1、iptables
1.1 iptables简介
Netfilter/Iptables(以下简称Iptables)是unix/linux系统自带的一款免费的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入,流出及流经服务器(路由器)的数据包进行精细的控制。
一般认为Iptables工作在OSI七层的二、三、四层。
大家可以man iptables 查看相关官网介绍
1.2 iptables名词解释
iptables是表(tables)的容器
表(tables)是链(chains)的容器
链(chains)是规则(Policy)的容器
基本关系可以这样描述
1.3 iptables包过滤过程
1.4 iptables表tables和链chains
1.4.1思维导图关系图
1.4.2 iptables包处理简化流程图
1.4.3 iptables的filter表介绍
filter表:和主机自身有关,负责防火墙(过滤本机流入,流出的数据包)。是iptables默认使用的表。这个表定义了三个链(chains),说明如下:
man iptables 可以查看官方解释
对于filter表的控制使我们实现本机防火墙的重要手段
1.4.4 iptables的nat表的介绍
nat表:英文全拼(Network Address Translation),是网络地址转换的意思,即负责来源于目的ip和port的转换。一般用于局域网多人共享上网或者内网IP映射外网IP及不同端口转换服务等功能,nat表的功能很重要。这个表定义了三个链(chains)
man iptables
实验一 怎么禁止ssh无法连接上虚拟机
第一种指定规则方式
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
iptables -D INPUT -p tcp --dport 22 -j DROP
第二种指定行号
iptables -D INPUT 1
iptables -D INPUT2
第三种 直接清空方式
想要禁止ssh连接上主机
-I 在第一行插入命令
-A 在后面追加命令
第一种方式 先清空然添加命令
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j DROP //此实验证明了iptables规则从上向下执行
第二种方式 先清空然后直接添加一条命令
iptables -A INPUT -p tcp --dport 22 -j DROP
实验二 禁止某一IP访问你的主机
iptables -A INPUT -s 192.168.21.254 -j DROP
此时我的xshell就无法连接我的虚拟机了
删除iptables规则
iptables -n -L --line-numbers
iptables -D INPUT 1
实验三 禁止除了本机以外的任何主机连接我的虚拟机
iptables -A INPUT ! -s 192.168.21.254 -j DROP
我的主机ip是192.168.21.254 虚拟的ip是192.168.21.253 输入这条命令以后只有我的主机才能连接我的虚拟机,别人的电脑都无法连接我的虚拟机
删除iptables规则
iptables -F
iptables -X
实验四 filter表示进入主机的处理
iptables 图 网址
http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-6.html
运行tcp_test/tcp_sever tcp_test/tcp_client 127.0.0.1 发现根本没有建立连接
运行udp_test/udp_sever udp_test/udp_server 127.0.0.1 发现server只能收到数据,但是客户端无法收到server发回来的数据,防火墙起作用了
实验五 nat表实际使用
第一步
配置linux网关B vi /etc/sysctl.conf net.ipv4.ip_forwarding = 1 //开启linux FORWARD功能
首先开启内部服务器C的nginx http服务
/usr/local/nginx/sbin/nginx //这个服务器,我尝试了好多次才配置成
netstat -ln | grep 80
启动以后,用B服务器 wget 172.16.1.17 发现可以下载页面,但是用笔记本(192.168.21.254)没办法登录
第二步
怎么用内部服务器C ping通 笔记本
现在内部服务器C ping 笔记本无法ping通 ping 192.168.21.254 无法ping通
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth1 -j SNAT --to-source 192.168.21.253
配置完以后内部服务器C ping 笔记本 ping 192.168.21.254 ping通
1.4.5 iptables 详细使用过程,请参考朱双印防火墙
pdf下载地址如下:
朱双印博客:http://www.zsythink.net/archives/category/%e8%bf%90%e7%bb%b4%e7%9b%b8%e5%85%b3/iptables/
2、介绍一个小工具TC
实验七
有一个机器做服务器 利用scp命令传输文件,看网速
scp 文件名 rising@192.168.21.198:/home/rising/cfttest 有TC限制和无TC限制网速差别很大
TC命令控制发送不控制收数据,下面的命令是在主机是192.168.21.196上配置的,需要对比没有TC和有TC下的scp速度
使用 tc 对整段 IP 进行速度控制
tc qdisc del dev eth0 root 2> /dev/null > /dev/null //清楚tc规则
1.)定义最顶层(根)队列规则,并指定 r2q 类别编号
tc qdisc add dev eth0 root handle 1: htb r2q 1
2.) 定义第一层的 1:1 类别 (速度)
tc class add dev eth0 parent 1: classid 1:1 htb rate 500kbit ceil 1000mbit
.
rate: 是一个类保证得到的带宽值.如果有不只一个类,请保证所有子类总和是小于或等于父类.
prio:用来指示借用带宽时的竞争力,prio越小,优先级越高,竞争力越强.
ceil: ceil是一个类最大能得到的带宽值.
3.)设定过滤器,其实就是将ip对应上规则
tc filter add dev eth0 parent 1: protocol ip prio 16 u32 match ip dst 192.168.21.0/24 flowid 1:1
就可以限制192.168.21.0 到255 的带宽为500k了,实际下载速度为110k左右.
这种情况下,这个网段所有机器共享这110k的网速.
3、参考材料
百度讲的比较细的网址http://wenku.baidu.com/view/f02078db50e2524de5187e45.html
linux 下使用 tc 模拟网络延迟和丢包 http://my.oschina.net/shou1156226/blog/514929
下面这个实例基本都能运行
linux下使用 TC 对服务器进行流量控制 2012-09-19 16:48:55
http://blog.chinaunix.net/uid-25885064-id-3353088.html
扫一扫
257
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
