Linux安全调优1:CentOS防火墙的设置与优化
CentOS防火墙的设置与优化
一、设置主机防火墙。
开放: 服务器的:web服务、vsftpd 文件服务、ssh远程连接服务、ping 请求。
1、开放sshd服务
开放流入本地主机,22端口的数据报文。
[root@stu13 ~]# iptables -A INPUT --destination 192.168.60.99 -p tcp --dport 22 -j ACCEPT
|
开放从本地主机22端口流出的数据报文
[root@stu13 ~]# iptables -A OUTPUT --source 192.168.60.99 -p tcp --sport 22 -j ACCEPT
|
修改默认策略为:DROP。 目的禁止所有报文通过本机的TCP/IP协议栈,再开放指定端口的服务。
[root@stu13 ~]# iptables -P INPUT DROP
[root@stu13 ~]# iptables -P OUTPUT DROP
|
如:
[root@stu13 ~]# iptables -L -n -v
Chain INPUT (policy DROP 554 packets, 53329 bytes) ----> 已经阻止到数据包了
pkts bytes target prot opt in out source destination
1162 60532 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:22
匹配到数据包
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
681 96248 ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 tcp spt:22
|
2、开放本机提供的web服务:
开放访问本机的80,443服务。
开放流入本地主机,80端口的数据报文
[root@stu13 ~]# iptables -A INPUT --dst 192.168.60.99 -p tcp --dport 80 -j ACCEP
|
开放从本地主机80端口流出的数据报文
[root@stu13 ~]# iptables -A OUTPUT --src 192.168.60.99 -p tcp --sport 80 -j ACCEPT
|
开放流入本地主机,443端口的数据报文
[root@stu13 ~]# iptables -A INPUT --dst 192.168.60.99 -p tcp --dport 443 -j ACCEPT
|
开放从本地主机443端口流出的数据报文
[root@stu13 ~]# iptables -A OUTPUT --src 192.168.60.99 -p tcp --sport 443 -j ACCEPT
|
3、本机可以接受ping
开放应用层协议为icmp数据报文流入本机
1
|
[root@stu13 ~]# iptables -A INPUT -p icmp -j ACCEPT
|
开放应用层协议为icmp数据报文流出本机
1
|
[root@stu13 ~]# iptables -A OUTPUT -p icmp -j ACCEPT
|
4、开放被动模式FTP服务
开放命令连接的21端口
装载模块:这是连接追踪ftp服务器的数据连接的模块。
[root@stu13 httpd-2.4.9]# modprobe nf_conntrack_ftp
|
查看是否装载成功
[root@stu13 ~]# lsmod | grep "nf_conntrack_ftp"
nf_conntrack_ftp 10475 0
nf_conntrack 65428 3 nf_conntrack_ftp,nf_conntrack_ipv4,xt_
|
开放应用层协议为tcp,目标端口为21的数据报文流入本机
[root@stu13 ~]# iptables -A INPUT --dst 192.168.60.99 -p tcp --dport 21 -m state --state NEW -j ACCEPT
|
使用iptables的状态追踪功能,追踪ftp服务器的数据传输端口,意思是说:只要是找开的数据传输连接传输的数据报文与某个已经建立连接有关连,就允许开数据包通过。
[root@stu13 ~]# iptables -A INPUT --dst 192.168.60.99 -m state --state ESTABLISHED,RELATED -j ACCEPT
|
数据流出
[root@stu13 ~]# iptables -A OUTPUT --src 192.168.60.99 -m state --state RELATED,ESTABLISHED -j ACCEPT
|
二、测试:主机防火墙开放的服务是否成功:
、PING 测试:本机PING其它主机
[root@stu13 ~]# ping -c 1 192.168.60.1
PING 192.168.60.1 (192.168.60.1) 56(84) bytes of data.
64 bytes from 192.168.60.1: icmp_seq=1 ttl=64 time=1.81 ms
--- 192.168.60.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 2ms
rtt min/avg/max/mdev = 1.812/1.812/1.812/0.000 ms
|
在windows下ping 192.168.60.99主机
D:\>ping 192.168.60.99
正在 Ping 192.168.60.99 具有 32 字节的数据:
来自 192.168.60.99 的回复: 字节=32 时间=2ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
192.168.60.99 的 Ping 统计信息:
数据包: 已发送 = 2,已接收 = 2,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 2ms,平均 = 1ms
|
2、测试80服务
[root@nfs ~]# curl -eI http://192.168.60.99/index.html
<h1>This Server is OK...</h1>
|
3、在Windows 下测试:文件服务器。
D:\>ftp 192.168.60.99
连接到 192.168.60.99。
220 (vsFTPd 2.2.2)
用户(192.168.60.99:(none)): ftp
331 Please specify the password.
密码:
230 Login successful.
ftp> get pub/inittab
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for pub/inittab (884 bytes).
