2. 程式人生 > >認識防火牆與NAT服務

認識防火牆與NAT服務

阿新 發佈:2019-02-02

防火牆是用來保護網路安全的,這個大家都知道,但是具體它是怎麼樣保護的呢?

首先,要從防火牆的分類說起。
根據保護目標的不同,防火牆可以分為用來保護一塊區域的和用來保護單一主機的。
在保護單一主機方面,包括通過資料包過濾來保護的Netfilter和通過監控服務來保護的TCP Wrapper。
在保護一塊區域方面,包括通過資料包過濾來保護的Netfilter和專用的Proxy Server ,代理伺服器。

那麼,防火牆是怎麼實行保護的呢?
防火牆具有自己的“規則”,通過這些規則來篩選網路的訊息,決定是否放行這些訊息對防火牆內的訪問,這些規則包括對MAC、IP、埠、程式等的篩選,例如,我們知道了某個IP段是黑客攻擊的高發段,就可以設定防火牆對拒絕放行來自這些IP的資料,從而達到保護系統的目的。
所以,防火牆是根據報頭資料來對訊息進行篩選的,這也就是說,它並不能夠識別資料包內的惡意檔案,所以一些病毒、木馬之類的攻擊並不能靠防火牆來保護,除非他們的來源是已知的。

這裡簡單介紹一下TCP Wrapper和Proxy Server,因為我看的書也沒有詳細講這兩個。
TCP Wrapper通過監控客戶端想要連結的程式檔名,然後將客戶端的IP與監控規則比對以決定是否放行的方法來進行保護的,其監控規則由/etc裡的hosts.allow和hosts.deny來指定,比對順序是先比對allow,再比對deny,而對於沒有規定的,則直接予以放行。

與其他兩個不同,Proxy Server其實是一個實體的伺服器,它是在子網和外網中的一道屏障,所有子網內的服務請求都是由Proxy Server代理的,外部網路無法看到子網的情況,如果外部網路要攻擊子網內的主機,就必須先攻破Proxy Server。

接著就是Netfilter了,2.6核心版本之後的Linux都是採用iptables這個軟體來提供Netfilter功能。
iptable的功能除了提供資料包過濾之外,還會提供NAT(Network Address Translation,網路地址轉換)功能,後面會一起講,所以先介紹NAT。

簡單來說,NAT是內部網路的一種IP分享器,實現Private IP和Public IP的轉換。Private IP就是我們常見的區域網的192.198.xxx.xxx,而Public IP就是能被Internet上的伺服器識別的IP。
舉個例子,現在你家裡有3臺電腦,但是你只開通了一條網線,只申請到一個Public IP 171.68.1.1,那麼怎麼讓3臺電腦同時上網呢?這時就要用到NAT了,一個NAT路由器會給你的三臺電腦各自分配一個Private IP,當某一臺電腦192.168.1.212需要傳送資料包給外部網路時,這個資料包會首先到達NAT路由器,NAT路由器會將這個資料包的IP修改為自己的Public IP 171.68.1.1再發送出去,而同樣的,收到的資料包也會先達到NAT,由NAT將IP修改為對應的Private IP後再發到目標主機上,以此完成IP通訊。

下面正式開始講iptables的篩選規則。
之所以叫iptables,是因為它將這些規則按照適用的情況分為了filters、NAT、Mangle和Options這幾個table(表),而每個table又有各自的chain(鏈),對於不同的資料包,會採取不同的table和chain來進行篩選。每個table含有的chain如下:
filter:chain INPUT 、chain OUTPUT 、chain FORWARD
NAT:chain PREROUTING 、chain OUTPUT 、chain POSTROUTING
Mangle:chain INPUT 、chain OUTPUT
Options:這個table由使用者自定義

Mangle和Options較為少用,所以只講講 table filter和table NAT。

資料包對於本機而言包括三種:要傳入到本機的,要從本機傳出的,要由經過本機進行轉發的。而對於這幾種資料包,應用table和chain的順序如下:
對於要傳入本機的(進站規則):
1、先經過 table NAT 的 chain PREROUTING,把資料包的目標IP從Public IP修改為Private IP.
2、再經過 table chain 的 chain INPUT,篩選出允許進入本機的資料包,進行放行

