建设网站写需求分析,wordpress 入口文件,百度问一问付费咨询,网站域名怎么设置方法目录
iptables
匹配规则#xff1a;由上到下依次匹配#xff0c;一旦匹配不再匹配
参数
知识点
REJECT与DROP
REJECT与DROP的区别
当使用的时REJECT时#xff0c;客户端访问迅速返回的值是拒绝连接
当使用的是DROP时#xff0c;返回的时连接超时
REJECT与drop适用…目录
iptables
匹配规则由上到下依次匹配一旦匹配不再匹配
参数
知识点
REJECT与DROP
REJECT与DROP的区别
当使用的时REJECT时客户端访问迅速返回的值是拒绝连接
当使用的是DROP时返回的时连接超时
REJECT与drop适用场景及危险系数
部署参考
步骤及例子 iptables
匹配规则由上到下依次匹配一旦匹配不再匹配
linux默认使用的是firewalld 使用iptables需要安装相应的应用软件
参数
-t指定操作的是呢个表raw filter mangle nat-t 表名
-p指定匹配的数据包协议类型
-s指定源地址 --source address/mask
-d指定目的地址 --destination address/mask
-i指定数据包来自哪一个接口input froward prerouting--in-interface name
-o指定数据包出口接口input froward prerouting--out-interface name
-L列出指定链上的规则没有则列出所有链上的规则-L chain--list [chain]
-A在指定chain的末尾插入指定的规则规则会被放在最后 --append chain rule-specification
-I在链的指定位置插入一个或多条规则rulenum为1指在链的头部插入也是默认 --insert chain [rulenum] rule-specification
-D在指定的链中删除一个或多个规则
-R替换或者修改链的规则--R chain rulenum rule-specification
-P指定target
-F清空iptables链上的所有规则
-N创建一个新链--new-chain chain
-X删除指定的链这个链中没有使用的规则--delete-chain [chain]
-E给指定的链重命名--rename-chain old-chain new-chain
-j满足某个条件的时候应该执行某个动作
-h帮助信息 知识点
iptables 涉及到5链4表 5链规则链有相应的规则组成
prerouting处理前目的地址转换
input流入的数据包
outpt流出的数据包
forward需要转发的数据包
postouting处理后用于源地址转换 4表规则组成的表
filter过滤表--用于数据包的过滤 3个动作
ACCEPT:允许访问
REJECT拒绝访问
DROP:丢弃数据的操作
REJECT与DROP
REJECT与DROP的区别
REJECT:对访问服务器的流量进行拒绝连接会马上断开断开之后客户端会认为访问的服务器不存在
DROP丢弃数据包不反馈给客户端任何反应客户端会因为连接会话的超时断开
当使用的时REJECT时客户端访问迅速返回的值是拒绝连接
[rootlocalhost ~]# curl 192.168.27.120:80
curl: (7) Failed connect to 192.168.27.120:80; Connection refused
当使用的是DROP时返回的时连接超时
[rootlocalhost ~]# curl 192.168.27.120:80
curl: (7) Failed connect to 192.168.27.120:80; Connection timed out
REJECT与drop适用场景及危险系数
REJECT与DROP的使用场景
REJECTREJECT是一种更符合规范的处理方式并且在可控的网络环境中更易于诊断和调试网络/防火墙所产生的问题
DROP:DROP则提供了更高的防火墙安全性和稍许的效率提高但是由于DROP(不很符合TCP连接规范)的处理方式可能会对你的网络造成一些不可预期或难以诊断的问题。
由于drop是单方面拒绝连接所以客户端并未接受到具体信息会导致客户端只能等到会话超时才能断开。
并且当客户端程序或应用需要IDENT协议支持(TCP Port 113, RFC 1413)如果防火墙未经通知的应用了DROP规则的话所有的同类连接都会失败并且由于超时时间将导致难以判断是由于防火墙引起的问题还是网络设备/线路故障。
部署参考
在部署防火墙时当客户端是企业内部或者是可信任的网络的时候使用REJECT,当面临危险网络或更高级别的防火墙规则部署时使用DROP步骤及例子
1.安装iptables
yum install -y ptables-services.x86_64
2.使用iptables的时候需要将firewalld停止
systemctl start iptables.service
3.iptables简单的查询命令
iptables -vnL #查看iptables的详细信息
iptables -L
iptables -L --line-numbers #显示当前的iptables的规则的序号
iptables -t 链名 -L #只列出查看表的规则
iptables -D 链名 规则链的序号
iptables -F #清空岁所有的规则链
4.开启iptables使浏览器可以访问httpd
开启httpd服务
systemctl restart httpd
编写规则链
iptables -I INPUT -P tcp --dport 80 -j ACCEPT
查看是否写入规则链中
iptables -vnL
确认
curl 192.168.27.120:80
5.另一台服务器121不可以远程连接主机120
iptables -I INPUT -p tcp -s 192.168.27.121 --dport 22 -j REJECT
iptables -I INPUT -p tcp -s 192.168.27.121 --dport 22 -j DROP
6.本主机不可以远程访问另一台主机
iptables -I OUTPUT -p tcp -d 192.168.27.121 --dport 22 -j REJECT
7.禁止192.168.27.121访问本主机的80端口
iptables -I INPUT -p tcp -s 192.168.27.121 --dport 80 -j REJECT