226 Transfer complete.
ftp: 收到 884 字节,用时 0.00秒 884000.00千字节/秒。
ftp>
|
4、测试连接到ssh服务
[root@nfs ~]# ssh 192.168.60.99
Last login: Mon Aug 18 17:51:20 2014
|
三、分析优化防火墙
设置开放特定服务后的filter表的规则如下:
[root@stu13 ~]# iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 1911 packets, 223K bytes)
num pkts bytes target prot opt in out source destination
1 7470 441K ACCEPT cp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:22
2 51 4545 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:80
3 1 60 ACCEPT cp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:443
4 4 288 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
5 12 624 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:21 state NEW
6 174 8122 ACCEPT all -- * * 0.0.0.0/0 192.168.60.99 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 8 packets, 480 bytes)
num pkts bytes target prot opt in out source destination
1 5761 701K ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 tcp spt:22
2 40 4522 ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 tcp spt:80
3 1 40 ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 tcp spt:443
4 4 288 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
5 328 22614 ACCEPT all -- * * 192.168.60.99 0.0.0.0/0 state RELATED,ESTABLISHED
|
1、优化策略:将多条规则合并成一条。
(1)、使用umltiport扩展模块合并端口模块:
[root@stu13 httpd-2.4.9]# ll /lib/xtables-1.4.7/ | grep "multiport"
-rwxr-xr-x. 1 root root 10772 Feb 22 2013 libxt_multiport.so
[root@stu13 httpd-2.4.9]# iptables -I INPUT --dst 192.168.60.99 -p tcp -m multiport --dports 80,443,22 -j ACCEPT
[root@stu13 httpd-2.4.9]# iptables -D INPUT 2
[root@stu13 httpd-2.4.9]# iptables -D INPUT 2
[root@stu13 httpd-2.4.9]# iptables -D INPUT 2
|
[root@stu13 httpd-2.4.9]# iptables -I OUTPUT --src 192.168.60.99 -p tcp -m multiport --sports 80,443,22 -j ACCEPT
[root@stu13 httpd-2.4.9]# iptables -D OUTPUT 2
[root@stu13 httpd-2.4.9]# iptables -D OUTPUT 2
[root@stu13 httpd-2.4.9]# iptables -D OUTPUT 2
|
(2)、查看合并端口后filter过滤表
[root@stu13 ~]# iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 20 packets, 2060 bytes)
num pkts bytes target prot opt in out source destination
1 813 49587 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 multiport dports 80,443,22
2 4 288 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 13 676 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:21 state NEW
4 196 9102 ACCEPT all -- * * 0.0.0.0/0 192.168.60.99 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 165 21277 ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 multiport sports 80,443,22
2 4 288 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 355 24153 ACCEPT all -- * * 192.168.60.99 0.0.0.0/0 state RELATED,ESTABLISHED
|
2、使用iptables/netfiltes提供的状态追踪功能优化防火墙;
iptables/netfiter提供有一个状态追踪功能,只要第一次连接都是NEW状态。下一次连接只要在状态追踪表的计数器的时间没到之前,该客户端重新建立的连接,iptables/netfilter 也认为该连接是ESTABLISHED状态的。
通常情况下,处于ESTABLISHED状态的连接要比处于NEW状态的连接要多得多,那么意味着:ESTABLISHED状态的连接传输的数据报文通常要比NEW状态的连接传输的数据报文要多得多。数据报文经过某链时,数据报文与链中的定义的规则一一做匹配,顺序是从上到下依次做匹配操作。如果数据报文的某些特征,如:源IP地址、目标IP地址、源端口、目标端口、连接的状态、TCP的标志位等,与链中定义的规则匹配到了,就执行【-j】后面的 action(如:DROP|ACCEPT等)。如果数据报文与它经过的链中的规则从上到下一一做匹配,都没有匹配到的话,就执行iptables中定义的默认规policy。因为,定义防火墙规则的时候,首先拒绝所有(默认策略都为:DROP),开放某些服务的数据报文通过.处于ESTABLISHED状态的连接传输的数据报文通常是安全的,应该允许它通过,而数据报文通过的链的要做规则检查的规则又有很多,而处于ESTABLISHED状态的连接,要传输的数据报文很多,那么怎么样要它快速通过iptables/netfilter的防火墙的规则检查呢?
