11-19 课堂笔记

最新推荐文章于 2022-04-01 09:00:10 发布
最新推荐文章于 2022-04-01 09:00:10 发布
阅读量153 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EM_F_Z/article/details/84262740
版权

  1. 安全意识

在生产中的服务器最好做一些规则的设置,增加白名单,尽可能避免关闭防火墙服务

 

  1. iptables五个表常用的是filter和nat表,链常用的是INPUT,PREROUTING,POSTROUTING

 

  1. iptables规则保存在/etc/sysconfig/iptables下面,系统重启时会调用里面的规则

 

  1. state模块

state模块可以使iptables实现连接追踪机制,对于state而言,只要两台机器通信就是建立了连接

state模块的报文有以下四种状态

  • NEW-连接中的第一个包

  • ESTABLISHED-NEW状态后的包都为ESTABLISHED

  • RELATED

http://note.youdao.com/noteshare?id=6538810ee52b6a38bd6d2c9b447bc930

简单理解RELATED,一个连接如果是RELATED,那么要有一个ESTABLISHED的连接,这个ESTABLISHED的连接在产生一个主连接之外的连接就是RELATED.

ftp(port20数据端口 和port21连接端口)就是一个很好的例子FTP-data和FTP-control 有关,control决定了哪些data传输,所以如果iptables没有设置RELATED的规则就无法正确建立ftp连接,如果21端口设置了RELATED放行,那么20端口也会自动放行

  • INVALID-无法识别没有状态

 

  1. nat表的应用

nat表主要用于修改报文的ip地址,这个作用可以应用到以下场景

公司网络有10台主机,当主机与外部通信时担心暴露自己的ip地址,经过iptables和路由器时可以使用nat表的规则来隐藏地址

具体思路如下

当10台机器向外发送报文时,经过防火墙,把报文的源ip地址改成路由器或者防火墙的ip地址,来隐藏原地址-SNAT

当外部回应报文,经过防火墙,又把目标ip地址转换成10台机器的ip地址-DNAT

整个过程需要映射ip地址和端口

 

