WordPress做的网站源代码博创网站建设团队

当前位置： 首页 > news >正文

WordPress做的网站源代码,博创网站建设团队,网站怎么自己做推广,哪家网络么司做网站好linux iptables安全技术与防火墙 1、iptables防火墙基本介绍1.1netfilter/iptables关系1.2iptables防火墙默认规则表、链结构 2、iptables的四表五链2.1四表2.2五链2.3四表五链总结2.3.1 规则链之间的匹配顺序2.3.2 规则链内的匹配顺序 3、iptables的配置3.1iptables的安装3.2i… linux iptables安全技术与防火墙 1、iptables防火墙基本介绍1.1netfilter/iptables关系1.2iptables防火墙默认规则表、链结构 2、iptables的四表五链2.1四表2.2五链2.3四表五链总结2.3.1 规则链之间的匹配顺序2.3.2 规则链内的匹配顺序 3、iptables的配置3.1iptables的安装3.2iptables防火墙的配置方法3.2.1 使用图形化来管理system-config-firewall(centos 6)3.2.2使用iptables命令行管理 4、添加、查看、删除规则4.1查看(fliter)表中的所有链 iptables -L4.2使用数字形式(fliter)表所有链 查看输出结果 iptables -nL4.3清空表中所有链 iptables -t filter -F4.4添加规则4.5插入规则4.6删除规则4.6.1按照行号删除4.6.2 按照内容删除 4.7设置默认规则4.8修改规则 5、匹配规则5.1通用匹配5.2隐含匹配5.2.1 端口匹配: –sport 源端口、–dport 目的端口可以是个别端口、端口范围 5.2.2 ICMP类型匹配5.3显式匹配5.3.1多端口匹配5.3.2IP范围匹配5.3.3 MAC地址匹配5.3.4 状态匹配补充自定义链的使用 1、iptables防火墙基本介绍 Linux系统的防火墙IP信息包过滤系统它实际上由两个组件 netfilter和 iptables 组成。 主要工作在网络层针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。 1.1netfilter/iptables关系 netfilter 位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”内核空间是内核的一部分由一些数据包过滤表组成这些表包含内核用来控制数据包过滤处理的规则集。 iptables 位于/sbin/iptables用来管理防火墙规则的工具称为Linux防火墙的“用户态”它使插入、修改和删除数据包过滤表中的规则变得容易 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙其中内置了raw、mangle、 nat和filter四个规则表。 表中所有规则配置后立即生效不需要重启服务。 1.2iptables防火墙默认规则表、链结构 iptables由五个表table和五个链chain以及一些规则组成 数据包到达防火墙时规则表之间的优先顺序: raw mangle nat filter 2、iptables的四表五链 2.1四表 raw表∶ 确定是否对该数据包进行状态跟踪mangle表∶为数据包设置标记nat表∶ 负责网络地址转换用来修改数据包中的源、目标IP地址或端口filter表;负责过滤数据包 确定是否放行该数据包过滤 2.2五链 INPUT∶ 处理入站数据包匹配目标IP为本机的数据包。OUTPUT∶处理出站数据包一般不在此锌上做配置。FORWARD∶ 处理转发数据包匹配流经本机的数据包。PREROUTING链∶ 在进行路由选择前处理数据包用来修改目的地址用来做DNAT。相当于把内网服务器的工P和端口映射到路由器的外网IP和端口上。POSTROUTING链∶ 在进行路由选择后处理数据包用来修改源地址用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网工P地址上网。 2.3四表五链总结 规则表的作用∶容纳各种规则链规则链的作用∶容纳各种防火墙规则 表里有链链里有规则 2.3.1 规则链之间的匹配顺序 入站数据来自外界的数据包且目标地址是防火墙本机∶ PREROUTING – INPUT – 本机的应用程序出站数据从防火墙本机向外部地址发送的数据包∶ 本机的应用程序 – OUTPUT – POSTROUTING网络型防火墙∶转发数据需要经过防火墙转发的数据包∶ PREROUTING – FORWARD – POSTROUTING 2.3.2 规则链内的匹配顺序 自上向下按顺序依次进行检查找到相匹配的规则即停 止 LoG策略例外 表示记录相关日志若在该链内找不到相匹配的规则则按该链的默认策略处理未修改的状况下默认策略为允许 3、iptables的配置 3.1iptables的安装 Centos 7默认使用firewalld防火墙没有安装iptables 若想使用iptables防火墙。