l094-监控利器nagios手把手企业级实战第三部14节课件19期iptalbes_第1页
l094-监控利器nagios手把手企业级实战第三部14节课件19期iptalbes_第2页
l094-监控利器nagios手把手企业级实战第三部14节课件19期iptalbes_第3页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、IPTABLES1、容器:包含或者说属于的关系2、Netfilter/iptables 是表的容器,iptables 包含的各个表(filter,NAT,MANGLE,RAW)3、iptables 的表 tables 又是链的容器链 chains:INPUT,OUTPUT,FORWARD,PREROUTING,TROUTING4、链 chains 是规则容器:5、规则 Policy:一条条过滤的语句。 lsmod |egrep nat|filtermodprobe modprobe modprobe modprobe modprobe modprobe modprobeip_tables ip

2、table_filter iptable_nat ip_conntrack ip_conntrack_ftp ip_nat_ftpipt_se【话唠】老男孩(49000448)16:37:17iptables iptables iptables-F-X-Z/清除所有规则,不会处理默认的规则。/删除用户自定义的链。/链的记数器清零。【话唠】老男孩(49000448)16:41:53rootipt # iptables -t filter -A INPUT -p tcp -dport52113 -j DROP(2)掉当前 SSH 端口,这里是 52113。语法:Usage:iptables -t具

3、体命令: iptables iptables -t注:table -AD chain rule-specification options-A INPUT -p tcp -dport 52113 -j DROP filter -A INPUT -p tcp -dport 52113 -j DROPiptables 默认用的就是 filter 表,因此,以上两条命令等价。其中的 INPUT DROP 要大写。3. -jump-jfor rule (may loadexten)基本的处理行为:ACCEPT(接受)、DROP(丢弃)、REJECT(比较:DROP 好于 REJECT)rootipt

4、# iptables -L -n -line-numbersChain INPUT num(policy ACCEPT) prot opt sourcedestination /01DROPtcp-/0tcpdpt:80Chain numFORWARD(policy ACCEPT)protopt sourcedestinationChain numOUTPUT (policyprotACCEPT)opt sourcedestinationrootipt #iptables -t filter-D INPUT 1话唠】老男孩(49000448)16:54:48iptables -A INPUT

5、-p tcp -dport 9001 -j【话唠】老男孩(49000448)16:56:29rootipt # iptables -I INPUT 2 -p tcp【活跃】菜鸟-周(135810)17:02:4439DROP-dport 8080 -j DROP【话唠】老男孩(49000448)根据源地址封:rootipt # iptables -t【话唠】老男孩(49000448)17:03:35filter -A INPUT 17:10:10-i eth0 -s 04-j DROPiptables -t filter -A INPUT -i eth0 ! -s【话唠】老男孩(4900044

6、8)17:11:4204 -j DROPiptables -t filter-I INPUT -p icmp -icmp-type 8 -i eth0 ! -s /24-j DROP【话唠】老男孩(49000448)17:12:51rootipt # iptables -t filter-s /24 -j DROP封掉 3306 端口-I INPUT -p icmp -icmp-type 8 -i eth0iptables -A INPUT -p tcp -dport 3306 -j DROP【话唠】老男孩(49000448)17:13:55匹配指定协议外的所有协议iptables -A IN

7、PUT匹配主机源 IP-p! tcpiptables iptables-A-AINPUT INPUT-s-s4! 4匹配网段iptables-AINPUT-s/24iptables -A INPUT匹配单一端口 iptables -A INPUT iptables -A INPUT-s! /24-p-ptcp udp-sport-dport5353匹配指定端口之外的端口 iptables -A INPUT -p tcp iptables -I INPUT -p tcp【话唠】老男孩(49000448)匹配单一端口iptables -A INPUT -p tcp iptables -A INPU

8、T -p udp-dport! 22! -dport 2217:15:05-s 23 -j DROP-sport-dport5353匹配指定端口之外的端口 iptables -A INPUT -p tcp iptables -I INPUT -p tcp【话唠】老男孩(49000448)-dport! 22! -dport 2217:17:00-s 23 -j DROPiptables -I INPUT匹配端口范围:-ptcp-dport52000:53000 -j DROPiptables iptables iptables iptables iptables-A-I-I-I-IINPUT

9、INPUT INPUT INPUT INPUT-p-p-p-p-ptcp tcp tcp tcp tcp-sport-dport22:8021,22,23,24 -j ACCEPT=错误语法-m multiport -dport 21,22,23,24 -j ACCEPT-dport 3306:8809 -j ACCEPT-dport 18:80 -j DROP 17:18:14【话唠】老男孩(49000448)匹配 ICMP 类型iptables -A INPUT -p icmp -icmp-type 8例:iptables -A INPUT -picmp -icmp-type 8 -j D

10、ROPiptables -A INPUT -p icmp -m icmp -icmp-type any匹配指定的网络接口iptables -A INPUT -i eth0 iptables -A FORWARD -o eth0方法:-j ACCEPT-in-erface -i ! input name+networkerfacename (+ forwildcard)-out-erface -o ! output name+networkerfacename (+ forwildcard)匹配网络状态-m se -seNEW:已经或将启动新的连接 ESTABLISHED:已建立的连接 RELA