上述过程也可以使局域网内的主机共享公网ip,使私网ip可以上网

MASQUERADE-可以动态地把原地址转换为可用的ip, 作用和SNAT相似

EM_F_Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 2861
【IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
iptablesstate状态
Error_404notFound的博客
05-31 1675
定义包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里, 只有4种状态:NEW,ESTABLISHED,RELATED 和INVALID。它们主要是和状态匹配一起使用。以便匹配数据包。这可以使我们的防火墙非常强壮和有效参数-m state --state <NEW,ESTATBLISHED,INVALID,RELATED> ##指定匹配哪种状态– INVALID: 无效
iptables 之-m -state
wsclinux的专栏
11-12 2万+
Iptables参数 -m state --state 有数种状态,状态有: ▪ INVALID:无效的封包,例如数据破损的封包状态 ▪ ESTABLISHED:已经联机成功的联机状态; ▪ NEW:想要新建立联机的封包状态; ▪ RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关, 可能是响应封包或者是联机成功之后的传送封包!这个状态很常被设定,因为设
Linux笔记-iptables模拟公司环境配置
IT1995的博客
04-01 897
需求有3点: ①员工在公司内部(10.10.155.0/24,10.10.188.0/24)能访问服务器上的任何服务。 ②出差员工在上海,通过VPN连接到公司,外网(员工)拨号到VPN服务器,就可以使用内网的FTP、SAMBA、NFS、SSH。 ③公司有一个门户网站需要允许公网访问。 允许外网访问服务: http 80/tcp https 443/tcp smtp 25/tcp smtps 465/tcp pop3 110/tcp pop3s
linux网卡协商ip监测,Linux下如何实现网络状态检测
weixin_39880337的博客
05-03 217
. iptables规则中的state匹配在2.4/2.6内核的Linux中的防火墙代码netfilter中实现了状态检测(statefulinspection)检测技术,在命令行接口的iptables命令是通过匹配“-m state”来实现,“-mstate”匹配中定义了四种状态:NEW,表示新连接;ESTABLISHED,表示已经建立的连接;RELATED,表示相关的子连接;INVALID,表...
Linux防火墙规则-Iptables
u010547141的博客
12-07 868
Iptables规则 iptables防火墙 一、防火墙的功能 1、过滤数据包 2、进行地址转换 3、实现QoS功能 4.链接跟踪 二、iptables的结构 1、表(-t) raw表:做链接跟踪(OUTPUT,PREROUTING) filter表:实现数据包过滤功能(INPUT,OUTPUT,FORWARD) nat表:实现地址转换(源地址转换、目标地址转换、端口转换)(...
Oracle 19C OCP课堂笔记.zip
12-23
Oracle 19C OCP课堂笔记.zip
Oracle 19C OCP全程课堂笔记
09-28
第1节 Docker环境的安装.pdf 第2节 rpm包安装Oracle 19c单实例.pdf 第3节 19c ASM Restart环境安装.pdf 第4节 Restart安装后续工作、学习资料分享、cdb体系结构.pdf 第5节 连接cdb和pdb、创建服务、手工创建cdb...
Oracle 19C OCP全程课堂笔记.rar
03-05
Oracle 19C OCP全程课堂笔记,参加OCP考试的朋友,可以下载下来看看,练习一下
2.3.1~4.3.1 课堂笔记
07-24
布尔代数是数字电子学的基础,它是一种关于0和1的数学运算系统,由19世纪英国数学家乔治·布尔创立。布尔代数主要用于描述逻辑关系,其中0和1分别代表逻辑值“假”和“真”。基本的布尔运算包括与(AND)、或(OR)...
新概念课堂笔记第一册Lesson19-20.pdf
03-14
新概念课堂笔记第一册Lesson19-20.pdf
iptables 参数详解
大鹏
08-01 2987
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport8080 -j ACCEPT -A 追加,在当前链的最后新增一个规则 -p tcp :TCP协议的扩展。一般有三种扩展     --dportXX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如     --dport21  或者 --d
Linux笔记-ftp主动和被动模式下iptables的规则配置
IT1995的博客
03-30 1895
服务端准备 首先安装vsftpd: yum -y install vsftpd 启动服务: systemctl start vsftpd.service 配置文件目录在:/etc/vsftpd/vsftpd.conf 默认情况下,他是开启匿名访问的: 客户端准备 安装ftp yum -y install ftp ftp主动模式 客户端使用主动模式: 主要命令: ftp ip地址 passive 运行 [root@bogon ~]# ftp 192.168.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
weixin_34365635的博客
04-08 4647
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 转载于:https://www.cnblogs.com/gaoyuechen/p/8746031.html
再谈iptables防火墙的连接状态
weixin_34310127的博客
03-17 349
前言   在前面的文中讲过了iptables防火墙连接状态中的ESTABLISHED状态(http://waringid.blog.51cto.com/65148/512140)。除了这个状态之外,iptables还有以下状态,且听我慢慢道来。实验的网络结构以下图为准。  NEW   以下图为例为说明什么是NEW的状态,首先需要知道的是NEW与协议无关,其所指的是每一条连接中的第一个数据...
Iptables防火墙配置
颠覆我的整个世界,只为摆正你的身影
03-29 282
iptables防火墙配置一、防火墙简介1、功能:    1)通过源端口,源IP地址,源MAC地址,包中特定标记和目标端口,IP,MAC来确定数据包是否可以通过防火墙    2)分割内网和外网【附带的路由器的功能】    3)划分要被保护的服务器如果Linux服务器启用了防火墙,SELinux等的防护措施,那么,他的安全级别可以达到B2[原来是C2]2、防火墙分类    1)数据包过滤【绝大多数的...
配置防火墙,开启80端口、3306端口 & iptables 使用详解
热门推荐
HarryChenj的专栏
11-12 6万+
vi /etc/sysconfig/iptables -A INPUT -m statestate NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A INPUT -m statestate NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两条规
iptables常用配置
kwame211的博客
05-13 4828
1. 普通规则1.1 操作规则 iptables -nL 查看本机关于iptables的设置情况,默认查看的是-t filter,可以指定-t nat iptables-save > iptables.rule 会保存当前的防火墙规则设置,命令行下通过iptables配置的规则在下次重启后会失效,当然这也是为了防止错误的配置防火墙。默认读取和保存的配置文件地址为/etc/sysconfig/iptables。 设置chain默认策略 iptable...
oracle 19c ocp全程课堂笔记
最新发布
07-15
Oracle 19c OCP全程课堂笔记是一份详细记录Oracle数据库19c版本OCP培训课程内容的笔记。这个课程旨在为数据库管理员和开发人员提供深入的Oracle数据库知识,并帮助他们准备并通过Oracle Certified Professional (OCP)认证考试。 课程的第一部分主要介绍了Oracle数据库的概述,包括数据库的基本概念、架构和体系结构。学员学习了如何安装和配置Oracle数据库19c,并了解了数据库实例、表空间、数据文件等关键组件。 在第二部分中,学员学习了如何管理数据库对象,包括表、索引、视图和存储过程。他们还学习了如何使用Oracle数据字典来查询和管理数据库元数据。 第三部分重点讲解了Oracle数据库的性能优化和故障排除。学员学习了如何监视和调整数据库性能,并学习了使用工具和技术来解决常见的数据库问题。 在第四部分中,学员学习了如何备份和恢复Oracle数据库。他们了解了不同类型的备份和恢复策略,并学习了如何使用RMAN工具执行备份和恢复操作。 第五部分介绍了Oracle高可用性和数据保护解决方案。学员学习了如何配置和管理数据保护功能,如数据镜像、数据卷和故障转移。 最后,课程结束前,学员进行了一系列实践实验和案例研究,以加深对所学知识的理解和应用。 通过参加Oracle 19c OCP全程课堂,学员可以全面了解Oracle数据库的各个方面,并为OCP认证考试做好充分准备。这些课堂笔记提供了课程内容的详细记录,学员们可以通过复习这些笔记来巩固所学知识并进行复习,以便在考试中取得成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值