坚持#第284天~iptables学完啦！开始学AC证书啦

本文链接：https://blog.csdn.net/libanxian9527/article/details/79242905

防火墙的功能是通过netfilter内核实现的，分为四表五链

集群要4、6、8台

新机器要配的环境(老师的)：

先创建新的机器，然后克隆几台新的，然后把克隆的做个快照只使用克隆的机器

网卡enp3s0变为

/etc/default/grub

倒数第二行后面添加net.ifnames=0biosdevname=0保存退出

grub2-mkconfig-o /boot/grub2/grub.cfg然后reboot重启

PREROUTING老师说最好使用-i 外网网卡名

ssh的对象是INPUT和OUTPUT

如果FORWARD链默认为DROP，那么内网看不了外网的网站，外网也看不了内网的网站了，怎么办：

iptables -AFORWARD -s 172.16.1.100 -p tcp --dport 80 -j ACCEPT添加了还是没有用，怎么办：

这是因为防火墙的机制,这样解决：

state 基于状态的防火墙状态匹配(属于扩展匹配)

-m state--state INVALID ...

NEW 匹配第一次建立的数据包

ESTABLISHED 你会发现tcp里面也有这个，第三次握手就出现这个，但防火墙里面的不一样，匹配两次合法连接就出现这个

RELATED 用于FTP场景，有关联的状态，和relative相关，FTP主动和被动模式，20、21、大于1024的端口，控制层21连接建立通道、数据层20传输数据

INVALID 中文：无效的意思，无关状态，未知的状态就屏蔽掉 iptables -t filter -I INPUT -m multi我们应该在哪放行状态？远程连接不上了那些表那些链影响到了？INPUT和OUTPUT嘛：iptables -t filter -IINPUT -m state --state ESTABLISHED.RELATED和它相关的 -j ACCEPT;iptables -t filter -IOUTPUT -m state --state ESTABLISHED.RELATED -j ACCEPT这样ssh就没问题了，内网上外网和外网上内网要指定FORWARD链做扩展匹配iptables -t filter -IFORWARD -m state --state ESTABLISHED.RELATED -j ACCEPT但是发现只可以内网访问外网，外网还是不能访问内网，怎么办：还是状态的问题，需要把FORWARD进来的状态，从公网网卡80进来的全部放行：

iptables -tfilter -A FORWARD -i 外网网卡名 -p tcp--dport 80 -j ACCEPT

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

注意POSTROUTING和PREROUTING在nat表里面的，在filter表里面没有，这里面只有进出转发

修改自定义链名称：

你没有自定义链怎么修改自定义链名称呢？哈哈哈，首先要创建一个自定义链呀：

iptables -Nlibanxian创建自定义链,默认是filter表

iptables -Elibanxian LIBANXIAN修改自定义链名称

删除指定的自定义链：

iptables -FLIBANXIAN清空链里面的规则

iptables -XLIBANXIAN删除自定义链，注意删除之前链里面不能有规则

扩展匹配条件-m：

-m icmp：

只允许我PING别人，不允许别人PING我

# iptables-A INPUT -p icmp --icmp-type echo-request -j DROP

只允许别人PING我，不允许我PING别人

# iptables-A INPUT -p icmp --icmp-type echo-reply -j DROP

-m iprange：

iptables -tfilter -I INPUT -m iprange --src-range 192.168.2.20-192.168.2.100 -j REJECT

-m multiprot：

iptables -mmultiport -h查看扩展匹配之multiport的帮助

iptables -AINPUT -p tcp -m multiport --dports 20,21,22,25,80,110,3306 -j DROP注意是--dports

-m state：

FTP主动模式就是这样：

iptables -tfilter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -tfilter -I INPUT -p tcp --dport 20:21 -j ACCEPT这个是FTP主动模式20数据端口放行FTP

iptables -tfilter -A INPUT -j REJECT

modprobenf_conntrack_ftp 需要加载模块(临时，下面的是永久)

vim/etc/sysconfig/iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"