11、TED:正在启动新连接INVALID:或无法识别的FTP 服务是特殊的,需要配状态连接。7.允许关联的状态包通过(web 服务不要使用 FTP 服务) #others RELATED ftp 协议#允许关联的状态包iptables -A INPUT -m s iptables -A OUTPUT -m se -se -se ESTABLISHED,RELATED -j ACCEPT e ESTABLISHED,RELATED -j ACCEPT#ipconfig conf end比喻:看出去 WC 或者接个,回来也得允许进去。-m limit-limit n/second/minute/hou

12、r:指定时间内的请求速率n为速率,后面为时间分别为:秒、分、时-limit-burst n:在同一时间内允许通过的请求n为数字,不指定默认为 5fg:本机地址:,允许 /16 网络本机,但限制每分钟请求iptables-m limit过 20,每次并发过 6 个-A INPUT -s /16 -d -p icmp -icmp-type 8-limit 20/min -limit-burst6 -j ACCEPT-d /16 -p icmpiptables -A OUTPUT -s -icmp-type 0-j ACCEPT配置一个企业: iptables iptables iptablesro

13、otipt rootipt rootipt rootipt ACCEPTrootipt rootipt rootipt#-F-X-Z# iptables -A INPUT -p tcp-dport 52113 -s /24-j#iptables iptables iptables-A-A-AINPUT -i lo INPUT -o lo-j ACCEPT-j ACCEPTOUTPUT -o lo -j ACCEPT允许合法的进入:iptables iptables iptables iptables iptables-A-A-A-A-AINPUT INPUT INPUT INPUT INPUT

14、-s-s-s-s-s6/27 -p all -j ACCEPT/24/24 -p/24/24-p all all -j-p all-p all-j ACCEPT ACCEPT-j ACCEPT-j ACCEPTiptables-AINPUT-picmp -icmp-type 8-j ACCEPT#others RELATED ftp 协议#允许关联的状态包 iptables -A INPUT -m s iptables -A OUTPUT -m se -se -se ESTABLISHED,RELATED e ESTABLISHED,RELATED-j-jACCEPT ACCEPTnmap 9

15、 -p 1-65535【话唠】老男孩(49000448) iptables -A INPUT -p icmp #others RELATED ftp 协议 #允许关联的状态包 iptables -A INPUT -m s iptables -A OUTPUT -m s【话唠】老男孩(49000448)17:39:22-icmp-type 8-j ACCEPTe -se -s 17:46:52e ESTABLISHED,RELATED e ESTABLISHED,RELATED-j-jACCEPT ACCEPTiptables iptables iptables iptables iptable

16、s iptables iptables-F-X-Z-A-A-A-PINPUT -p tcp-dport 52113 -s /24-jACCEPTINPUT -i lo -j ACCEPT OUTPUT -o lo -j ACCEPT INPUT DROPiptables iptables iptables-P-P-AOUTPUT ACCEPT FORWARD DROPINPUT-s6/27 -p all -j ACCEPiptables-AINPUT-s/24-p all-j ACCEPTiptables-AINPUT-s/24 -pall -jACCEPTiptables-AINPUT-s/

17、24-p all-j ACCEPTiptables-AINPUT-s/24-p all-j ACCEPTiptables iptables iptables iptables-A-A-A-AINPUT INPUT INPUT-p-ptcp icmp-dport 80 -j ACCEPT-icmp-type 8-j ACCEPT-m se -se -se ESTABLISHED,RELATED e ESTABLISHED,RELATED-j-jACCEPT ACCEPTOUTPUT -m s企业 iptables 面试题:自定义链处理 syniptables iptables iptables

18、iptables-N syn-flood-A INPUT -i eth0 -syn -j syn-flood-A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN-A syn-flood -j DROP【话唠】老男孩(49000448)17:49:48iptables-save /etc/sysconfig/iptables局域网共享的两条命令方法:方法 1:适合于有固定 iptables -t nat -A-to-source 地址的:TROUTING -s /24 -o eth0 -j SNAT(1)-s(2)-o(3)

19、-j/24eth0 为网关的SNAT -to-source或 IDC 内网网段。卡接口。9 是网关卡 IP 地址。方法 2:适合变化 iptables -t nat -A地址(ADSL):TROUTING -s /24 -j MASQUERADE。iptables 的生产常用场景:1)实现服务器本身功能,使用 filter 表。2)实现局域网上网网关,使用 nat 表,网关上也可以同时用 filter 表做。实现 NAT 功能,如:由外部 IP表。其他。略。到服务器 IP(包括端口),使用 nat【话唠】老男孩(49000448)19:03:15iptables-tnat-APREROUTING-d -ptcp-dport80-jDNAT-to-destination:9000【话唠】老男孩(49000448)19:27:56生产环境大于 254 台机器网段划分及路由解决方案详解01/v_show/id_XNTAyMjAwMzI0.html【话唠】老男孩(49000448)19:29:43(1)生产环境大于 254 台机器网段划分及路由解决方案详解 01/v_show/id_XNTAyMjAwMzI0.html(2)linuxro

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论