防火墙的功能是通过netfilter内核实现的,分为四表五链
集群要4、6、8台
新机器要配的环境(老师的):
先创建新的机器,然后克隆几台新的,然后把克隆的做个快照只使用克隆的机器
网卡enp3s0变为
/etc/default/grub
倒数第二行后面添加net.ifnames=0biosdevname=0保存退出
grub2-mkconfig-o /boot/grub2/grub.cfg然后reboot重启
PREROUTING老师说最好使用-i 外网网卡名
ssh的对象是INPUT和OUTPUT
如果FORWARD链默认为DROP,那么内网看不了外网的网站,外网也看不了内网的网站了,怎么办:
iptables -AFORWARD -s 172.16.1.100 -p tcp --dport 80 -j ACCEPT添加了还是没有用,怎么办:
这是因为防火墙的机制,这样解决:
state 基于状态的防火墙 状态匹配(属于扩展匹配)
-m state--state INVALID ...
NEW 匹配第一次建立的数据包
ESTABLISHED 你会发现tcp里面也有这个,第三次握手就出现这个,但防火墙里面的不一样,匹配两次合法连接就出现这个
RELATED 用于FTP场景,有关联的状态,和relative相关,FTP主动和被动模式,20、21、大于1024的端口,控制层21连接建立通道、数据层20传输数据
INVALID 中文:无效的意思,无关状态,未知的状态就屏蔽掉 iptables -t filter -I INPUT -m multi我们应该在哪放行状态? 远程连接不上了那些表那些链影响到了?INPUT和OUTPUT嘛:iptables -t filter -IINPUT -m state --state ESTABLISHED.RELATED和它相关的 -j ACCEPT;iptables -t filter -IOUTPUT -m state --state ESTABLISHED.RELATED -j ACCEPT这样ssh就没问题了,内网上外网和外网上内网要指定FORWARD链做扩展匹配iptables -t filter -IFORWARD -m state --state ESTABLISHED.RELATED -j ACCEPT但是发现只可以内网访问外网,外网还是不能访问内网,怎么办:还是状态的问题,需要把FORWARD进来的状态,从公网网卡80进来的全部放行:
iptables -tfilter -A FORWARD -i 外网网卡名 -p tcp--dport 80 -j ACCEPT
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
注意POSTROUTING和PREROUTING在nat表里面的,在filter表里面没有,这里面只有进出转发
修改自定义链名称:
你没有自定义链怎么修改自定义链名称呢?哈哈哈,首先要创建一个自定义链呀:
iptables -Nlibanxian创建自定义链,默认是filter表
iptables -Elibanxian LIBANXIAN修改自定义链名称
删除指定的自定义链:
iptables -FLIBANXIAN清空链里面的规则
iptables -XLIBANXIAN删除自定义链,注意删除之前链里面不能有规则
扩展匹配条件-m:
-m icmp:
只允许我PING别人,不允许别人PING我
# iptables-A INPUT -p icmp --icmp-type echo-request -j DROP
只允许别人PING我,不允许我PING别人
# iptables-A INPUT -p icmp --icmp-type echo-reply -j DROP
-m iprange:
iptables -tfilter -I INPUT -m iprange --src-range 192.168.2.20-192.168.2.100 -j REJECT
-m multiprot:
iptables -mmultiport -h查看扩展匹配之multiport的帮助
iptables -AINPUT -p tcp -m multiport --dports 20,21,22,25,80,110,3306 -j DROP注意是--dports
-m state:
FTP主动模式就是这样:
iptables -tfilter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -tfilter -I INPUT -p tcp --dport 20:21 -j ACCEPT这个是FTP主动模式20数据端口放行FTP
iptables -tfilter -A INPUT -j REJECT
modprobenf_conntrack_ftp 需要加载模块(临时,下面的是永久)
vim/etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"
-m tos:
iptables -mtos -h抓包字段TOS的帮助{
Minmize-Delay低延迟,网站想秒速出来
Throughput最大吞吐量
