转自:http://www.jianshu.com/p/28b8536a6c8a 环境: CentOS 6 shadowsocks iptables 在安装了ss-bash后,ss-bash每添加一次port就会在iptables中的SSOUTPUT和SSINPUT中添加相对应的port作为ACCEPT,所以我们只需保留部分必备port,将其他端口DROP就可以了. 初始化: 首先进行一些初始化,清空所有现有的规则:iptables -F #清空所有链iptables -X #清空所有自定义链

目录 Iptables之实操 简介 名称概念: 四表中常用的表 Nat表 Filter表 iptables表和链的工作流程图 iptables过滤图 Iptables安装 Iptables 命令说明 Iptables常用命令 Iptables常用语法 常见案例 模块 multiport模块 iprange模块 string模块 time模块 icmp模块 connlimit模块 limit模块 补充知识: 查看centos版本 查看本机端口占用的命令: iptables脚本设置 补充案例 易错点

我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING,可是做透明代理的时候确是用PREROUTING.这是为什么呢? 回复: sunnygg pre还是post是根据数据包的流向来确定的. 通常内网到外网是post,外望到内网是pre,但是外还是内只是个相对概念,在一定条件下是可以转换的.落实到网卡上,对于每个网卡数据流入的时候必然经过pre,数量流出必然经过post. 透明代理的原理是将内网到外网的网页访问请求进行重定向,将内网的请求转发回内网的代理服务器

在前边的博客中,我们主要聊了下openstack的基础环境.核心服务(认证服务keystone/镜像服务glance/计算服务nova/网络服务neutron)的安装配置:回顾请查看前边的博客:今天我们主要来聊一聊基于前边安装配置的服务来启动一个虚拟机实例: 我们知道在openstack中要启动一个虚拟机实例,通常会经过这样几步,第一步我们要有一个用户登录到openstack上,进行创建虚拟机的操作,而这一步通常由keystone服务来验证登录的用户,并返回一个token给用户,如果keysto

telnet:busybox-extras net-tools: net-tools tcpdump: tcpdump wget: wget dig nslookup: bind-tools curl: curl nmap: nmap wget ifconfig nc traceroute.. : busybox ssh: openssh-client ss iptables: iproute2 ethtool: ethtool FROM alpine MAINTAINER RUN sed -i

VPS购买地址 以下所有叙述均来自互联网上已有文章, 本人只做收集和整理工作. 写在前面的话: 一直想把家里的树梅派做成一个fq路由器, 期间也看过很多GitHub上的开源项目: Redsock, ChinaDNS等等, 都感觉不怎么尽如人意, 而且OpenWRT用起来也不怎么顺手. 最终还是回到最简单的Linux, 使用iptables, ss-libev和国家IP段轻轻松松搞定了. 个人觉得这是目前网上最简单的方案了. 1. 所需工具: 一台q外的vps, raspbian(打开转发功能),

实验1: Nginx介绍 Nginx("engine x")是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器. 在高连接并发的情况下,Nginx是Apache服务器不错的替代品. Nginx安装 首先使用以下命令安装nginx源 rpm -ivh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.e

极路由器系统升级后,旧的插件已不可用,这里是最新极路由器刷机教程,可实现绑定ss代理账号的功能. 获取root权限 安装开发者插件,获取root权限,请先登录极路由器后台(电脑浏览器访问 192.168.199.1). 开通开发者模式:“云插件”>“路由器信息”>“高级设置”>“开通” 安装开发者插件:“云插件”>“全部插件”>“开发者模式”>”确定” 小白用户:以上步骤可参考图文版教程 安装ss插件 使用putty远程连接路由器后台(下载地址 https://the.

1. iptables基本定义 Table (表名) Explanation (注释) nat nat表的主要用处是网络地址转换,即Network Address Translation,缩写为NAT.做过NAT操作的数据包的地址就被改变了,当然这种改变是根据我们的规则进行 的.属于一个流的包只会经过这个表一次.如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自 动地被做相同的操作.也就是说,余下的包不会再通过这个表,一个一个的被NAT,而是自动地完成.这就 是我们为什么不应

