网络防火墙之自定义chain

网络防火墙

自定义链
链管理:
  -N:new, 自定义一条新的规则链
  -X:delete,删除自定义的空的规则链
  -P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:
    ACCEPT:接受
    DROP:丢弃
  -E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除
 
iptables/netfilter网络防火墙:
  (1) 充当网关
  (2) 使用filter表的FORWARD链
注意的问题:
  (1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性
  (2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行
 
准备:
firewall:开启ip_forward功能
  [root@firewall ~]#vim /etc/sysctl.conf
  net.ipv4.ip_forward = 1
  [root@firewall ~]#sysctl -p
  [root@firewall ~]#sysctl -a
firewall开启转发功能后,10.0.0.108能互相ping通192.168.37.122
 
 
示例:
 

 

 场景:把对外访问的策略配置在自定义链中:

1、新建链,专用添加访问外网策略

1 [root@firewall-121 ~]# iptables -N TOINTERNET
2 [root@firewall ~]# iptables -vnL --line-numbers
3 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
4 num   pkts bytes target     prot opt in     out     source               destination         
5 1        6   394 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.0.0.108           tcp dpt:80
6 2       22  2089 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
7 3      105  6996 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
8 
9 Chain TOINTERNET (0 references)
View Code

2、在新链中添加策略

1 [root@firewall-121 ~]# iptables -A TOINTERNET -s 10.0.0.108 -p tcp --dport 80 -j ACCEPT
2 [root@firewall-121 ~]# iptables -A TOINTERNET -s 10.0.0.108 -p icmp  --icmp-type 8  -j ACCEPT
View Code

3、把新链关联到FORWARD链中

 1 [root@firewall-121 ~]# iptables -I FORWARD 1 -j TOINTERNET
 2 [root@firewall-121 ~]# iptables -vnL --line-numbers
 3 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 4 num   pkts bytes target     prot opt in     out     source               destination         
 5 1       26  2246 TOINTERNET  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 6 2        6   394 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.0.0.108           tcp dpt:80
 7 3       33  3287 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8 4      106  7056 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
 9 
10 Chain TOINTERNET (1 references)
11 num   pkts bytes target     prot opt in     out     source               destination         
12 1       12   796 ACCEPT     tcp  --  *      *       10.0.0.108           0.0.0.0/0            tcp dpt:80
13 2        3   252 ACCEPT     icmp --  *      *       10.0.0.108           0.0.0.0/0            icmptype 8
View Code

4、验证新chain策略有效性

1 [root@CentOS7-108 ~]# curl 192.168.37.122
2 internet server
3 [root@CentOS7-108 ~]# ping 192.168.37.122
4 64 bytes from 192.168.37.122: icmp_seq=1 ttl=63 time=0.551 ms
View Code

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/788957.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

网络防火墙之DNAT

网络防火墙之DNAT

网络防火墙 NAT NAT: network address translationPREROUTING,INPUT,OUTPUT,POSTROUTING请求报文:修改源/目标IP,由定义如何修改响应报文:修改源/目标IP,根据跟踪机制自动实现DNAT:destination NAT PREROUTING , OUTPUT把本地网络中的主机上的某服务开放给外部网络访问…
阅读更多...
Windows 10 on ARM, version 22H2 (updated Aug 2024) ARM64 AArch64 中文版、英文版下载

Windows 10 on ARM, version 22H2 (updated Aug 2024) ARM64 AArch64 中文版、英文版下载

Windows 10 on ARM, version 22H2 (updated Aug 2024) ARM64 AArch64 中文版、英文版下载Windows 10 on ARM, version 22H2 (updated Aug 2024) ARM64 AArch64 中文版、英文版下载 基于 ARM 的 Windows 10 请访问原文链接:https://sysin.org/blog/windows-10-arm/,查看最新版…
阅读更多...
Linux监控性能调优分析-perf(上)

Linux监控性能调优分析-perf(上)

1 简介 Linux perf一个轻量级命令行工具,用于剖析和监控Linux系统的CPU性能。该工具虽然简单,却能提供有助于分析CPU的丰富信息。该命令包含许多用于收集、跟踪和分析CPU事件数据的子命令。1.1 安装perf perf程序并没有预装在Linux系统中 # Ubuntu/Debian $ sudo apt install…
阅读更多...
基于Ubuntu部署企业级kubernetes集群---k8s集群容部署

