1)Linux下的防火墙概念a、一般谈到Linux下的防火墙,我们都会首先想到iptables,其实更确切的叫法应该是Netfilter/iptables,iptables和Netfilter其实是存在差别的。b、尽管它们经常被用来相互替换使用,Netfilter是用来实现Linux内核中防火墙的Linux内核空间程序代码段,它要..
分类:
其他好文 时间:
2016-07-17 02:48:40
阅读次数:
220
一、LB常用解决方案1.硬件负载均衡解决方案:F5公司:BIG-IPCitrix公司:NetscalerA10公司:A10ArrayRedware2.Linux:LVS1.完成LinuxVirtualServer作者(章文嵩,花名段正明,就职于阿里)2.ipvs工作于netfilter框架上3.ipvs:框架,工作在内核中,工作在input链上,需要依赖于规..
分类:
其他好文 时间:
2016-07-14 15:59:04
阅读次数:
190
1、linux网络防火墙及netfilter基础原理2、netfilter基础原理及iptable入门3、iptable基础框架及扩展匹配4、iptable扩展匹配一、linux防火墙及netfilter基础原理防火墙(Firewall)有主机防火墙和网络防火墙之分、有硬件防火墙和软件防火墙之分。防火墙是工作与主机或网络边缘..
分类:
其他好文 时间:
2016-06-24 22:19:33
阅读次数:
204
1、firewalld简介 在RHEL7/CentOS7.x 版本上,firewalld已经替代iptables成为默认的防火墙软件,firewalld是centos7的一大特性,最大的好处有两个: 第一个:支持动态更新,不用重启服务,随时添加规则,随时生效,这个过程不需要重新装载netfilter ...
分类:
其他好文 时间:
2016-06-17 16:56:48
阅读次数:
489
0x00 iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具, ...
分类:
系统相关 时间:
2016-06-13 17:12:59
阅读次数:
225
linux有两个防火墙机制,一个是selinux,一个是netfilter。selinux这种机制的限制太多,配置也特别繁琐,所以很少有人去应用它,我们一般都要把selinux关闭,以免引起不必要的麻烦。selinux可以用命令:setenforce0临时关闭或者修改配置文件vim/etc/selinux/config将SELINUX=en..
分类:
系统相关 时间:
2016-06-10 15:04:59
阅读次数:
194
内核的作用 进程管理:进程间切换 内存管理:内存空间分割为内核空间和用户空间 IO管理:对底层硬件的使用必须由内来实现,不能由用户空间进程来实现 文件系统管理 驱动程序管理 安全管理:包括netfilter模块和selinux模块等 内核的设计模式 单内核:模块都是集成在内核内部(Linux是单内核 ...
分类:
系统相关 时间:
2016-06-09 00:27:14
阅读次数:
239
前置知识:
IP包:
struct ip {
#if BYTE_ORDER == LITTLE_ENDIAN
unsigned char ip_hl:4, /* header length */
ip_v:4; /* version */
#endif
unsigned char ip_tos; /* type of service */
sho...
分类:
Web程序 时间:
2016-05-27 12:13:18
阅读次数:
602
转自http://ycnian.org/blog/archives/628 Netfilter是Linux内核网络子系统中的一个模块,这个模块可以拦截系统中的报文进行处理。Linux系统中的防火墙iptables就是构建在netfilter模块之上的。报文在一台Linux主机中的流通过程如下图所示: ...
分类:
Web程序 时间:
2016-05-26 10:00:00
阅读次数:
269
1、/var/log/messages出现kernel:nf_conntrack:tablefull,droppingpacket.什么问题?如何解决?解答:上述结果会让业务访问很慢!/etc/sysctl.confnet.nf_conntrack_max=25000000net.netfilter.nf_conntrack_max=25000000前两行调大net.netfilter.nf_conntrack_tcp_timeout_est..
分类:
其他好文 时间:
2016-05-23 10:48:52
阅读次数:
172