-m tos：

iptables -mtos -h抓包字段TOS的帮助{

Minmize-Delay低延迟，网站想秒速出来

Throughput最大吞吐量

Reliablity可用的能力最大值

Cost低消费

Normal普通的

}

[root@uplook~]# iptables -F

[root@uplook~]# tcpdump -i eth0 -nn port 22 -vvv //抓取远程主机访问本机ssh数据包，分别于输入密码前和后观察TOS值

[root@uplook~]# tcpdump -i eth0 -nn port 22 -vvv //抓取远程从本机rsync或scp复制文件，分别于输入密码前和后观察TOS值

小结：都是使用22/tcp，但可以通过IP报文中的TOS值来区分应用

ssh： tos 0x0 0x10

scp： tos 0x0 0x8

rsync: tos0x0 0x8

[root@uplook~]# iptables -m tos -h

[root@uplook~]# iptables -t filter -A INPUT -p tcp --dport 22 -m tos ! --tos 0x10 -j ACCEPT //仅拒绝客户端ssh到本机

[root@uplook~]# iptables -t filter -A INPUT -j REJECT

-m tcp：

Flagsare: SYN ACK FIN RST URG PSH ALL NONE

[root@uplook~]# iptables -t filter -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST SYN--dport 80 -j ACCEPT

[root@uplook~]# iptables -t filter -A INPUT -p tcp --syn --dport 80 -j ACCEPT

-m limit： [要命不要脸]

[root@uplook~]# iptables -F

实验：从客户端ping本机，观察序列号

[root@uplook~]# iptables -t filter -A INPUT -p icmp -m limit --limit 20/minute -j ACCEPT

[root@uplook~]# iptables -t filter -A INPUT -j REJECT

进入本机INPUT链的ICMP，如果匹配第一条则放行，不匹配的将被第二条拒绝，默认前5个不限

16/second

16/minute

16/hour

16/day

[root@uplook~]# iptables -t filter -A INPUT -p tcp--syn --dport 80 -m limit --limit50/second -j ACCEPT 防止恶意三次握手的攻击。

[root@uplook~]# iptables -t filter -A INPUT -j REJECT

-m connlimit限同一IP最大连接数

[root@uplook~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit ! --connlimit-above2 -j ACCEPT

//仅允许每个客户端有两个ssh连接

====================================================================

等价于：

[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2-j REJECT

//超过两个连接拒绝

====================================================================

[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above100 -j ACCEPT

//仅允许每个客户端有100个requests

[root@uplook~]# iptables -A INPUT -j REJECT

-m time：

[root@uplook~]# iptables -A INPUT -m time --timestart 12:00 --timestop 13:00 -j ACCEPT

[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 22 -m time --timestart 12:00--timestop 13:00 -j ACCEPT

[root@uplook~]# iptables -A INPUT -j REJECT

-m comment：

[root@uplook~]# iptables -A INPUT -s 172.16.130.7 -m comment --comment "cloudclass" -j REJECT

-m mark：

[root@uplook~]# iptables -t filter -A INPUT -m mark --mark 2 -j REJECT

视频等大流量的都是用UDP协议而不是用TCP协议的

iptables初衷：

要解决公司上网的问题：

内网上外网、外网上内网、发布网站、上网行为管理(包括防御)

iptables防火墙学完啦！

数据加密：

大一点的公司插U盘还要公司专用的U盘

老板要你管理机房，基于安全策略，别的部门来机房找你，有可能偷一个磁盘走了，所以可以设置“电子眼监控”、“登记”、“防火(二氧化碳)”、“中毒/杀毒软件,蠕虫导致硬盘卡死，BIOS病毒,社会行为学盗取商业机密，间谍，保洁阿姨垃圾纸”、“服务(selinux)/物理/网络安全(iptables VPN)”

