iptables的实战整理
vim /etc/sysctl.conf
#加大 ip_conntrack_max 值
net.ipv4.ip_conntrack_max =393216
net.ipv4.netfilter.ip_conntrack_max =393216#降低 ip_conntrack timeout时间
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established =300
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait =120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait =60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait =120
三、安全优化
尽可能不给服务器分配外网IP,可以通过代理转发;并发布不是特别大的外网ip环境,尽量开启防火墙
四、iptables简介
基于数据包过滤的防火墙工具,主要工作在osi模型的二三四层(经过内核编译可以实现七层控制)
五、基本名词介绍
四表:filter(INPUT,FORWARD,OUTPUT),NAT(OUTPUT,PREROUTING,POSTROUTING), MANGLE(五链),RAW
五链(要大写):INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
链(chain)是规则(policy)的容器
六、详细介绍
filter表:主要和主机自身相关,真正负责防火墙功能的(过滤流入流出主机的数据包)。
INPUT:负责过滤所有进入主机的数据包(最主要)
FORWARD:负责流经主机的数据包
OUTPUT:处理所有源地址都是本机地址的数据包(也就是主机发出去的数据包)
nat表:主要负责网络地址之间的转换,包括来源和目的端口以及ip(PREROUTING),可以共享上网(POSTROUTING),端口转换,企业路由和网关
OUTPUT:和从主机发出去的数据包有关,改变数据包的目的地址
PREROUTING:在数据包到达防火墙时进行路由判断之前的的规则,作用是改变数据包的目的地址,目的端口等
POSTROUTING:离开防火墙时进行路由判断之后执行的规则,作用是改变数据包的源地址和源端口
mangle:路由标记(TTL,TOS,mark)。。。。
七、iptables的工作流程
采用的是数据包过滤的机制,会对请求的数据包的包头数据进行分析,按照规则从上到下匹配
小结:防火墙是层层过滤的,通过匹配上规则来允许或者组织数据包的走向,默认规则是最后处理的。
八、iptables 表和链的工作流程图
总结:在使用nat表的时候要注意和nat的PREROUTING,filter的FORWARD和nat的POSTROUTING一起使用
在使用filter的时候只是在INPUT链加以控制即可
九、实战演练
(0)、查看防火墙:
iptables -L -n (-v -x)
iptables -L -n --line-numbers 带序号显示配合删除
无法启动iptables的解决(setup)
lsmod | egrep "nat | filter" 查看加载的内核文件
modprobe +内核加载文件 可以添加内核加载文件
(1)、清理参数
iptables -F :清除所有的防火墙规则
iptables -X [chain] :删除自定义的链 iptables -N chain 新建自定义的链
iptables -Z: 对链计数器的清零
(2)、禁止规则
iptables的实战整理的更多相关文章
- 实用Linux命令,不求最全但求实用-------iptables命令实战
开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCE ...
- 企业级iptables防火墙实战
iptables生产中在内网一般是关闭的,外围需要开启 大并发情况下,不能开启iptables,会影响性能,使用硬件外网防火墙 学好iptables的基础 1,OSI7层模型以及不同层对应哪些协议 2 ...
- iptables基础实战练习
目录: 一.基本规则练习 二.SNAT源地址转移 三.DNAT目标地址转移 一.基础规则练习 (1) 放行ssh (端口:22) 1 iptables -A INPUT -d 192.168.42.1 ...
- mysql优化整理(索引)
什么是索引? 索引是表记录的单个或多个字段重新组织的一种方法,其目的是提高数据库的查询速度,本质上就是一种数据结构. 索引的类型:primary(主键).secondary(其他) 索引的数据结构 I ...
- IPtables/NetFilter
前提知识 任何主机若要与非同网络中的主机通信,则必须将报文发送到默认网关: 对Linux而言,IP地址是属于主机(内核中)的,不属于网卡,只要属于当前主机的IP地址间,都可直接响应,不称为转发 私有地 ...
- iptables服务器主机防火墙
iptables参数说明: Commands: Either long or short options are allowed. --append -A chain 链尾部追加一条规则 --dele ...
- Iptables的命令与用法
目录 一:iptables的用法 1.iptables简介 二:Iptables链的概念 1.那四个表,有哪些作用? 2.那五条链,运行在那些地方? 3.Iptables流程图 三:iptables的 ...
- (1)学习笔记 ) ASP.NET CORE微服务 Micro-Service ---- 什么是微服务架构,.netCore微服务选型
开发工具:VS2017 .Net Core 2.1 什么是微服务?单体结构: 缺点: 1)只能采用同一种技术,很难用不同的语言或者语言不同版本开发不同模块: 2)系统耦合性强,一旦其中一个模块有问题, ...
- (1).NET CORE微服务 Micro-Service ---- 什么是微服务架构,.netCore微服务选型
开发工具:VS2017 .Net Core 2.1 什么是微服务?单体结构: 缺点:1)只能采用同一种技术,很难用不同的语言或者语言不同版本开发不同模块:2)系统耦合性强,一旦其中一个模块有问题,整个 ...
随机推荐
- 『奇葩问题集锦』npm install 报错 node-pre-gyp ERR! node-pre-gyp -v v0.6.25
gyp ERR! configure error gyp ERR! stack Error: Can't find Python executable "python", you ...
- linux压缩与解压缩 tar命令
#压缩tar -czvf ***.tar.gz filetar -cjvf ***.tar.bz2 file#解压缩tar -xzvf ***.tar.gz filetar -xjvf ***.ta ...
- 操作系统和Python的发展历程
一:操作系统的发展历史: 操作系统:什么是操作系统?我们首先想到的是电脑,,也就是所谓的Windows8,Windows7,或者XP系统和Windows10,当然也包括我们手机的安卓系统或者IPhon ...
- 将 Wing IDE 与 Maya 结合使用(摘自Maya用户指南)
1. 将 wingdbstub.py 从 Wing IDE 安装目录复制到 Maya Python 脚本路径. 2. 确保已在“Wing IDE > 编辑 > 首选项 > 调试器”中 ...
- jsp调用javabean出现错误HTTP Status 500 - Unable to compile class for JSP
HTTP Status 500 - Unable to compile class for JSP: type Exception report message Unable to compile ...
- bzoj 2401: 陶陶的难题I 数论
2401: 陶陶的难题I Time Limit: 10 Sec Memory Limit: 128 MBSubmit: 89 Solved: 24[Submit][Status] Descript ...
- 关于Json传递的日期/Date(数字)/解析
在将DateTime类型的数据Json后传到前台展示,出现如下效果 ,在客户端如何解析呢?在jquery easyui 的字段中加一个格式化的函数调用. { field: 'CreateTime' ...
- python-os.walk目录递归
递归删除文件或目录: 递归,os.walk 删除目录,shutil.rmtree # -*- coding: UTF-8 -*- import os.path,sys,shutil path = 'H ...
- Learning WCF Chapter2 Data Contracts
A data contract describes how CLR types map to XSD schema definitions. Data contracts are the prefer ...
- C++ Prime:const的引用
可以把引用绑定到const对象上,就像绑定到其他对象上一样,我们称之为对常量的引用.与普通引用不同的是,对常量的引用不能被用作修改它所绑定的对象: ; const int &r1 = ci; ...