本篇要解決2個疑問:
防火牆的作用
防火牆的工作原理
一 防火牆作用(目前我使用的)
大體可分為兩種,網路位址轉換(net)和資料報過濾(filter)。
1.1 現網中常見的是多台伺服器共用乙個ip,那麼如何去區分這些共用乙個ip的伺服器呢?用的就是目的位址轉化功能。將訪問某個公網ip的某個埠,經過防火牆的作用後,**到內網的乙個ip+port上,實現訪問。
1.2 如果只有乙個公網ip(或其它可入乙太網的ip),又有多台裝置需要上網,就需要用到源位址轉化功能。用一台裝置(a)使用那個公網ip,並充當其它裝置的閘道器,其它裝置用內網ip。當要發往乙太網的資料走到裝置a時,裝置a改變該資料的源位址為公網ip,那麼資料就出去了。這就是路由器的實現策略。
2 資料報過濾: 對於一些惡意的攻擊,可以通過一些過濾規則去丟掉它;亦或是一些敏感的埠,可以丟棄掉訪問的資料;亦可以是限制住內網裝置訪問某些**等,諸如此類過濾。
二 防火牆的工作原理
防火牆是由 netfilter子系統 + iptables設定的規則構成。netfilter子系統在5個地方設定了監聽點,分別是prerouting、input、output、forward、postrouting,如下圖(引用了別人的圖,這圖講解得非常清晰):
prerouting:對應剛從網口進來的資料報
input:對應目的位址是本裝置的資料報
forward:對應目的位址是其它裝置的資料報,經過這裡只是做**功能
output:對應本裝置發出去的資料報
postrouting:對應要從網口發出去的包
netfilter子系統在此5處(術語叫鏈)設下監聽點,當資料到達其中乙個鏈時,netfilter會去查詢幾個表中是否有對該鏈進行設定的規則,有的話就去實踐這些規則。這幾個表就是filter表(實現包過濾)、nat表(實現網路位址轉換)、mangle表(實現包修改)、raw表(實現資料跟蹤),netfilter對這些個婊做了優先順序: raw > mangle > nat > filter,會先去處理raw對該鏈設定的規則,再者是mangle,然後是nat,最後是filter。
規則從**來?iptables 就是幹這個事的。iptables是使用者設定防火牆規則的乙個工具,用它可以對這4個表、5個鏈進行規則的設定。而真正應用這些規則的,是netfilter子系統。
以上是對linux防火牆作用及原理的講解,往後將圍繞著iptables規則的設定去展開。
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
linux防火牆新增埠並開閉防火牆
安裝 yum install firewalld 啟動 systemctl start firewalld 檢視狀態 systemctl status firewalld 禁用,禁止開機啟動 systemctl disable firewalld 開機啟用 systemctl enable fire...
Linux防火牆配置
重啟後生效 開啟 chkconfig iptables on 關閉 chkconfig iptables off 2 即時生效,重啟後失效 開啟 service iptables start 關閉 service iptables stop 需要說明的是對於linux下的其它服務都可以用以上命令執行...