TCP/IP基本概念: TCP/IP将网络分为四层:应用层,传输层,网络层,链路层. 传输层:定义了两种通信协议,分别为TCP协议和UDP协议. TCP协议:TCP协议在传输 数据过程中会检查数据的完整性,因此传输的数据是不会丢失的. UDP协议:当选择UDP协议作为数据传输方法时,其目的通常在于满足效率方面的要求,而非数据正确性方面的要求. 防火墙的分类:数据包过滤防火墙&应用层防火墙 NETfilter的四个表: filter:filter是NETfilter中最重要的机制,其任务是执行数据

iptables是Linux系统提供的一个强大的防火墙工具,可以实现包过滤.包重定向.NAT转换等功能.iptables是免费的,iptables是一个工具,实际的功能是通过netfilter模块来实现的,在内核2.4版本后默认集成到了Linux内核中. 一. iptables的构成 1. 规则(rules) 规则是iptables对数据包进行操作的基本单元.即“当数据包符合规则定义的条件时,就按照规则中定义的动作去处理”. 规则中定义的条件一般包括源地址/端口.目的地址/端口.传输协议(TCP

[root@xxxx ~]# /etc/init.d/iptables restart iptables: Setting chains to policy ACCEPT: filter nat [ OK ] iptables: Flushing firewall rules: [ OK ] iptables: Unloading modules: [ OK ] iptables: Applying firewall rules: iptables-restore v1.4.7: Couldn'

原文地址:http://jaychang.iteye.com/blog/2214830 一.目前的环境 被监控端192.168.153.191 /usr/local/tomcat 下载了catalina-jmx-remote.jar放到了tomcat安装目录的lib目录下,现在为止这个jar包没有派上用场. /usr/local/jdk1.7.0_79 tomcat的bin目录添加了一个setenv.sh脚本(可以写成一行,这个百度下能找到) CATALINA_OPTS="${CATALINA_

iptables配置文件:/etc/sysconfig/iptables 确认开启路由转发功能方法1:/sbin/sysctl -w net.ipv4.ip_forward=1方法2:echo 1 > /proc/sys/net/ipv4/ip_forward方法3:修改/etc/sysctl.conf,设置 net.ipv4.ip_forward = 1 设置路由转发[root@localhost ~]# vim /etc/sysctl.conf 修改:net.ipv4.ip_forward

centos  Linux系统日常管理2  tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课 上半节课 tcpdumptsharkselinux strings命令 下半节课 iptablescrontab Linux抓包工具 tcpdump 没有的话需要安装:  yum install -y tcpdump tcpdump 抓包工具 只有root用户才能使用, 一般只看数据流向 而不会实

线上iptables重启了下发现报错,排查了下 [root@xxxx ~]# /etc/init.d/iptables restart iptables: Setting chains to policy ACCEPT: filter nat [ OK ] iptables: Flushing firewall rules: [ OK ] iptables: Unloading modules: [ OK ] iptables: Applying firewall rules: iptables

Linux防火墙简介 – iptables配置策略 Netfilter/iptables简介 要想真正掌握Linux防火墙体系,首先要搞清楚Netfilter和iptables的关系,Netfilter和iptables包含在Linux2.4以后的内核中,可实现防火墙.NAT和数据包分割的功能.Netfilter采用模块化设计,具有良好的可扩展性.Netfilter是一个框架,iptables则是我们用户层的工具,通过iptables我们可以配置很多规则,这些规则加载到Netfilter框架中生

注意 修改iptables可能导致连接断开, 对于远程连接的用户, 需要在经过充分测试后在修改, 对于懒人可以设置一个crontab, 在你修改iptables的过程中每隔30分钟清空一次iptables规则, 这样在误操作的情况下依然保障可以正常登录系统 iptables -P INPUT ACCEPT iptables -t filter -F 不放心的话可以将所有表默认规则都设置为ACCEPT, 然后情况所有规则 基本概念 iptables 可以检测.修改.转发.重定向和丢弃 IPv4 数

目录 Iptables之实操 简介 名称概念: 四表中常用的表 Nat表 Filter表 iptables表和链的工作流程图 iptables过滤图 Iptables安装 Iptables 命令说明 Iptables常用命令 Iptables常用语法 常见案例 模块 multiport模块 iprange模块 string模块 time模块 icmp模块 connlimit模块 limit模块 补充知识: 查看centos版本 查看本机端口占用的命令: iptables脚本设置 补充案例 易错点