1
2
|
(1)、根据防火墙做数据报文的匹配规则,应该让处于ESTABLISHED状态的连接传输的数据报文快速 通过变卦的规则检查,意思是说:防火墙根据连接追踪功能一发现该数据报文是ESTABLISHED 状态的连接发送的,立马发行。做法:把允许处于ESTABLISHED连接的数据报文通过的策略放 在链的所有规则的最前面。
(2)、状态检测,是连接追踪模块实现的。连接追踪模块在内核内存中维护一张追踪表,记录每个连 接的状态,以及连接处于ESTABLISHED的状态的超时时间和可以追踪多少个连接以及目前正追 踪的连接数等等。注意:要根据实际应用开启或关闭连接追踪功能。
|
连接追踪模块可以追踪的连接数量
[root@stu13 httpd-2.4.9]# cat /proc/sys/net/nf_conntrack_max
31928
|
连接处于ESTABLISHED状态的超时时长
[root@stu13 /]# cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
432000 约等于5天。
|
当前追踪的所有连接:
[root@stu13 httpd-2.4.9]# cat /proc/sys/net/netfilter/nf_conntrack_count
3
|
注意:
如果,我们启用了iptables/netfilterr 的连接追踪功能的话,当前追踪的所有连接数已经达到连接追踪模块可以追踪的连接数量的上限了,且连接追踪到的连接处于ESTABLISHED状态的连接,还没到失效时间。后续新的连接只能等待,iptables/netfilter的连接追踪表有连接的超时时间到。才可以通过我们的防火墙。而防火墙定义的ESTABLISHED状态的走超时时长为5天,而我们的TCP连接在TCP的各种状态的超时时长,都是很短的。所以。会导致大量的后续新的连接被拒绝。也就是出现连接服务器超时的情况发生。所以,根据实际应用调整这些参数很关键。或比较繁忙的服务器就不应该开启iptables/netflter的连接追踪功能。
iptables/netfilter的连接追踪功能是通过下述扩展模块实现的。
[root@stu13 httpd-2.4.9]# ll /lib/xtables-1.4.7/ | grep "state"
-rwxr-xr-x. 1 root root 5860 Feb 22 2013 libxt_state.so
|
提供,允许发往特定端口处于ESTABLISHED状态连接的数据报文通过TCP/IP协议栈,且把该规则放在链的所有规则的最前面。
INPUT表
[root@stu13 httpd-2.4.9]# iptables -I INPUT 1 --dst 192.168.60.99 -p tcp -m multiport --dports 80,443,22 -m state --state ESTABLISHED,NEW -j ACCEPT
[root@stu13 httpd-2.4.9]# iptables -D INPUT 2
|
OUTPUT表:允许处于ESTABLISHED状态连接的数据报文从本机出去。且把该规则放在链的所有规则的最前面。
[root@stu13 httpd-2.4.9]# iptables -I OUTPUT 1 --src 192.168.60.99 -p tcp -m multiport --sports 80,443,22 -m state --state ESTABLISHE -j ACCEPT
[root@stu13 ~]# iptables -D OUTPUT 2
|
使用状态检测功能优化后的:
[root@stu13 ~]# iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 138 packets, 12760 bytes)
num pkts bytes target prot opt in out source destination
1 760 49519 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 multiport dports 80,443,22 state NEW,ESTABLISHED
2 14 1128 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 18 936 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:21 state NEW
4 299 13853 ACCEPT all -- * * 0.0.0.0/0 192.168.60.99 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 1194 153K ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 multiport sports 80,443,22 state ESTABLISHED
2 14 1128 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 465 30940 ACCEPT all -- * * 192.168.60.99 0.0.0.0/0 state RELATED,ESTABLISHED
|
分析:
因为,只要是ESTABLISHED状态的连接的数据报文,是不会有问题的。不需要检测端口了。这样提高了iptable/netfiler检测数据报文的速度。只要是ESTABLISHED状态的连接的数据报文都允许通过。
所以,对上述的INPUT表的第一条规则进行拆分,如下
1
|
[root@stu13 httpd-2.4.9]# iptables -I INPUT 1 --dst 192.168.60.99 -p tcp -m state --state ESTABLISHED -j ACCEPT
|
并把发往指定端口的数据报文,进行NEW状态的数据报文检测组成一条规则
[root@stu13 httpd-2.4.9]# iptables -I INPUT 2 --dst 192.168.60.99 -p tcp -m multiport --dports 80,443,21,22 -m state --state NEW -j ACCEPT
|
修改第三条规则
[root@stu13 httpd-2.4.9]# iptables -R INPUT 3 --dst 192.168.60.99 -m state --state RELATED -j ACCEPT
|
删除
|
[root@stu13 httpd-2.4.9]# iptables -D INPUT 3
[root@stu13 httpd-2.4.9]# iptables -D INPUT 4
|
修改后INPUT表变成
[root@stu13 ~]# iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 129 packets, 11581 bytes)
num pkts bytes target prot opt in out source destination
1 4793 374K ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 state ESTABLISHED
2 35 1820 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 multiport dports 80,443,21,22 state NEW