必须先关闭firewalld防火墙再安装iptables。 systemctl stop firewalld. service 关闭firewalld防火墙 systemctl disable firewalld. service 取消firewalld防火墙开机自启动 yum -y install iptables iptables-services 安装iptables和iptables-services3.2iptables防火墙的配置方法 3.2.1 使用图形化来管理system-config-firewall(centos 6) 3.2.2使用iptables命令行管理 命令格式 iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]注意事项 不指定表名时默认指filter表不指定链名时默认指表内的所有链除非设置链的默认策略否则必须指定匹配条件选项、链名、控制类型使用大写字母其余均为小写 常用控制类型 ACCEPT允许数据包通过。DROP 直接丢弃数据包不给出任何回应信息。REJECT拒绝数据包通过必要时会给数据发送端一个响应信息。SNAT 修改数据包的源地址DNAT 修改数据包的目的地址 常用管理选项 -A 在指定链末尾追加一条-I 在指定链中插入一条新的未指定序号默认作为第一条-P 指定默认策略-D 删除-R 修改、替换某一条规则-L 查看-n 所有字段以数字形式显示-v 查看时显示更详细信息常跟-L一起使用– line-numbers 规则带编号-F 清除链中所有规则-X 清空自定义链的规则不影响其他链-Z 清空链的计数器-S 看链的所有规则或者某个链的规则/某个具体规则后面跟编号 4、添加、查看、删除规则 4.1查看(fliter)表中的所有链 iptables -L iptables -L #不指定表名默认查看filter表4.2使用数字形式(fliter)表所有链 查看输出结果 iptables -nL iptables -L -n #分开写 L与n不分前后顺序 或 iptables -nL #合起来 n必须在L前4.3清空表中所有链 iptables -t filter -F iptables -F #没有指定表名 默认删除filter表没有指定链 默认清空所有链4.4添加规则 添加新的防火墙规则时使用管理选项“-A”、“-I”前者用来追加规则后者用来插入规则。不允许其他主机ping本机,给响应信息REJECTping所使用的协议为icmp iptables -t filter -A INPUT -p icmp -j REJECT #不允许其他主机ping本机,给响应信息REJECTping所使用的协议为icmp //-t filter 指定filter表 //-A INPUT 指定为入站链 //-p icmp 指定icmp协议 //-j REJECT 指定控制类型pc2ping测试 不允许其他主机ping本机,不给响应信息 DROP ping所使用的协议为icmp iptables -t filter -A INPUT -p icmp -j DROP #不允许其他主机ping本机,不给响应信息DROPping所使用的协议为icmp使用pc2 ping pc1测试 4.5插入规则 在指定链的末尾追加一条新的规则 -A在指定链的开头插入一条新的规则未指定序号时默认作为第一条规则 -l iptables -t filter -A INPUT -p icmp -j DROP #不允许其他主机ping本机,不给响应信息DROPping所使用的协议为icmpiptables -nL –line-numbers #查看规则序号iptables -I INPUT 2 -p tcp –dport 22 -j ACCEPT #在filter表中添加一条放通tcp22号端口的规则 并在第二个规则前添加此新规则4.6删除规则 4.6.1按照行号删除 iptables -D INPUT 2 #删除INPUT链的第二行规则4.6.2 按照内容删除 按照内容删除规则时相同内容会删除最小行号 iptables -D INPUT -p icmp -j DROP #将含有icmp协议使用DROP类型的规则删除4.7设置默认规则 iptables -P INPUT DROP #默认规则设置为DROP设置了-P DROP后使用-F仅仅是清空链中的规则 并不会影响设置的默认规则如果使用-F那么所有的规则清除后则使用默认策略DROP将会使远程连接断连。使用重启服务器解决 systemctl restart iptables 或者重启服务器。 4.8修改规则 iptables -R INPUT 1 -p icmp -j DROP #将第一条规则改为DROP规则5、匹配规则 规则的匹配包括 通用匹配 和 隐含匹配 5.1通用匹配 可直接使用不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件。 