對於要從本機傳出的(出站規則):
1、先經過 table NAT 的 chain OUTPUT,篩選出允許傳送出去的資料包,進行放行
2、再經過 table filter 的 chain OUTPUT。
3、最後經過 table NAT 的 chain POSTROUTING,把資料包目標IP改成Public IP,然後傳送出去。

對於要經過本機進行轉發的(轉發規則):
1、先經過 table NAT 的 chain PREROUTING,把資料包的目標IP從Public IP修改為Private IP.
2、再經過 table chain 的 chain FORWARD,篩選出允許轉發的資料包。
3、最後經過 table NAT 的 chain POSTROUTING,把資料包目標IP改回成Public IP,然後傳送出去。

相關推薦

認識防火牆NAT服務

防火牆是用來保護網路安全的,這個大家都知道,但是具體它是怎麼樣保護的呢? 首先,要從防火牆的分類說起。 根據保護目標的不同,防火牆可以分為用來保護一塊區域的和用來保護單一主機的。 在保護單一主機方面,包括通過資料包過濾來保護的Netfilter和通過監控服

iptables防火牆NAT服務

2.禁止一些客戶機上網 例1:新增一條規則禁止IP為192.168.1.200的客戶機上網     iptables –I FORWARD –s 192.168.1.200 –j DROP 例2:新增一條規則禁止子網192.168.1.0/24的客戶機上網     iptables –I FORWARD –s

圖文詳解防火牆NAT服務

一、簡介 1. 關於防火牆 防火牆,其實就是用於實現Linux下訪問控制的功能的,它分為硬體和軟體防火牆兩種。無論是在哪個網路中,防火牆工作的地方一定是在網路的邊緣。而我們的任務就是需要去定義到底防火牆如何工作,這就是防火牆的策略、規則,以達到讓它對出入網路的IP、資料進行檢測。 目前市面上比較常見

鳥哥的Linux私房菜(伺服器)- 第九章、防火牆 NAT 伺服器

如果你在安裝的時候選擇沒有防火牆的話,那麼 iptables 在一開始的時候應該是沒有規則的,不過, 可能因為你在安裝的時候就有選擇系統自動幫你建立防火牆機制,那系統就會有預設的防火牆規則了! 無論如何,我們先來看看目前本機的防火牆規則是如何吧! [[email protect

NAT技術代理服務

換ip tun address wid tar 資料 ip) target 進出 一、NAT技術介紹 1.概念 NAT英文全稱是“Network Address Translation”,中文意思是“網絡地址轉換”,它是一個IETF(Internet Engineering

Linux雙網卡搭建NAT服務器之網絡應用

image 轉換成 辦公 acc str border 系統 結構 order 一:拓撲、網絡結構介紹 Eth1 外網卡的IP 地址, GW和DNS 按照提供商提供配置。配置如下: IP:114.242.25.18 NETMASK:255.255.255.0 GW:1

本地 Git GitHub 服務器建立連接

keygen src .com logs rsa img blog 生成 image 安裝git; 生成新的 SSH 秘鑰。 ssh-keygen -t rsa -C "郵箱" 添加 SSH 公鑰到 GitHub

菜鳥教程之工具使用(五)——JRebelWindows服務的Tomcat集成

-m end 個人 再見 proc key pre 安裝 target 之前寫過一篇Tomcat借助JRebel支持熱部署的文章——《借助JRebel使Tomcat支持熱部署 》。介紹的是在開發、測試環境中的配置。可是正式的部署環境。我們不會通過命令行來啟動Tomcat,

深圳市共創力咨詢為某大型上市企業提供兩天的UCD內訓輔導服務

質量 ima 問題 技術分享 咨詢 log logs 設計 com 2017年5月23和24日兩天,深圳市共創力咨詢為國內某大型上市企業提供了為期兩天的內訓與輔導服務。本次執行培訓與輔導任務的是UCD(基於用戶體驗的設計)資深顧問劉玲女士。劉玲老師分別從UCD理論、U