Reliablity可用的能力最大值
Cost低消费
Normal普通的
}
[root@uplook~]# iptables -F
[root@uplook~]# tcpdump -i eth0 -nn port 22 -vvv //抓取远程主机访问本机ssh数据包,分别于输入密码前和后观察TOS值
[root@uplook~]# tcpdump -i eth0 -nn port 22 -vvv //抓取远程从本机rsync或scp复制文件,分别于输入密码前和后观察TOS值
小结:都是使用22/tcp,但可以通过IP报文中的TOS值来区分应用
ssh: tos 0x0 0x10
scp: tos 0x0 0x8
rsync: tos0x0 0x8
[root@uplook~]# iptables -m tos -h
[root@uplook~]# iptables -t filter -A INPUT -p tcp --dport 22 -m tos ! --tos 0x10 -j ACCEPT //仅拒绝客户端ssh到本机
[root@uplook~]# iptables -t filter -A INPUT -j REJECT
-m tcp:
Flagsare: SYN ACK FIN RST URG PSH ALL NONE
[root@uplook~]# iptables -t filter -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST SYN--dport 80 -j ACCEPT
[root@uplook~]# iptables -t filter -A INPUT -p tcp --syn --dport 80 -j ACCEPT
-m limit: [要命不要脸]
[root@uplook~]# iptables -F
实验:从客户端ping本机,观察序列号
[root@uplook~]# iptables -t filter -A INPUT -p icmp -m limit --limit 20/minute -j ACCEPT
[root@uplook~]# iptables -t filter -A INPUT -j REJECT
进入本机INPUT链的ICMP,如果匹配第一条则放行,不匹配的将被第二条拒绝,默认前5个不限
16/second
16/minute
16/hour
16/day
[root@uplook~]# iptables -t filter -A INPUT -p tcp--syn --dport 80 -m limit --limit50/second -j ACCEPT 防止恶意三次握手的攻击。
[root@uplook~]# iptables -t filter -A INPUT -j REJECT
-m connlimit限同一IP最大连接数
[root@uplook~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit ! --connlimit-above2 -j ACCEPT
//仅允许每个客户端有两个ssh连接
====================================================================
等价于:
[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2-j REJECT
//超过两个连接拒绝
====================================================================
[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above100 -j ACCEPT
//仅允许每个客户端有100个requests
[root@uplook~]# iptables -A INPUT -j REJECT
-m time:
[root@uplook~]# iptables -A INPUT -m time --timestart 12:00 --timestop 13:00 -j ACCEPT
[root@uplook~]# iptables -A INPUT -p tcp --syn --dport 22 -m time --timestart 12:00--timestop 13:00 -j ACCEPT
[root@uplook~]# iptables -A INPUT -j REJECT
-m comment:
[root@uplook~]# iptables -A INPUT -s 172.16.130.7 -m comment --comment "cloudclass" -j REJECT
-m mark:
[root@uplook~]# iptables -t filter -A INPUT -m mark --mark 2 -j REJECT
视频等大流量的都是用UDP协议而不是用TCP协议的
iptables初衷:
要解决公司上网的问题:
内网上外网、外网上内网、发布网站、上网行为管理(包括防御)
iptables防火墙学完啦!