协议匹配-p 协议名地址匹配-s 源地址、-d 目的地址 可以是IP、网段、域名、空任何地址)接口匹配-i 入站网卡、-o出站网卡 5.2隐含匹配 要求以特定的协议匹配作为前提包括端口、TCP标记、ICMP类 型等条件。 端口匹配∶ –sport 源端口、–dport 目的端口 5.2.1 端口匹配: –sport 源端口、–dport 目的端口可以是个别端口、端口范围 –sport 1000 匹配源端口是1000的数据包–sport 1000:3000 匹配源端口是1000-3000的数据包–sport :3000 匹配源端口是3000及以下数据包–sport 1000: 匹配源端口是1000及以上的数据包–sport和–dport 必须配合 -p 协议类型 使用 iptables -A INPUT -p tcp –dport 20:21 -j ACCEPT //指定tcp协议目标端口2021同意访问 iptables-I FORWARD -d 192.168.80.0/24 -p tcp –dport 24500:24600 -j DROP //不转发 目标网段是 192.168.80段 tcp协议的24500到24600 iptables -I INPUT -i ens33 -p tcp –tcp-flags SYN,RST,ACK SYN -jACCEPT //丢弃SYN请求包放行其他包5.2.2 ICMP类型匹配 格式–icmp-type ICMP类型可以是字符串、数字代码Echo-Request”(代码为8)表示请求Echo- -Reply”(代码为0)表示回显“Dest ination-Unreachable” (代码为3)表示目标不可达关于其它可用的ICMP 协议类型可以执行“iptables -P icmp -h”命令查看帮助信息 iptables -A INPUT -p icmp –icmp-type 8 -j DROP //禁止其它主机ping本机 iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT //允许本机ping其它主机 iptables -A INPUT -p icmp –icmp-type 3 -j ACCEPT //当本机ping不通其它主机时 提示目标不可达5.3显式匹配 要求以“-m扩展模块”的形式明确指出类型包括多端口、MAC地址、IP范围、数据包状态等条件 5.3.1多端口匹配 -m multiport –sport 源端口列表-m multiport –dport 目的端口列表 iptables -A INPUT -p tcp -m multiport –dport 80,22,21,20,53 -i ACCEPT //允许访问tcp的8022212053端口 iptables -A INPUT -p udp -m multiport –dport 53 -j ACCEPT //允许访问udp的53端口5.3.2IP范围匹配 iptables -A FORWARD -p udp -m iprange –src-range 192.168.52.100-192.168.52.200 -j DROP // 禁止转发源地址位于192.168.52.100——192.168.52.200的udp数据包5.3.3 MAC地址匹配 格式-m mac –mac -source MAC地址 iptables -A FORWARD -m mac –mac-source xx:xx:xx:xx:xx:xx -j DROP //禁止来自某MAC地址的数据包通过本机转发5.3.4 状态匹配 格式-m state –state 连接状态 常见连接状态 NEW主机连接目标主机在目标主机上看到的第一个想要连接的包ESTABLISHED主机已与目标主机进行通信判断标准只要目标主机回应了第一个包就进入该状态RELATED主机已与目标主机进行通信目标主机发起新的链接方式一般与ESTABLISHED 配合使用INVALID ∶ 无效的封包例如数据破损的封包状态 iptables -I INPUT -p tcp -m multiport –dport 80,22,21,20,53 -j ACCEPT iptables -A INPUT -P udp -m multiport –dport 53 -j ACCEPT iptables -A INPUT -P tcp -m state –state ESTABLISHED, RELATED -j ACCEPT //对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过简j单来说就是只允许所有自己发出去的包进来补充自定义链的使用 ipbables -N ywx //创建一个叫ywx的自定义链iptables -E ywx YWX //自定义链改名iptables -t filter -A YWX -p icmp -j DROP //创建自定义链规则删除自定义规则链先删除iptables INPUT链中的对应关系然后删除自定义链中的规则。