Linux云计算学习笔记day51
2019-07-02 本文已影响0人
我要笑
iptables防火墙
常见防火墙选用 硬件
开源软件:iptables (默认规则改为 INPUT DROP)
云服务器:安全组(阿里云 白名单[默认是拒绝])Iptables使用 执行过程 Iptables 4表5链
filter nat mangle raw
filter : INPUT
nat : PREROUTING POSTROUTING
pre prefix xxx之前routing route
post xxx之后
准备Iptables环境Iptables功能之防火墙-filter
封IP 封端口 准许某个ip访问 网段访问
实际生产iptables配置
Iptables功能之内网服务器上外网(共享上网) Iptables功能之端口转发
2. 常见防火墙
选用公司网站入口使用的硬件防火墙、三层路由带有防火墙功能 Iptables访问量小 C5 C6 默认,CentOS 7 Firewalld(关闭 安装iptables)
SELinux
3. 名词(关系)与单词
image.png4. 防火墙执行过程
1. 防火墙是层层过滤的,实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
2. 如果匹配上规则,即明确表示是阻止(DROP)还是通过(ACCEPT)数据包就不再向下匹配新的规则。
3. 如果规则中没有明确表明是阻止还是通过的,也就是没有匹配规则,向下进行匹配,直到匹配默认 规则得到明确的阻止还是通过。
4. 防火墙的默认规则是所有规则执行完才执行的。
image.png5. 四表五链
5.1 整体说明 4表及作用
image.png参考查询帮助: man iptables
5.2 4表中的5链
image.png[图片上传中...(image.png-7cccd6-1562068013669-0)]
5.2.1 filter表
image.png5.2.2 nat表
image.png5.2.3 Mangle表 主要负责修改数据包中特殊的路由标记,如TTL,TOS,MARK等,这个表定义了5个链
(chains):
6. 防火墙之filter表
6.1 环境准备
image.png image.png6.2 配置规则-禁止访问22端口
image.png配置防火墙规则注意事项:
1. 去机房重启系统或者登陆服务器删除刚才的禁止规则。
2. 让机房人员重启服务器或者让机房人员拿用户密码登录进去 3. 通过服务器的远程管理卡管理(推荐)
4. 先写一个定时任务,每5分钟就停止防火墙
5. 测试环境测试好,写成脚本,批量执行
6.3 iptables 命令及参数
image.png image.png image.png6.4 filter表其他规则配置 6.4.1 只让10.0.0.0/24网段进行访问
只要是10.0.0.0/24 局域网的用户 访问m01 都ACCEPT
此例子主要限制:网段或ip地址
[图片上传中...(image.png-71d478-1562068421216-0)]
6.4.2 准许或禁止端口