制: 

        1)time(根据时间), 

        2)应用层协议(如qq)

        3)string  敏感字符

        4)state(connection-tracking) 连接追踪

    8. 匹配到的报文处理机制: 

        1) DROP: 默默的丢弃

        2) REJECT:拒绝,不建议使用,容易拉仇恨 

        3) ACCEPT:接受

        4) SNAT: 源地址转换 

        5) DNAT:目标地址转换

        6) REDIRECT: 端口映射

        7) LOG:日志

        8) RETURN: 返回

具体iptables实现的功能和操作,详见下一篇博客。。。。

        

原创文章,作者:以马内利,如若转载,请注明出处:http://www.178linux.com/6507

(1)
以马内利以马内利
2
上一篇 2015-07-24 21:57
下一篇 2015-07-26 08:59

相关推荐

  • SSH原理与运用:远程登录

    如果本地用户名与远程用户名一致,登录时可以省略用户名。 1 $ ssh host SSH的默认端口是22,也就是说,你的登录请求会送进远程主机的22端口。使用p参数,可以修改这个端口。 1 $ ssh –p 2222 user@host 上面这条命令表示,ssh直接连接远程主机的2222端口。 三、中间人攻击 SSH之所以能够保证安全,原因在于它…

    Linux干货 2017-08-14
  • 磁盘管理 Linux干货

    磁盘管理

    磁盘管理 本文将按顺序以实例演示磁盘管理的所有操作,让我们开始吧! 一,磁盘的添加 ① 先来查看linux系统总共有几个磁盘,由图可知是两个,分别是sda,sdb。我们再加一个,按照磁盘命名顺序,应是sdc,他们都在/dev目录下。 补充: 1,磁盘命名规则: 不同磁盘,按照a-z依次标识,如sda,sdb,sdc 同一磁盘的不同分区,按照1,2,&#823…

    2017-08-19

  • Linuxd的发展史

    Linux发展史 Linux诞生:   1991年的八月,一个芬兰的名为Linus Torvalds的大学生为自己开始写作一个类似minix,可运行在386上的操作系统寻找志同道合的合作伙伴。FREAX系统后改名Linux。  Linux是什么:   按照Linux开发者的说法,Linux是一个遵循POSIX(注一)标作系统,标…

    Linux干货 2016-10-14

  • 文件查找与解压缩

    文件查找 脚本文件名的查询 which(寻找执行文件) which [-a] command -a :将所有由PATH目录中可以找到的命令均列出,而不只是第一个被找到的命令名称 文件名的查找 文件查找:实时查找:遍历所有文件进行条件匹配;(find)非实时查找:根据索引查找;(whereis、locate) whereis whereis [-bmsu] […

    Linux干货 2017-04-08

  • SHELL脚本编程之变量的种类

    变量 在进行脚本编程的时候,经常会使用到不同类型的变量,根据变量的生效范围,可大致分为以下的几类: 本地变量:生效范围为当前shell进程,对当前shell之外的其他shell进程,包括当前shell进程的子shell进程都是无效的,它的作用域就是当前shell进程 环境变量:生效范围是当前shell进程及其子进程 局部变量:生效范围是当前shell进程中某…

    Linux干货 2016-08-12

  • 进程查看及管理

        在Linux系统中,触发任意一个事件时,系统都会将它定义为一个进程,并且给予这个进程一个ID,称为PID,同时依据触发这个进程与用户相关的属性关系,给予这个PID一组有效的权限设置。 进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。…

    Linux干货 2016-11-27

评论列表(2条)

  • transpart
    transpart 2015-09-02 14:02

    说一下个人的读后感:
    1、标题感觉不够准确:网络协议基本原理好像没有怎么解释
    2、Linux的网络安全模型包括honeypot、系统安全漏洞漏洞扫描工具、rootkit吗?
    3、五链四表的图画的很好,以前对iptables了解的很不深入,感觉理解起来有些费劲儿,尤其是五链四表的对应关系,简单明了,赞!对应五链的解释稍显简单,不易理解。
    4、另外规则里面提到的默认规则,其实默认规则时可以设置的。
    5、TCP的三次握手,图画的不是特别清楚
    6、另外可能由于写的比较仓促,一些明显的别字、个别句子不通,无法理解

    • 以马内利
      以马内利 2015-09-03 10:51

      @transpart哈哈,多谢提的意见,很中肯。恩确实,这个只能说是一个学习笔记,谈不上什么正经大作。
      以后多多努力啦。
      居然你能耐心看完还给出建议,让我真的很感激
      三次握手主要是想突出标识位的变化,其他太复杂了就没有画进去。
      没有什么太多时间写,写完也没看直接递交了。错字确实多

电话咨询
在线咨询