标签:管理系 track 连接不上 包含 rop ping cep 在线 用法
防火墙由netfilter组成,iptables是控制netfilter的软件 iptables(重点)- 用户空间的工具 环境准备 systemctl stop firewalld.service systemctl disable firewalld.service 或systemctl disable --now firewalld.service iptables用法 man 8 iptables iptables -t filter -A INPUT -s 192.168.0.1 -j DROP -A 在最后追加规则 -s 源地址 -j 跳jump DROP丢弃,无回应 iptables -nvL --line-numbers 查看当前所有规则 iptables -t filter -A INPUT -s 192.168.0.1 -j ACCEPT ACCEPT 允许接收,但是无用,他是在DROP规则后面 iptables -t filter -I INPUT -s 192.168.0.1 -j ACCEPT -I 插入到最前面 -I INPUT 9 插入到第9条 iptables -D INPUT 2 默认为-t filter 删掉第2条规则 iptables -t filter -R INPUT 1 -s 192.168.0.2/24 -j REJECT REJECT有回应的拒绝 -R INPUT 1:替换第一条 拒绝192.168.0.0整个网段 iptables -F -F 清掉所有规则 iptables -A INPUT -s 10.0.0.100 -d 10.0.0.200 -j REJECT 单网卡目标地址无意义,因为路由表已经检查 iptables -A INPUT ! -s 10.0.0.100 -d 10.0.0.200 -j REJECT !: 取反,除了100,其余都不能访问 iptables -A INPUT -s 10.0.0.100 -p icmp -j REJECT -p:指定协议,都ping不通 iptables -A INPUT -s 10.0.0.100 -i eth0 -j REJECT -i 指定网卡 iptables -A INPUT -i lo ACCEPT lo:回环网卡127.0.0.1 拥有全局globle的网卡的ip也可以访问 扩展模块 隐式扩展 -p iptables -A INPUT -s 10.0.0.100 -p tcp --dport 80 -j REJECT 拒绝10.0.0.100的tcp协议从80 端口的包 iptables -A INPUT -t tcp --syn -j REJECT 拒绝第一次握手(老用户一直登陆在线,新用户登录不上)类似,银行下班,但是已经在交易的客户可以继续交易 iptables -A INPUT -s 10.0.0.100 -p icmp --icmp-type 8 -j REJECT 100不通8,8能ping通100 显示扩展 man iptables-extensions iptables -A INPUT -s 10.0.0.100 -p tcp -m multiport --dports 21:25,80,443 -j REJECT multiport:21到25,80,443连续端口reject iptables -A INPUT -m iprange --src-range 10.0.0.8-10.0.0.10 -j REJECT iprange:拒绝10.0.0.8,10.0.0.9,10.0.0.10这三个IP访问 iptables -A INPUT -m --mac-source ......... - j REJECT 拒绝源mac地址(没有目标mac地址的选项是因为如果mac不是本身,会直接不接受 iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string "google" -j REJECT 本机80出去的包,从第63开始检查是否包含google,含有就reject(不准访问google) iptables - A INPUT -m time --timestart 14:00 --timestop 15:00 -j ACCEPT time模块(centos8此模块有问题) UTC时间与当地时间差8个小时 时间实际是22:00-23:00 iptables -A INPUT -m connlimit --connlimit-above 2 -j REJECT 一个IP超过2个链接就拒绝 iptables -A INPUT -p icmp -m limit --limit 10/minute --limit-burst 10 -j ACCEPT 一分钟最多通过10个,前10个不限制 state NEW cat /proc ESTABLISHED /proc/net/nf_conntrack /proc/sys/net/netfilter/nf_conntrack_max (连接数尽量调大,不然会出现新用户连接不上) /sys/conf RELATED 子主题 4 /usr/lib64/xtables/ rpm -ql iptables iptables -m 优化最佳实践: ESTABLISHED 谨慎放行入站的新请求 特殊目的 同类规则,范围小的放前面 不同类规则,范围大的放前面 可以合并多条规则的为一条 白名单 iptables -P 不建议,,容易出现自杀行为 子主题 17 五个table filter:过滤规则表 iptables -t filter -nvL查看规则 nat:地址转换规则表 iptables -t nat -nvL查看规则 mangle raw security 5个chain INPUT OUTPUT FORWARD PREROUTING POSTROUTING netfilter 5个勾子函数 INPUT OUTPUT FORWARD PREROUTING POSTROUTING linux内核 NETFILTER grep -m 10 NETFILTER /boot/conf....... 分支主题 7 安全技术 入侵检测与管理系统 入侵系统 防火墙 实现方式 网络层防火墙 应用层防火墙 网络协议 硬件防火墙 软件防火墙 保护范围 主机防火墙 网络防火墙
标签:管理系 track 连接不上 包含 rop ping cep 在线 用法
原文地址:https://www.cnblogs.com/noise/p/14711361.html