3 7 364 ACCEPT all -- * * 0.0.0.0/0 192.168.60.99 state RELATED
4 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
。。。。。。
|
分析OUTPU表
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 3466 482K ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 multiport sports 80,443,22 state ESTABLISHED
2 22 1608 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 547 36931 ACCEPT all -- * * 192.168.60.99 0.0.0.0/0 state RELATED,ESTABLISHED
|
分析:跟上述一样,允许处于ESTABLISHED状态的连接的数据报文通过TCP/IP协议栈。修改OUTPUT表的第1条与第3条规则
修改第一条规则
[root@stu13 httpd-2.4.9]# iptables -R OUTPUT 1 --src 192.168.60.99 -p tcp -m state --state ESTABLISHED -j ACCEPT
|
修改第三条规则
|
[root@stu13 httpd-2.4.9]# iptables -R OUTPUT 3 --src 192.168.60.99 -m state --state RELATED -j ACCEPT
|
修改后的OOUPUT表的规则如下:
[root@stu13 ~]# iptables --line-numbers -L -n -v
。。。。。
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 794 148K ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 state ESTABLISHED
2 22 1608 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT all -- * * 192.168.60.99 0.0.0.0/0 state RELATED
|
经过使用端口合并和iptables/netfilter的状态追踪功能优化规则表之后:
[root@stu13 ~]# iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 540 packets, 53525 bytes)
num pkts bytes target prot opt in out source destination
1 225 10816 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 state ESTABLISHED
2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 multiport dports 80,443,21,22 state NEW
3 0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.60.99 state RELATED
4 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 194 27924 ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 state ESTABLISHED
2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT all -- * * 192.168.60.99 0.0.0.0/0 state RELATED
|
3、使用自定义链分成分成等级iptables规则:
如果,防火墙规则很多的话,这样写就显示得很乱,不明了。造成后续添加规则就在很多不便。因为,每种服务的访问量都不一样。简单的合并多个端口的做法并是不很理想。
最好为开放的每个服务都使用一条自定义链。这样,以后我们要为某服务添加或删除规则只要找到该服务对应的自定义链,就可以操作了,很方便。如下:
(1)、为http 80服务自定义一条链
|
[root@stu13 ~]# iptables -t filter -N http_in
[root@stu13 ~]# iptables -A http_in -d 192.168.60.99 -p tcp --dport 80 -m state --state NEW -j ACCEPT
|
INPUT链调用该链
[root@stu13 ~]# iptables -I INPUT 2 -d 192.168.60.99 -p tcp --dport 80 -j http_in
|
如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT
1
|
[root@stu13 httpd-2.4.9]# iptables -A http_in -j RETURN
|
(2)、为https 443 服务自定义一条链
[root@stu13 ~]# iptables -t filter -N https_in
[root@stu13 ~]# iptables -A https_in -d 192.168.60.99 -p tcp --dport 443 -m state --state NEW -j ACCEPT
|
调用自定义链
[root@stu13 httpd-2.4.9]# iptables -I INPUT 3 -d 192.168.60.99 -p tcp --dport 443 -j https_in
|
如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT
|
[root@stu13 httpd-2.4.9]# iptables -A https_in -j RETURN
|
(3)、为ssh服务自定义一条链
[root@stu13 ~]# iptables -t filter -N ssh_in
[root@stu13 ~]# iptables -A ssh_in -d 192.168.60.99 -p tcp --dport 22 -m state --state NEW -j ACCEPT
|
调用该链
[root@stu13 httpd-2.4.9]# iptables -I INPUT 4 -d 192.168.60.99 -p tcp --dport 22 -j ssh_in
|
如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT
|
[root@stu13 httpd-2.4.9]# iptables -A ssh_in -j RETURN
|
(4)、为vsftp文件服务自定义一条链
[root@stu13 ~]# iptables -t filter -N vsftp_in
[root@stu13 ~]# iptables -A vsftp_in -d 192.168.60.99 -p tcp --dport 21 -m state --state NEW -j ACCEPT
|
调用该链