加密和解密使用同一把钥匙，这样的就叫对称加密

优点：加密的效率高，速度快，还可以加密大量的数据

缺点：密钥的传递问题存在隐患

hash算法的特点：有1个字符变化，那么全都会变化

md5就是属于hash算法

echo 1 |md5sum

echo 1 |sha512sum

对称加密算法：

DES, 3DES,RC4, RC5, RC6, BASE64, AES256

第二类：公钥加密/非对称加密

加密和解密使不用的同钥匙，一般是公钥加密，私钥解密

优点：解决了密钥传递的问题

缺点：效率低，加密速度慢，比对称加密速度慢1000倍，只能加密少量数据

第三种：两者结合

验证文件的完整性与初衷是否一致,验证数据是否被别人偷改了

写一个文件

md5 文件名

修改文件

md5 文件名

如果改了，那么md5也会发生变化，可以判断数据是否被别人偷改了

老师实验：

node1:192.168.122.226模式NAT，自动获取ip

node2:192.168.122.214模式NAT，自动获取ip

node1:

echo “I loveyou” > love.txt

openssl enc-des3 -a -in love.txt -out love.enc 这个enc是encoding编码加密，-des3是加密类型，-a是ascii码，可以看到乱码的解析，-in是要给哪个文件加密，-out是输出要叫什么名字

scp love.enc192.168.56.57:/root

node2:

openssl enc-des3 -a -d -in love.enc -out love.txt 解密的时候算法要匹配，-d是解密

cat love.txt可以查看了

小芳想回复的话就像之前做的一样，或者下面使用非对称加密的方法回复

非对称加密:

node1:

gpg--gen-key回车生成密钥对

This is freesoftware: you are free to change and redistribute it.

There is NOWARRANTY, to the extent permitted by law.

gpg: 已创建目录‘/root/.gnupg’

gpg: 新的配置文件‘/root/.gnupg/gpg.conf’已建立

gpg: 警告：在‘/root/.gnupg/gpg.conf’里的选项于此次运行期间未被使用

gpg: 钥匙环‘/root/.gnupg/secring.gpg’已建立

gpg: 钥匙环‘/root/.gnupg/pubring.gpg’已建立

请选择您要使用的密钥种类：

(1) RSA and RSA (default)

(2) DSA and Elgamal

(3) DSA (仅用于签名)

(4) RSA (仅用于签名)

您的选择？ 1

RSA 密钥长度应在 1024 位与 4096 位之间。

您想要用多大的密钥尺寸？(2048)1024

您所要求的密钥尺寸是 1024 位

请设定这把密钥的有效期限。

0 = 密钥永不过期

<n> = 密钥在 n 天后过期

<n>w = 密钥在 n 周后过期

<n>m = 密钥在 n 月后过期

<n>y = 密钥在 n 年后过期

密钥的有效期限是？(0) 0

密钥永远不会过期

以上正确吗？(y/n)y

You need auser ID to identify your key; the software constructs the user ID

from theReal Name, Comment and Email Address in this form:

"Heinrich Heine (Der Dichter)<heinrichh@duesseldorf.de>"

真实姓名：xiaofang

电子邮件地址：xiangfang@163.com

注释：for xiaofang

您选定了这个用户标识：

“xiaofang (for xiaofang)<xiangfang@163.com>”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)？O

密码1234567890

然后一直敲，直到完成(ssh操作的很慢，最好在卡的终端里面操作，真机很快，ssh别人的真机)

gpg--list-keys列出公钥

gpg -a -o xf.txt导出来叫什么 --export xiaofang这个是list查出来的名字，不能瞎写，回车

cat xf.txt

scp xf.txt192.168.122.214:/root发送公钥给小芳

node2：

echo “taoyan” > back.txt回复的内容

gpg --importxf.txt导入公钥(ntp时间要同步修改date)

gpg--list-key

gpg -e -a -rxiaofang(不是瞎写的那个) back.txt回车

catback.txt.asc变成了ascii码文件

scpback.txt.asc 192.168.122.226:/root

node1:

llback.txt.asc

gpg -d -a -oback.txt back.txt.asc 回车 1234567890

cat back.txt然后就能够查看到小芳的回复了(这种是非对称加密，小芳用我给的公钥加密，然后发给我，然后我用我自己的私钥解密，就能查看回复的消息了)

543248464黄老师给的qq群

商务业去向CA机构申请CA证书然后传送到服务器上，CA机构可以证明网站是真的，证书(公司的个人信息、有效期)，浏览器是怎么收到认证信息的？过程是？

在浏览器输入网站后会跳出来一个：编辑-选项-高级-证书-查看证书https