【iptables 实战】04 高级用法:iptables模块之state扩展

文章讲述了如何通过iptables配置,只允许对80端口的ESTABLISHED和RELATED状态的连接进行响应,从而防止黑客主动连接,增强网络安全。

一、场景描述

假设我们内部的主机,想访问新闻网站,即访问其80端口。要想正确地获取到http报文内容。我们对这个网络报文应该这么设置

  • 出去的报文,目标端口,80端口,放行
  • 进入的报文,源端口,80端口,放行
    这样我们能正常浏览网页了。
    但是,这么做的话,也有安全隐患,如下图所示
    在这里插入图片描述

黑客源报文为80端口的话,可以连接我们的主机。可以借此攻击我们。
这个问题的本质,实际上是,我们只想主动连别人,别人不要主动连上我。我请求目标端口为80的报文,只通过80端口,你给我的响应报文,你只要通过自己的80端口想连上我,我通通拒绝!
于是,流程就变成了下面的效果
在这里插入图片描述

二、TCP报文原理解析

TCP连接建立会经历三次握手,三次握手后,才开始正式的通信。
因此,如果黑客通过自己的80端口,想来连我,就会发起第一次握手,因此,如果我们能对这种连接报文拒绝,就能让他无法通过80端口来攻击我。

三、iptables的连接状态

iptables的状态跟踪连接有4种,分别是:NEW、ESTABLISHED、RELATED、INVALID、UNTRACKED具体状态信息如下:

  • 1、NEW状态:说明这个数据包是收到的第一个数据包。
  • 2、ESTABLISHED状态:只要发送并接到应答,一个数据表的状态就从NEW变为ESTABLISHED,并且该状态会继续匹配这个连接后继数据包。
  • 3、RE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值