路由器原理
可以理解成把不同的网络打通,实现通信的设备。比如家里的路由器,他就是把家里的内网和互联网(外网)打通。
分类
1.(按应用场景分类)
路由器分为家用的,企业级的,运营商的
1.家用:
2.企业用:
接口多,扩展性强,比如一个省的社保系统,都是由他集中的数据转发。
3.运营商:
三大运营商,用户量非常多,又要宽带拨号,又要流量控制,还要复杂的路线选择
2.按可扩展性分类
1.集成一体化路由器,硬件固定好的,没有多余扩展接口,插不了扩展板卡
2.多业务路由器
路由器工作原理
1.路由转发原理
1.路由表
路由表是网络设备(如路由器、交换机)中存储的一张表格,用于决定数据包从源地址到目的地址的传输路径。最开始是没有的,需要人配置 。
插一句:正常情况同样到达2.2的路由器可能有多个,但是具体选哪个,就看路由的优先级。
通信举例来理解路由 (这个模拟网络通信的软件是eNSP)
1.现在要三台PC机通过三个路由器实现通信:
PC1想和PC2通信,他发的数据包目标IP地址是2.2,所以他发出的数据包经过路由器AR1,这时有两个选择,一个是AR2,一个是AR3,但是要选择哪条路,就需要路由表(相当于一个导航系统)。
注意:PC1和AR1的接口是同网段的(直连的两个必须同网段)。
配置好地址后如下图:
PC1发数据给PC2,首先经过AR1,AR1查看路由表(dis ip routing-table),此时他表里没有2.2
(查看路由表时,没有对应的IP地址的话,数据包就会丢弃),但我们可以配置让他有这个路由表(静态路由方式):
这个指令的意思是:
ip route_static 增加一条路由信息
192.168.2.0 255.255.255.0 目标网段
10.1.1.2 下一跳(下一步要走的地方)
配置之后再来查看路由表:
就有IP信息了
但是PC1还是ping不通PC2的,因为两个问题:
问题1:配IP地址时,有个网关,他是告诉电脑如果要给不同网段发包,因为要给AR1发包,所以要网关设置成1.254 ,这样数据包就能送给路由器1了
给到AR1后,他会知道一个数据包最终地址是2.2的应该走那条路了,走AR2,此时AR2查看路由表,
发现有2段的路由表,单着不是我们静态路由添加的,他是怎么有的?因为直连路由(我们在给AR2 GE0\0\1口配置地址为192.168.2.254时,就自动产生一条直连路由,因为接口IP地址是2段,所以目的地是2段的,都从GE0\0\1口发出去),所以就实现了PC1到PC2的通信。
pc2回给pc1也是同理,只是需要在AR2配置回程路由:
这时PC1就能ping通PC2了,开始的时候丢少量包正常,因为要做ARP解析 。
2.路由优先级
3.NAT地址转换原理
还是上面的例子,如果在AR2没有管理权限(不能在添加静态路由)时。就要用到NAT。
比如刚才的回程部分,删掉在AR2添加的PC1地址和下一跳10.1.1.1这个指令,这时ar2就无法把信息传给PC1了,但是AR1和AR2之间是直连路由。
理解就是把原本的192.168.1.1 --192.168.2.2的通信转换为AR1 GE0/0/1口的10.1.1.1 – 192.168.2.2的通信。
NAT更多的应用在私网ip到公网ip的转换。
私网IP:电脑手机上网,这时手机电脑的IP都属于私网IP,他本身只能在局域网内活动,不能去互联网,因为互联网上没有这些私网IP的路由,但是要访问公网,就需要把私网IP通过NAT转换为能上网的公网IP
防火墙
filter表
nat两大块
分类
硬件:
三层路由
防火墙 :深信服
软件
iptables(写到了linux内核中 的)
firewalld
nftables
ufw(Ubuntu的)
云防火墙
阿里云的安全组
NAT网关
waf应用防火墙
上面这些主要 都是防端口的,不妨协议,处理七层的攻击用waf防火墙
要熟悉表,链,规则,容器
表:存放链的容器
链:存放规则的容器
规则:准许或拒绝的规则
表是最大的概念,表里有链,链里有规则。最小的单位是规则
过程就是当client请求数据满足了表中的每个规则,就可以获取主机信息或者访问主机端口,不满足就被拒绝
用户的请求进来之后,在匹配规则时,是从上到下一条一条匹配的(层层过滤),rule1 -> rule2 -> N。
匹配时有两种:1.DROP拒绝 2.Accept接收。无论匹配到的是拒绝还是接收,都代表这个规则匹配成功,如果都不满足就往下走。如果所有规则都匹配失败,还有一个保底的默认数据包规则。
拒绝的规则都放在最上面优先执行
四表五链
链是可以自己定义添加的,一般默认是四表五链
四表:fillter nat raw mangle
fillter :(翻译屏蔽器)他表示的是防火墙过滤,屏蔽端口,ip这种。也是阿里云的安全组
nat: 共享上网,映射
剩下两个了解即可,用的少
五链: INPUT OUTPUT FORWARD PREROUTING POSTROUTING (PRE之前 POST之后)
(链的名字要大写!和表有区别)
INPUT : 一般对于INPUT用的多。相对于出去的,对于进来的管理更严格。
FORWARD : 路过
表和链是有对应关系的,不是每个表都有那五个链。
filter表
实现防火墙功能,一般用来屏蔽端口,ip。
filter表中的链:
INPUT :负责过滤所有目标地址是本机地址的数据包,简单说就是过滤进入主机的数据包(让不让数据包进入服务器就控制这个链)
OUTPUT
FORWARD
nat表
共享上网功能
端口映射和IP映射
nat表中的链:OUTPUT PREROUTING(常用) POSTROUTING (常用)
用户的请求进入防火墙的过程:
首先进入NAT表的PREROUTING
然后有两种选择。
一个是进入服务器(走filter的INPUT 链)
请求访问服务结束出去之后要经过filter的OUTPUT,最后经过NAT表的POSTROUTING
一个是在门前路过,路过的处理的少
环境配置
因为iptables在linux上都有,只需要安装iptables_services (包含启动,关闭,重启的指令,就是一些配置)
yum install -y iptables-services
这个是放置防火墙规则的文件,一般默认是这里,也可更改放到别的目录下。
查看当前防火墙规则:
iptables -nL
因为防火墙的表默认是filter表。这个就是filter表的规则。
其中的chain(l链) INPUT , chain OUTPUT chain FORWARD 是三个链
(policy ACCEPT)表示默认规则
如果要看nat表的规则:
iptables -t nat -nL
iptables添加规则
清空默认规则:(慎用!)