Samba服務Nginx服務

logs 如果 star smb tro 解析 glibc edt devel Samba服務: 1 準備環境 =====>part1: iptables -F 清楚防火墻配置 #systemctl disable firewalld #開機默認關閉 #syst

Linux基礎系列:常用命令(5)_nfs服務nginx服務

ash .com access emctl 磁盤 keepalive roo inux iptable 介紹:   NFS 是Network File System的縮寫,即網絡文件系統。一種使用於分散式文件系統的協定,由Sun公司開發,於1984年向外公布。功能是通過

VMWare開啟DHCP和NAT服務(VMWare無法通過NAT上網以及和host主機通信的問題解決)

path key pat dhcp服務 machine 路徑 hadoop 發現 問題 最近在學習Hadoop,開始做一個集群。由於各個節點的IP地址需要保持不變,我決定在VMWare采用NAT的模式聯網。 但是在安裝Ubuntu系統的時候,提示我DHCP服務未開啟。 Yo

PKI證書服務

pki ca 數字證書 ra 楊書凡 PKI:公鑰基礎設施(Public Key Infrastructure)通過使用公鑰技術和數字簽名來確保信息安全由公鑰加密技術、數字證書、CA、RA組成PKI體系能夠實現的功能:數據機密性 身份驗證數據完整性 操作的不可否認性公鑰加密技術是PKI的

VXLANLinux服務架構

vxlan 虛擬化 VXLAN與Linux服務架構1、應用場景: 服務器虛擬化技術2、實際中解決的問題:物理機運行著越來越多的MAC地址的虛擬機,導致數據增加,交換機的MAC地址表極速擴張,會覆蓋mac地址。VLAN的valn組只有4096受到限制,在bankin

基於容器服務架構的Web應用實踐eShopOnContainers

contain 安全 github ima 微服務架構 使用 服務架構 ctu target 微軟官方提供了一個基於Docker和微服務的示例應用eShopOnContainers;它使用了面向服務的架構並且從服務端到客戶端都是跨平臺的;該架構使用通過http作為客戶端與服

samba不允許一個用戶使用一個以上用戶名一個服務器或共享資源的多重連接

samba不允許一個用戶使用一個以上用戶名與一個服務器或共享資源的多重連接事實上這個不是samba的限制。是Windows的限制。始終要用public=yes的話,上面的方法都不能有效解決,因為:在打開存在public=yes的samba服務器時,如果首先點擊了有public=yes的共享資源的時候,wido

httpwww服務概念詳解

互聯網HTTP超文本傳輸協議html頁面標記語言www萬維網 端口21 ftp 22 ssh 25 smtp 3306 mysql 873 rsync 161 snmp 111 rpc 3389 80 443 https

瀏覽器www服務器連接過程

導致 pan 大連 使用 target 保持 默認 一次 ont TPC/IP協議是傳輸層協議,主要解決數據如何在網絡中傳輸,而HTTP是應用層協議,主要解決如何包裝數據。 HTTP通信機制是在一次完整的HTTP通信過程中,Web瀏覽器與Web服務器之間將完成下列7個

cifs協議samba服務

cifs samba服務1、基本概念:CIFS是實現文件共享服務的一種文件系統,主要用於實現windows系統中的文件共享,linux系統中用的比較少linux系統中利用CIFS文件系統實現文件共享,需要安裝samba服務。它使程序可以訪問遠程Internet計算機上的文件並要求此計算機提供服務。CIFS

Linux下輕松搭建NAT服務

linux nat 路由 共享上網 什麽是NAT?NAT(Network address translation)即網絡地址轉換,作為一種過渡解決手段,可以用來減少對全球合法IP地址的需求。簡單的說,NAT就是在內部專用網絡中使用內部地址,而當內部節點要與外界網絡發生聯系時,就在邊緣路由器或者