数据加密:
大一点的公司插U盘还要公司专用的U盘
老板要你管理机房,基于安全策略,别的部门来机房找你,有可能偷一个磁盘走了,所以可以设置“电子眼监控”、“登记”、“防火(二氧化碳)”、“中毒/杀毒软件,蠕虫导致硬盘卡死,BIOS病毒,社会行为学盗取商业机密,间谍,保洁阿姨垃圾纸”、“服务(selinux)/物理/网络安全(iptables VPN)”
加密和解密使用同一把钥匙,这样的就叫对称加密
优点:加密的效率高,速度快,还可以加密大量的数据
缺点:密钥的传递问题存在隐患
hash算法的特点:有1个字符变化,那么全都会变化
md5就是属于hash算法
echo 1 |md5sum
echo 1 |sha512sum
对称加密算法:
DES, 3DES,RC4, RC5, RC6, BASE64, AES256
第二类:公钥加密/非对称加密
加密和解密使不用的同钥匙,一般是公钥加密,私钥解密
优点:解决了密钥传递的问题
缺点:效率低,加密速度慢,比对称加密速度慢1000倍,只能加密少量数据
第三种:两者结合
验证文件的完整性与初衷是否一致,验证数据是否被别人偷改了
写一个文件
md5 文件名
修改文件
md5 文件名
如果改了,那么md5也会发生变化,可以判断数据是否被别人偷改了
老师实验:
node1:192.168.122.226模式NAT,自动获取ip
node2:192.168.122.214模式NAT,自动获取ip
node1:
echo “I loveyou” > love.txt
openssl enc-des3 -a -in love.txt -out love.enc 这个enc是encoding编码加密,-des3是加密类型,-a是ascii码,可以看到乱码的解析,-in是要给哪个文件加密,-out是输出要叫什么名字
scp love.enc192.168.56.57:/root
node2:
openssl enc-des3 -a -d -in love.enc -out love.txt 解密的时候算法要匹配,-d是解密
cat love.txt可以查看了
小芳想回复的话就像之前做的一样,或者下面使用非对称加密的方法回复
非对称加密:
node1:
gpg--gen-key回车 生成密钥对
gpg (GnuPG)2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is freesoftware: you are free to change and redistribute it.
There is NOWARRANTY, to the extent permitted by law.
gpg: 已创建目录‘/root/.gnupg’
gpg: 新的配置文件‘/root/.gnupg/gpg.conf’已建立
gpg: 警告:在‘/root/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
gpg: 钥匙环‘/root/.gnupg/secring.gpg’已建立
gpg: 钥匙环‘/root/.gnupg/pubring.gpg’已建立
请选择您要使用的密钥种类:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (仅用于签名)
(4) RSA (仅用于签名)
您的选择? 1
RSA 密钥长度应在 1024 位与 4096 位之间。
您想要用多大的密钥尺寸?(2048)1024
您所要求的密钥尺寸是 1024 位
请设定这把密钥的有效期限。
0 = 密钥永不过期
<n> = 密钥在 n 天后过期
<n>w = 密钥在 n 周后过期
<n>m = 密钥在 n 月后过期
<n>y = 密钥在 n 年后过期
密钥的有效期限是?(0) 0
密钥永远不会过期
以上正确吗?(y/n)y
You need auser ID to identify your key; the software constructs the user ID
from theReal Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter)<heinrichh@duesseldorf.de>"
真实姓名:xiaofang
电子邮件地址:xiangfang@163.com
注释:for xiaofang
您选定了这个用户标识:
“xiaofang (for xiaofang)<xiangfang@163.com>”
更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?O
密码1234567890
然后一直敲,直到完成(ssh操作的很慢,最好在卡的终端里面操作,真机很快,ssh别人的真机)
gpg--list-keys列出公钥
gpg -a -o xf.txt导出来叫什么 --export xiaofang这个是list查出来的名字,不能瞎写,回车
cat xf.txt
ls
scp xf.txt192.168.122.214:/root发送公钥给小芳
node2:
ls
echo “taoyan” > back.txt回复的内容
gpg --importxf.txt导入公钥(ntp时间要同步修改date)
gpg--list-key
gpg -e -a -rxiaofang(不是瞎写的那个) back.txt回车
ls
catback.txt.asc变成了ascii码文件
scpback.txt.asc 192.168.122.226:/root
node1:
ls
llback.txt.asc
gpg -d -a -oback.txt back.txt.asc 回车 1234567890
cat back.txt然后就能够查看到小芳的回复了(这种是非对称加密,小芳用我给的公钥加密,然后发给我,然后我用我自己的私钥解密,就能查看回复的消息了)
543248464黄老师给的qq群
商务业去向CA机构申请CA证书然后传送到服务器上,CA机构可以证明网站是真的,证书(公司的个人信息、有效期),浏览器是怎么收到认证信息的?过程是?
在浏览器输入网站后会跳出来一个:编辑-选项-高级-证书-查看证书https