相关学习资料 https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html http://zh.wikipedia.org/wiki/Netfilter http://www.netfilter.org/projects/iptables/ http://linux.vbird.org/linux_server/0250simple_firewall.php http://linux.vbird.o

iptables iptables指令用来设置Linux内核的ip过滤规则以及管理nat功能.iptables用于在Linux内核中设置.维护和检查IPv4数据包过滤规则表.可以定义几个不同的表.每个表包含许多内置链,也可能包含用户定义的链.每个链都是一个规则列表,可以匹配一组数据包.每条规则都指定如何处理匹配的数据包.这被称为“目标”,它可能是跳转到同一表中的用户定义链. 此命令的适用范围:RedHat.RHEL.Ubuntu.CentOS.SUSE.openSUSE.Fedora.   1.

centos  Linux系统日常管理2  tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课 上半节课 tcpdumptsharkselinux strings命令 下半节课 iptablescrontab Linux抓包工具 tcpdump 没有的话需要安装:  yum install -y tcpdump tcpdump 抓包工具 只有root用户才能使用, 一般只看数据流向 而不会实

Linux 系统的防火墙功能是由内核实现的 2.0 版内核中,包过滤机制是 ipfw,管理工具是 ipfwadm 2.2 版内核中,包过滤机制是 ipchain,管理工具是 ipchains 2.4 版及以后的内核中,包过滤机制是 netfilter,管理工具是 iptables iptables 用户态 位于/sbin/iptables,是用来管理防火墙的命令工具 为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包   内核态 netfilter: 位于 Linux 内核

iptables命令规则格式: iptables [-t table] SUBCOMMAND chain [-m matchname[per-match-options]] -j targetname [per-target-options] 四表   增删改查 五联 匹配条件(隐式/显式8个) jump处理工作(ACCEPT/REJECT等) -t table: raw, mangle, nat, [filter]默认 SUBCOMMAND: 链管理:面向内网白名单,面向互联网黑名单 -N:n

Firewall:工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查, 并且由匹配到的规则进行处理的一组硬件或软件,甚至可能是两者的组合 隔离用户访问,只允许访问指定的服务    通过ADSL拨号连入互联网 放一个硬件防火墙在网络前  这样的主机 CPU通常都是特制的  这就是硬件防火墙 主机防火墙:工作于主机边缘, 只能对一台主机起到保护作用 网络防火墙:工作于网络边缘, 对多台主机起到保护作用  这是一个硬件 有CPU内存 不需要硬盘 对数据报文进行分析 但是必须打开所有功能,也可以

解压密码6Hai7Gf8   路由转发 0是不转发,1是转发 [root@m01 roles]# cat /proc/sys/net/ipv4/ip_forward 0 临时生效 [root@m01 roles]# echo "1" > /proc/sys/net/ipv4/ip_forward   从配置文件读取配置,临时生效 sysctl -p sed -i '/net.ipv4.ip_forward = 0/ net.ipv4.ip_forward = 1/ /etc/sy

默认刷入的OpenWrt带的ss, 只有ss-redir服务, 但是在实际使用中, 很多时候还是希望访问直接通过正常网关, 只有少部分访问需要通过ss, 所以希望能配置成为ss-local服务. 在保留原有服务的基础上, 添加一个新的Shadowsocks Client配置界面. /usr/lib/lua/luci/controller/ 下新增 shadowrock.lua module("luci.controller.shadowrock", package.seeall) fu

Netfilter包含有三种表,三种表下共包含有五种链,链下面包含各种规则.即表包含若干链,链包含若干规则.  (一)三种表为:filter   nat  mangle 1.filter:处理与本机有关的数据包,是默认表,包含有三种链:input   output forward  2.nat表:与本机无关.主要处理源与目的地址IP和端口的转换.有三种链:prerouting  postrouting output  3.mangle表:用于高级路由信息包,如包头内有更改(如tos改变包的服务类

转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html 本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了.趁有时间,好好把这方面的东西总结一番.一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步. 能在CU上混的人绝非等闲之辈.因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables

netfilter和底层实现 iptables firealld Linux中的防火墙 RHEL中有几种防火墙共存: iptables firewalld ip6tables ebtables 这些软件本身其实并不具备防火墙功能,他们的作用都是在用户空间中管理和维护规则,只不过规则结构和使用方法不一样罢了,真正利用规则进行过滤是由内核的netfilter完成的. 扩展:整个linux内部结构可以分为三部分,从最底层到最上层依次是:硬件-->内核空间-->用户空间. CentOS7默认采用的是f