netfilter/iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan、伺服器或連線lan和網際網路的**伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。
雖然netfilter/iptablesip資訊包過濾系統被稱為單個實體,但它實際上由兩個元件netfilter和iptables組成。netfilter元件也稱為核心空間(kernelspace),是核心的一部分,由一些資訊包過濾組成,這些表包含核心用來控制資訊包過濾處理的規則集。iptables元件是一種工具,也稱為使用者空間(userspace),它使插入、修改和除去資訊包過濾表中的規則變得容易。
iptables流程圖
netfilter/iptablesip資訊包過濾系統是一種功能強大的工具,可以用於新增、編輯和除去規則,這些規則是在做資訊包過濾決定時,防火牆所遵循和組成的規則。這些規則儲存在專用的資訊包過濾表中,而這些表整合在linux核心中。在資訊包過濾表中,規則被分組放在我們所謂的鏈(chain)中。
iptables四張表五條鏈
filter:表用來過濾資料
dnat
snat
masquerade
mangle:使用mangle匹配來改變包的特性
iptables語法結構
iptables基本應用
基於ip位址
基於服務埠號
iptables狀態機制
netfilter/iptables的最大優點是它可以配置有狀態的防火牆。有狀態的防火牆能夠制定並記住為傳送或接受資訊包所建立的連線的狀態。防火牆可以從資訊包的鏈結跟蹤狀態獲得該訊息。在決定新的資訊包過濾時,防火牆所使用的這些狀態資訊可以增加其效率和速度。
stata基於鏈結的狀態
這裡有四種有效狀態,名稱分別為established、invalid、new和related。
retablished指出該資訊包屬於已建立的連線,該鏈結一直用於傳送和接收資訊包並且完全有效。
related表示該資訊包正在啟動新連線,以及它與已建立的鏈結相關聯。
invalid狀態指出該資訊包與任何已知的流或連線都不相關聯,它可能包含錯誤的資料或頭。
iptables nat簡介
網路位址轉換(nat,network address translation)屬接入廣域網(wan)技術,是一種將私有(保留)位址轉化為合法ip位址的轉換技術,它被廣泛應用於各種型別internet接入方式和各種型別的網路中。原因很簡單,nat不僅完美地解決了ip位址不足的問題,而且還能夠有效地避免來自網路外部的攻擊,隱藏並保護網路內部的計算機。
firewalled基礎
firewalld是centos7的一大特性,最大的好處有兩個:支援動態更新,不用重啟服務;另外firewalled增加了「zone」的概念。
firewalld將所有incoming流量劃分成zone,每個zone都具有自己的一套規則。
firewalld在判斷incoming流量使用那乙個zone,使用以下規則:
如果incoming packets的源位址與zone的某個源規則相匹配,則使用該區域
如果incoming packets 的介面與zone的filter設定相匹配,則使用該區域
如果使用default zone。如果沒有配置,default zone為public
trusted
允許所有incoming/outgoing taiffic
home
除非與outgoing taiffic相關,或與ssh,mdns,ipp-client,samba-client,dhcpv6-client這些預定義服務匹配,否則拒絕incoming taiffic。
internal
除非與outgoing taiffic相關,或與ssh,mdns,ipp-client,samba-client,dhcpv6-client這些預定義的服務匹配,否則拒絕incoming taiffic。(開始時與home zone相同)
work
除非有outgoing taiffic相關,或與ssh,ipp-client,dhcpv6-client這些預定義服務相匹配,否則拒絕incoming taiffic
public
除非與outgoing taiffic相關,或與ssh,dhcpv6-client這些預定義服務相匹配,否則拒絕incoming taiffic。(新新增的網路介面預設為zone)
external
除非與outgoing taiffic相關,或與ssh預定義服務匹配,否則拒絕incoming taiffic。將通過此zone**的ipv4 outgoing taiffic 的源位址偽裝成outgoing網路介面的ipv4位址。
dmz
除非與outgoing taiffic相關,或與ssh預定義服務匹配,否則拒絕incoming taiffic。
block
除非與outgoing taiffic先關,否則拒絕所有incoming taiffic。
drop
除非與outgoing taiffic相關,否則丟棄所有incoming taiffic。(不產生包含icmp錯誤的響應)
firewalld配置
使用三種方式來管理firewalld
使用命令列工具firewalld-cmd
使用圖形工具firewalld-config
使用/etc/firewalld/中的配置檔案(不建議直接編輯配置檔案,但使用配置管理工具時,配置配置會很有用的)
使用firewalld-cmd,幾乎所有命令都對當前狀態生效(觸發指定---permanent),如果沒有使用----zone,使用預設zone。
配置防火牆時,通常會使用 --permanent配置所有更改,然後使用firewalld-充滿電 --reload啟用這些更改。測試可能有危險的新規則時,可以省略 -permanent並新增-題麼嘔吐=一定時間後自動刪除某個規則,來方式意外鎖定某個系統。
firewalld 富規則
firewalld 的rich rule提供了一種表達性語言,通過這種語言可以表達firewalld基本語法中未涵蓋的自定義防火牆規則。例如。僅允許某個特定ip(而非通過某個zone路由的所有ip位址)連線到服務。
firewalld偽裝和埠**
系統安全管理
1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...
系統安全加固
系統安全加固 1.密碼策略 修改系統的密碼策略 1 經常修改密碼 2 使用一些特殊的字元和密碼的長度增加 密碼的難度 3 不要隨便告訴他人密碼 2.許可權 ugo 鎖定系統中不必要的系統使用者和組 鎖定下列使用者,鎖定之前備份 etc passwd 和 etc shadow 檔案 禁用無關的組 禁止...
系統安全方案
一 md5加密使用者密碼 本系統使用者密碼採用安全性非常高md5加密演算法,它被廣泛應用於檔案驗證,銀行密碼加密等領域,由於這種加密的不可逆性,在使用10位以上大小寫字母加數字組成的隨機密碼時,幾乎沒有破解的可能性。注 建議使用簡訊驗證登入替代使用者名稱密碼登入。二 cookies加密 本系統儲存c...