iptables -F
清空自定义的链的规则:
iptables -X
清空统计和计数:(统计经过了多少数据包,把这个状态清空)
iptables -Z
例如:写一个拒绝所有人访问22端口(执行后自己也挡住了!!!)
iptables -t filter -I INPUT - p tcp --dpot 22 -j DROP
iptables指令:
首先指定表,-t filter(不指定的就是默认filter表)
其次指定链,-I INPUT(插入,把规则放到最上面,-A是追加,放到最下面)
然后写规则,- p (只要涉及到端口就要指定协议!) -p tcp udp icmp
再指定端口,–dpot 22(端口有两种一个是源端口。一个是目标端口)(当前的22号端口肯定是目标端口 一般都是管目标端口,很少管源端口)
指定拒绝 -j DROP
(-j可以指定 DROP ACCEPT REJECT,drop是丢弃数据包,reject是拒绝请求并返回一些信息)
删除这个规则:(-D)
原理和之前基本类似,有一个要注意的是删除几号规则
查看规则编号:
iptables -nL --line-number
iptables -t filter -D INPUT 1
1.屏蔽一个网段:
iptables -I INPUT - s 10.0.0.0/24 -j DROP
2.屏蔽一个网段访问8888端口
nc -kl 8888 (制造一个端口)
iptables -I INPUT - s 10.0.0.0/24 -p tcp --dport 8888 -j DROP
3.只允许指定网段访问(白名单)
方法1:用!来排除
iptables -I INPUT -s 172.16.1.0 -j DROP (拒绝172.16.1.0 访问)
iptables -I INPUT -!s 172.16.1.0 -j DROP (只允许172.16.1.0 访问)
方法2:调整默认规则,添加准许规则
把那些所有ACCEPT的改成拒绝,添加允许访问的规则
4.指定多个端口
iptables -I INPUT -m multiport -p tcp --dport 80,8888 -j DROP (多个端口用,隔开)
屏蔽1-1024的所有端口:
iptables -I INPUT -p tcp --dport 1:1024 -j DROP (用:隔开)
5.限制ICMP类型 (禁止Ping)
方法一:防火墙规则:
iptables -I INPUT -p icmp --icmp-type 8 -j DROP (icmp-type有200多个,禁止ping的类型号是8)
iptables -I INPUT -p icmp -j DROP (也可以禁止ping)
方法二:控制内核参数 (永久生效,除非改动,否则重启linux也生效)
进入:
vim /etc/sysctl.conf
把下面的这行写进去,保存退出
net.ipv4.icmp_echo_ignore_all =1 (1禁止ping 0可以ping)
让其生效:
sysctl -p
6.匹配网络状态(TCP/IP连接状态) 通过防火墙控制连接状态
NEW:已经或将启动新的连接 (准备建立连接)
ESTABLISHED:已建立的连接 (能不能连) 常用
RELATED:正在启动的新连接 (处于三次握手状态)常用
INVALID:非法或无法识别的
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
7.限制请求速率
格式:
-m limit --limit n/sec/minute/hour
举例:
ping默认每秒ping一次,6s钟控一个,效果就是最开始的5次Ping正常,后面的每处理一个都要6s
iptables -I INPUT -p icmp -m limit --limit 10/minute --limit-burst 5 -j ACCEPT (5是并发数)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
SYN_FLOOD攻击
/etc/config/firewall下的 option syn_flood 1 防御的是TCP的洪水攻击,对于UDP无效。因为TCP三次握手机制:
攻击原理:
攻击者发送大量 TCP SYN 包(第一次握手请求),但不完成三次握手(不回复 SYN-ACK)。导致服务器维护大量半连接,耗尽资源(如连接队列、内存),使正常用户无法访问。
nat共享上网 和 端口映射暂时不写,有需要在看