基于Ubuntu部署企业级kubernetes集群---k8s集群容部署

1.下载用于Kubernetes软件包仓库的公共签名秘钥#如果 `/etc/apt/keyrings` 目录不存在,则应在 curl 命令之前创建它。 sudo mkdir -p -m 755 /etc/apt/keyrings curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.29/deb/Release.key | sudo gpg --dearmor -o /etc/apt/keyrin…
阅读更多...
什么是算法?一切皆算法

什么是算法?一切皆算法

如果有人问我什么算法?我就一句话:算法就是对一类问题的最优求解路径。如果有人问我什么算法?我就一句话:算法就是对一类问题的最优求解路径。 1、计算机领域的算法概念 算法一直都是计算机领域非常重要的概念,具备极高的地位,各个公司对算法的考察也非常热衷。 我们只有…
阅读更多...
Adobe After Effects 2024 v24.6 (macOS, Windows) - 后期特效

Adobe After Effects 2024 v24.6 (macOS, Windows) - 后期特效

Adobe After Effects 2024 v24.6 (macOS, Windows) - 后期特效Adobe After Effects 2024 v24.6 (macOS, Windows) - 后期特效 Acrobat、After Effects、Animate、Audition、Bridge、Character Animator、Dimension、Dreamweaver、Illustrator、InCopy、InDesign、Lightroom C…
阅读更多...
在SimpleRAG中使用SiliconCloud快速测试Function Calling

在SimpleRAG中使用SiliconCloud快速测试Function Calling

Funcion Calling介绍 函数调用允许您将模型如gpt-4o与外部工具和系统连接起来。这对于许多事情都很有用,比如为AI助手赋能,或者在你的应用程序与模型之间建立深度集成。 如果您了解或者使用过Semantic Kernel可能会发现除了OpenAI支持Function Calling的模型之外,自动函数调…
阅读更多...
Semantic Kernel/C#:一种通用的Function Calling方法,文末附经测试可用的大模型

Semantic Kernel/C#:一种通用的Function Calling方法,文末附经测试可用的大模型

Funcion Calling介绍 函数调用允许您将模型如gpt-4o与外部工具和系统连接起来。这对于许多事情都很有用,比如为AI助手赋能,或者在你的应用程序与模型之间建立深度集成。 如果您了解或者使用过Semantic Kernel可能会发现除了OpenAI支持Function Calling的模型之外,自动函数调…
阅读更多...
折腾 Quickwit,Rust 编写的分布式搜索引擎 - 可观测性之日志管理

折腾 Quickwit,Rust 编写的分布式搜索引擎 - 可观测性之日志管理

Quickwit 从底层构建,旨在 高效地索引非结构化数据,并在云存储上轻松搜索这些数据。 此外,Quickwit 开箱即支持 OpenTelemetry gRPC 和 HTTP(仅 protobuf)协议,并提供了一个 REST API,可以接收任何 JSON 格式的日志。 这让 Quickwit 成为了日志的理想选择!.https://qui…
阅读更多...
读软件开发安全之道:概念、设计与实施12不受信任的输入

读软件开发安全之道:概念、设计与实施12不受信任的输入

读软件开发安全之道:概念、设计与实施12不受信任的输入1. 不受信任的输入 1.1. 不受信任的输入可能是编写安全代码的开发人员最关心的问题1.1.1. 最好将其理解为输入系统中的所有不受信任的输入1.1.2. 来自受信任的代码的输入可以提供格式正确的数据1.2. 不受信任的输入是指那…
阅读更多...
第12篇 window上验证mysql是否安装成功

第12篇 window上验证mysql是否安装成功

1.命令提示符cmd窗口验证 1.1 键盘win+R打开命令提示符,输入cmd。 1.2 在电脑中找到安装好的MySQL的bin文件目录 。这是我的安装目录C:\Program Files\MySQL\MySQL Server 5.7\bin。1.3 在命令提示符中输入cd C:\Program Files\MySQL\MySQL Server 5.7\bin,再输入mysql -h loc…
阅读更多...
南沙csp-j/s陈老师解题:1050:骑车与走路

南沙csp-j/s陈老师解题:1050:骑车与走路

​【题目描述】在清华校园里,没有自行车,上课办事会很不方便。但实际上。并非去办任何事情都是骑车快,因为骑车总要找车、开锁、停车、锁车等,这要耽误一些时间。假设找到自行车,开锁并骑上自行车的时间为27秒;停车锁车的时间为23秒;步行每秒行走1.2米,骑车每秒行走3.0米…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023