[root@stu13 httpd-2.4.9]# iptables -I INPUT 5 -d 192.168.60.99 -p tcp --dport 21 -j vsftp_in
|
如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT
[root@stu13 httpd-2.4.9]# iptables -A vsftp_in -j RETURN
|
(5)、删除INPUT链的第6条规则(端口合并那条链)
1
|
[root@stu13 httpd-2.4.9]# iptables -D INPUT 6
|
使用自定义链后,规则表如下:
[root@stu13 ~]# iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 928 packets, 83409 bytes)
num pkts bytes target prot opt in out source destination
1 7351 435K ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 state ESTABLISHED
2 6 312 http_in tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:80
3 0 0 https_in tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:443
4 2 104 ssh_in tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:22
5 2 104 vsftp_in tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:21
6 8 416 ACCEPT all -- * * 0.0.0.0/0 192.168.60.99 state RELATED
7 8 672 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 2 packets, 120 bytes)
num pkts bytes target prot opt in out source destination
1 5842 751K ACCEPT tcp -- * * 192.168.60.99 0.0.0.0/0 state ESTABLISHED
2 0 0 ACCEPT all -- * * 192.168.60.99 0.0.0.0/0 state RELATED
3 8 672 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain http_in (1 references)
num pkts bytes target prot opt in out source destination
1 6 312 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:80 state NEW
2 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain https_in (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:443 state NEW
2 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ssh_in (1 references)
num pkts bytes target prot opt in out source destination
1 2 104 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:22 state NEW
2 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain vsftp_in (1 references)
num pkts bytes target prot opt in out source destination
1 2 104 ACCEPT tcp -- * * 0.0.0.0/0 192.168.60.99 tcp dpt:21 state NEW
2 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
|
说明:
在INPUT链,根据实际应用情况,服务的访问繁忙程序调整,http_in、https_in、ssh_in、vsftp_in的先后顺序,来优化iptables/netfilter
的效率。
有了自定义链后,数据报文的检查流程如下图:
四、测试优化后的防火墙策略是否成功:
1、测试 http 80 服务
1
2
|
[root@nfs ~]# curl http://192.168.60.99/index.html
<h1>This Server is OK...</h1>
|
2、测试 ssh 服务
[root@nfs ~]# ssh 192.168.60.99
Last login: Mon Aug 18 20:21:25 2014 from 192.168.60.88
|
3、测试vsftp 服务
D:\>ftp 192.168.60.99
连接到 192.168.60.99。
220 (vsFTPd 2.2.2)
用户(192.168.60.99:(none)): ftp
331 Please specify the password.
密码:
230 Login successful.
ftp> get pub/inittab
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for pub/inittab (884 bytes).
226 Transfer complete.
ftp: 收到 884 字节,用时 0.07秒 12.63千字节/秒。
ftp>
|
4、测试ping
(1)、ping本主机
D:\>ping 192.168.60.99
正在 Ping 192.168.60.99 具有 32 字节的数据:
来自 192.168.60.99 的回复: 字节=32 时间=1ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
192.168.60.99 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
|
(2)、本主机ping别的主机
1
|
[root@stu13 ~]# ping -c 1 192.168.60.88
PING 192.168.60.88 (192.168.60.88) 56(84) bytes of data.
64 bytes from 192.168.60.88: icmp_seq=1 ttl=64 time=0.590 ms
--- 192.168.60.88 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 0.590/0.590/0.590/0.000 ms
|
Linux安全调优1:CentOS防火墙的设置与优化的更多相关文章
- linux性能调优概述
- 什么是性能调优?(what) - 为什么需要性能调优?(why) - 什么时候需要性能调优?(when) - 什么地方需要性能调优?(where) - 什么人来进行性能调优?(who) - 怎么样 ...
