随笔分类 - iptables
摘要:密码策略配置 1、设置密码的有效期和最小长度 vim /etc/login.defs PASS_MAX_DAYS 90 #密码过期时间,设置90表示90天后过期,默认为99999,表示永不过期(Maximum number of days a password may be used) PASS_M
阅读全文
摘要:ACCEPT、DROP 都属于基础动作 一、REJECT 属于扩展动作: REJECT的动作常用选项为--reject-with + 拒绝原因 可加的原因有 默认值是 icmp-port-unreachable icmp-net-unreachable icmp-host-unreachable i
阅读全文
摘要:将B作为网络防火墙的出口,需要对当前的网络进行转发操作 在A可以ping通B 但是ping不通同网段的C的时候,可以开启B的网络转发功能。 使用如下命令查看当前主机是否已开启了核心转发,立即生效,但是重启网络配置后会失效 方法1: root@ubuntu:~# cat /proc/sys/net/i
阅读全文
摘要:自定义链存在的意义:对链进行分类 target可能是一个“动作“也可能是一个”自定义链” 1.新增自定义链。 root@ubuntu:~# iptables -t filter -N IN_WEB#结果 root@ubuntu:~# iptables -nvL Chain INPUT (policy
阅读全文
摘要:黑白名单机制 使用白名单机制 则链的默认策略为 DROP 链中对应的规则应为 ACCEPT 使用黑名单机制 则链的默认策略为 ACCEPT 链中对应的规则应为 DROP iptables -F清空规则时 放行规则被删除 则所有数据包都无法进入 所以要执行DROP为默认策略 则将链保持默认策略为“AC
阅读全文
摘要:为了防止恶意攻击主动连接到你的主机 我们需要通过iptables的扩展模块判断报文是为了回应我们之前发出的报文还是主动向我们发送的报文 state模块可以让iptables实现 连接追踪机制 报文状态可以分成 NEW ESTAVLISHED RELATED INVALID UNTRACKED NEW
阅读全文
摘要:ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数
阅读全文
摘要:基本匹配条件 -s 匹配条件 源地址 ① 一次性指定多个ip源地址,用“逗号”隔开,多个特定ip地址 iptables -t filter -I INPUT -s 192.168.23.242,192.168.23.47 -j DROP ② 指定特定网段 iptables -I INPUT -s 1
阅读全文
摘要:我们定义了四张表:raw表、mangle表、nat表、filter表,不同的表有不同的功能 filter表用来过滤,允许哪些ip、端口访问,禁止哪些ip、端口访问,表中会有很多链 ①禁止ip地址访问我们主机 >发往本机的经过PREROUTING,但是PREROUTING不在filter表中,因此PR
阅读全文
摘要:防火墙相关概念。 逻辑上,防火墙可以分为主机防火墙和网络防火墙。 主机防火墙:针对单个主机进行防护 网络防火墙:处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网 网络防火墙和主机防火墙并不冲突,网络防火墙主外(集体),主机防火墙主内(个人) 物理上,防火墙可以分为硬件防火墙和
阅读全文