1、Linux 系统结构,在X86平台的CPU,是如何执行内核程序和用户程序的
ring0:(执行与硬件相关或者硬件寄存器相关或者总线控制相关的程序)
ring1-2:(驱动程序或者与虚拟化相关的程序)
ring3:(执行用户态的程序)
2、防火墙基础
从逻辑上分类:
网络防火墙:针对网络入口进行防护。
主机防火墙:针对单个主机进行防护。
从物理上分类:
硬件防火墙:在硬件级别实现部分防火墙功能。性能高,成本高
软件防火墙:应用软件处理逻辑运行于通用应用平台上的防火墙。性能低,成本低。
网络安全的知名企业:深信服,思科,天融信
硬件防火墙:
思科(AIR-CT5508-300-K9)
华为(USG6670)
3、四表,五链
四表:
filter, (INPUT,FORWARD,PUTPUT) *负责过滤功能*
nat ,(PREROUTING,POSTROUTING,OTPUT) *网络地址转换功能*
raw,(PREOUTING,OUTPUT) *关闭nat表上的连接追踪机制*
mangel(五条链都存在) *拆解报文,做出修改,并重新封装的功能*
五链:
INPUT,
OUTPUT,
PREROUTING,
FORWARD,
POSTROUTING。
四表在同一条链中有顺序:
raw (锁定转发)> mangle(拆解报文) > nat (网络地址转化)>filter(过滤)
4、防火墙配置(先全部拒绝,再添加)
iptables -t filter -I INPUT -j REJECT #拒绝所有
(1)iptables
参数 | 功能 |
---|---|
-t | 指定操作的表默认不指定-t选项时就是filter表 |
-L | 列出规则 |
-v | 选项列出更多更详细的信息 |
-n | 表示不解析IP地址,直接显示IP地址 |
–line-number | 显示规则序号 |
modprobe iptable_表名:加载模块
iptables -L :查看所有规则
iptables -F :清空规则
iptables -t 表名 -L :查看指定表规则
iptables -nvL --line-number
-n:转化为数字
-v:显示详细信息
–line-number:显示链下规则
(2)增加:
target:
ACCEPT:容许,接收
DROP:丢弃
REJECT:拒绝
参数 | 功能 |
---|---|
-t | 指定操作的表 |
-I | 指定插入规则的那个链,添加到第一行 |
-s | 指定“匹配条件”中的源地址 |
-d | 指定“匹配条件”中的目的地址 |
-j | 指定“匹配条件”中的动作 |
-A | 指定插入规则的那个链,添加到最后一行 |
-I 链名 行号 | 具体添加到某一行 |
–dport | 目标端口 |
–sport | 源端口 |
-p 协议名 | 指定协议 |
iptables -t filter -I(i) INPUT -s 192.168.234.22 -j DROP(丢弃)
iptables -t filter -I INPUT -s 192.168.42.102 -j REJECT
iptables -t filter -A INPUT -s 192.168.42.102 -j REJECT(拒绝)
iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT(允许)
(3)删除:
1)iptables -F
2)iptables -t filter -D INPUT 2 (删除指定表中的指定行)
3)iptables -t filter -D INPUT -p tcp --sport 22 -j ACCEPT 删除固定的某一条规则。
(4)修改:
iptables -t filter -R INPUT 2 -s 192.168.42.102 -p tcp --dport 80 -j ACCEPT
-R:修改
(5)查询:
iptables -nvL --line-number
(6)保存规则:(保存位置:/etc/sysconfig/iptables)
servicce iptables save(保存到文件/etc/sysconfig/iptables)
Iptables-save > /etc/sysconfig/iptables(输出规则到屏幕)
文件对比:生成校验码(md5sum 文件名)
5、1)setenforce 0:关闭防火墙
2) getenforce 1:打开防火墙
3)永久关闭防火墙 chkconfig iptables off
4)永久开启防火墙 chkconfig iptables on