安装前 里面有iptables的命令 [root@mcw01 ~]$ rpm -qa|grep iptables iptables-1.4.21-18.0.1.el7.centos.x86_64 [root@mcw01 ~]$ rpm -ql iptables /etc/sysconfig/ip6tables-config /etc/sysconfig/iptables-config /usr/bin/iptables-xml ........... /usr/sbin/ip6tables /u

iptables要启用nat表,必须启动nat表的支持.默认情况下,linux下是没有开启nat表的支持的. #启动内核的路由功能 echo > /proc/sys/net/ipv4/ip_forward #上面文件,默认值为0,即没有启动路由功能,所有有的人iptables规则写了,但是没有起作用,很可能就是没有开启内核路由的nat支持功能

" > /proc/sys/net/nf_conntrack_max iptables -t raw -A PREROUTING -p tcp -m tcp --dport -j NOTRACK iptables -t raw -A OUTPUT -p tcp -m tcp --dport -j NOTRACK 原理:http://jerrypeng.me/2014/12/08/dreadful-nf-conntrack-table-full-issue/

linux任务计划 任务计划:特定时间备份数据,重启服务,shell脚本,单独的命令等等. 任务计划配置文件:cat /etc/crontab [root@centos7 ~]# cat /etc/crontab SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin MAILTO=root # For details see man 4 crontabs # Example of job definition: # .---------------

1.现象 在/var/log/message中出现以下信息 Dec 8 11:22:29 product08 kernel: nf_conntrack: table full, dropping packet. Dec 8 11:22:29 product08 kernel: nf_conntrack: table full, dropping packet. 2.nf_conntrack是什么? nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模

挂载U盘 1.进入mnt目录: #cd /mnt 2.新建一个USB目录: #mkdir usb 3.查看U盘的目录: #fdisk –l 4.挂载: #mount –t vfat /dev/sdb1 /mnt/usb -t vfat是指fat的格式,/dev/sdb1 指的是U盘,/mnt/usb是指挂载的地方 5.进入U盘 #cd /mnt/usb 6.卸载U盘 #umount /mnt/usb 或者 umnout /dev/sdb1 注意不要在usb目录下卸载,否则会提示驱动器在忙,一定要

DockerClient端与DockerDaemon的通信安全 容器的安全性问题的根源在于容器和宿主机共享内核.如果容器里的应用导致Linux内核崩溃,那么整个系统可能都会崩溃.与虚拟机是不同的,虚拟机并没有与主机共享内核,虚拟机崩溃一般不会导致宿主机崩溃. ----------------------- Docker 容器与虚拟机的区别 ---------------------- 1. 隔离与共享虚拟机通过添加Hypervisor层(虚拟化中间层),虚拟出网卡.内存.CPU等虚拟硬件,再在其

Docker安全及日志管理 目录 Docker安全及日志管理 一.Docker容器与虚拟机的区别 1. 隔离与共享 2. 性能与损耗 3. 总结 二.Docker存在的安全问题 1. Docker自身漏洞 2. Docker 源码问题 2.1 黑客上传恶意镜像 2.2 镜像使用有漏洞的软件 2.3 中间人攻击篡改镜像 三.Docker架构缺陷与安全机制 1. 容器之间的局域网攻击 2. DDoS 攻击耗尽资源 3. 有漏洞的系统调用 4. 共享root用户权限 四.Docker安全基线标准 1.

一.问题现象 1.现象举例: # 自制的springboot项目的dockerfile # springboot 其实就是一个简单的hello-world程序,写了一个HelloController 做测试 # dockerfile内容: FROM java:8 MAINTAINER shan <test@qq2363581677@163.com> ADD ./demo.jar /demo.jar EXPOSE 8848 CMD java -jar /demo.jar # 构建镜像 docke

Docker 安全及日志管理 容器的安全性问题的根源在于容器和宿主机共享内核. 容器里的应用导致Linux内核崩溃,那么整个系统可能都会崩溃. 虚拟机并没有与主机共享内核,虚拟机崩溃一般不会导致宿主机崩溃. Docker 容器与虚拟机的区别 隔离与共享  :虚拟机通过添加Hypervisor层(虚拟化中间层)虚拟硬件,在此基础上建立虚拟机,每个虚拟机都有自己的系统内核. Docker容器则是通过隔离的方式,将文件系统.进程.设备.网络等资源进行隔离,再对权限.CPU资源等进行控制,最终让容器之间