- linux系统性能调优第一步——性能分析(vmstat)
linux系统性能调优第一步--性能分析(vmstat) 分类: LINUX 性能调优的第一步是性能分析,下面从性能分析着手进行一些介绍,尤其对linux性能分析工具vmstat的用法和实践进行详细介 ...
- Linux内核调优参数说明
该脚本是我常用的系统安装后执行脚本,包括开机启动服务.内核.SSH优化. !/bin/sh 服务优化,(sshd.network.crond.syslog.rsyslog)服务保持默认开机启动 Ser ...
- Linux网卡调优篇-禁用ipv6与优化socket缓冲区大小
Linux网卡调优篇-禁用ipv6与优化socket缓冲区大小 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一般在内网环境中,我们几乎是用不到IPV6,因此我们没有必要把多不 ...
- 转载linux性能调优工具
Linux 大牛,Netflix 高级性能架构师 Brendan Gregg 更新 Linux 性能调优工具,各种资源应有尽有,大量干货,强烈建议收藏.
- <Linux性能调优指南>主要思路流程
网上IBM很早放出的一本免费电子书, 十来年了,参考意义还是很大. 国内有翻译成中文在线阅读的版本. 见如下两个URL Linux Performance and Tuning Guidelines ...
- linux 性能调优工具参考 (linux performance tools)
之前发现几张图对于linux使用者有着较强的参考意义,下面对其进行简单备忘: # linux 静态信息查看工具 # linux 性能测试工具 benchmark # linux 性能观测工具 # li ...
- linux内核调优参考
对于新部署的机器,需要做一些基本的调优操作,以更改一些默认配置带来的性能问题 1 修改打开文件数 root@mysql:/data/tools/db# vim /etc/security/limits ...
- Linux系统调优
Linux核心参数都是放置在/proc下面:系统的参数都是放置在/proc/sys swap最好放置在运行最快的硬盘上面,但是swap并能取代ram,因为并有I/O上面的损耗,所以优先考虑检验内存没有 ...
随机推荐
- String字符串操作题
/** * 反转键盘录入字符串 * 反转键盘录入的字符串 * 反转键盘录入的字符串 * 反转键盘录入的字符串 * */ Scanner sc = new Scanner(System.in);Stri ...
- 什么是socket ??
socket起源于Unix, 而Unix/Linux基本哲学之一就是"一切皆文件", 都可以用"打开open -> 读写write/read -> 关闭clo ...
- pip 参数
pip 自带参数 pip --help pip install 自带参数 pip install --help
- django (三) admin后台系统
admin后台系统 1. 安装MySQL 1,安装mysql: sudo apt install mysql-server (安装过程中输入密码并牢记) 2,安装后进入mysql: mysql ...
- [软件工程基础]2017.11.02 第六次 Scrum 会议
具体事项 燃尽图 每人工作内容 成员 已完成的工作 计划完成的工作 工作中遇到的困难 游心 #10 搭建可用的开发测试环境:#9 阅读分析 PhyLab 后端代码与文档:#8 掌握 Laravel 框 ...
- mybatis实现简单的增删查改
接触一个新技术,首先去了解它的一些基本概念,这项技术用在什么方面的.这样学习起来,方向性也会更强一些.我对于mybatis的理解是,它是一个封装了JDBC的java框架.所能实现的功能是对数据库进行增 ...
- Spring+JCaptcha验证码使用示例
1,导入jcaptcha.jar包,这里用的是1.0版本 2,编写captcha-context.xml配置文件(非必须,可在spring配置文件中直接添加): <?xml version=&q ...
- svn基本命令
*验证svn安装是否成功 #svnadmin --version *创建svn的数据仓库 #svnadmin create /data/svn/svndata/spms *启动svn服务 #svnse ...
- Java GUI 事件监听
现在使用的仍是AWT的事件模型.涉及到3类对象: Event Source:事件源,即事件发生所在的组件 Event:事件,封装了此次事件的相关信息 Event Listener:事件监听器,监听事件 ...
- react中的context的基础用法
context提供了一种数据共享的机制,里面有两个关键概念——provider,consumer,下面做一些key features描述. 参考网址:https://react.docschina.o ...