守护网络安全不是问题，iptables的四表五链为你开启“八卦阵”

网络世界就和现实世界一样，总是会有些不怀好意的“人”出现，扫扫你的端口啊，探测探测你的应用情况啊，看看有没有什么漏洞啊，然后趁虚而入…

像不像个小偷，这瞅瞅那瞅瞅，门有没有上锁，窗户有没有关严，看准时机就悄悄潜入了。

所以为了保障网络环境的安全，我们得“武装”起来，守住各个入口。

怎么“武装”呢？

使用iptables就可以做到，您可以根据业务需要设计一套自己的“八卦阵”，每一个报文要进来或者出去都得经过“八卦阵”里的障碍，能经过严格筛选的报文才是“好”报文。

iptables是什么？

iptables是Linux 防火墙工作在用户空间的管理工具，是netfilter/iptablesIP 信息包过滤系统的一部分，用来设置、维护和检查Linux内核的IP数据包过滤规则。它是免费的，可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

特点：iptables是基于内核的防火墙，功能非常强大；iptables内置了filter，nat，mangle和raw四张表。所有规则配置后，立即生效，不需要重启服务。

iptables组成

iptables的结构是由表（tables）组成，而tables是由链（chains）组成，链又是由具体的规则组成。因此我们在编写iptables规则时，要先指定表，再指定链。tables的作用是区分不同功能的规则，并且存储这些规则。

iptables的四表五链

四个表包括：raw表、mangle表、nat表、filter表。

这四个优先级依次降低，raw不常用，主要功能都在其他三种表里实现。每个表可以设置多个链。

• mangle：主要用于修改数据包，表内包括五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD* **nat：**不经内核，用于网络地址转换（IP、端口），表内包括三个链：PREROUTING、POSTROUTING、OUTPUT* **filter：**经过本机内核的数据，负责过滤数据包，表内包括三个链：INPUT、FORWARD、OUTPUT五个链如下：

• INPUT：输入，过滤所有目标地址是本机的数据包。* FORWARD：转发，过滤所有路过本机的数据包。* OUTPUT：输出，过滤所有由本机产生的数据包。* PREROUTING：路由前，可以在数据包到达防火墙时改变目标地址。* POSTROUTING：路由后，在数据包离开防火墙时改变数据包的源地址。iptables处理数据包的流程

数据包有两种：目的地址是本机内核的数据包和经过本机内核的数据包。

1.数据包进入的时候，首先进入PREROUTING链，本机内核根据数据包目的地址判断是否需要转送出去。2.如果数据包是进入本机内核的，就进入INPUT链。数据包到了INPUT链后，按条件过滤限制进入。3.之后进入本机内核，再进入OUTPUT链，按条件过滤限制出去，然后到达POSTROUTING 链输出。4.如果数据包只是经过本机内核，需要转发出去的，且本机内核允许转发，数据包就会进入FORWARD链，按条件过滤限制转发，然后到达POSTROUTING链输出。iptables命令

iptables [ -t 表名 ] 管理选项 [ 链名 ] [ 条件匹配 ] [ -j 目标动作或跳转 ]

注意：

1.不指定表名时，默认表示filter表。

2.不指定链名时，默认表示该表内所有链，除非设置规则链的缺省策略，否则需要指定匹配条件

举个例子，比如：需要拒绝IP地址为10.10.10.8的主机访问本机。

iptables -A INPUT -s 10.10.10.8 -j DROP

更多命令详情请参见：iptables命令。

课堂练习

iptables规则都可以在云服务器里自己配置。但是如果云服务器数目非常多，每个都要配置，那就太麻烦了，如何实现同样需求的云服务器配置相同的iptables规则？

安全组？网络ACL？

没错！！！

它们都通过控制Linux iptables来控制进出云服务器或者用户网络的数据包，在不同的位置使用不同的方法来实现不同的目的，可以同时部署网络ACL和安全组实现双重防护。

安全组将具有相同安全保护需求并相互信任的云服务器加入同一个安全组。不同安全组的虚拟机之间的访问以及外网访问虚拟机，都需要通过安全组进行过滤。

网络ACL则作用于子网上，可以在安全组之前隔离外部过来的恶意流量，对进出用户网络的流量进行过滤。

那么，实践一下，为您的弹性云服务器设置一套“八卦阵”吧~

网络安全基础入门需要学习哪些知识？

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fDr6G47k-1676912635734)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cgwrbuIT-1676912635735)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ddfJKhNO-1676912635736)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pfijvVfP-1676912635737)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P1FcA5aD-1676912635737)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！