防火墙的链接跟踪,需要启用相应的链接跟踪模块,才具有识别跟踪状态的能力
既然要识别链接状态,要记住你的什么状态必然安要消耗系统资源,这个功能启用,会相对降低你服务器的性能
这个数量不是越大越好,记录的数量越多,对你的负载越大
此外还有链接跟踪时长,(也不能链接上来一直记录)
ftp是双端口的特殊服务,发起请求ftp链接,先去链接服务器的21端口,后需要传输数据了,就需要走数据通道的数据链接,而数据链接根据模式不同,走的端口也不一样,主动模式会使用tcp20端口,被动模式采用的随机端口,通常情况,客户端有防火墙的原因,大部分情况下采用被动模式居多,被动模式的话,客户端主动去链接服务器,(服务器由于被动模式,用的随机端口,防火墙接收到一个随机端口发送的远程,防火墙默认是没有开启随机端口访问的,这样链接必然会导致失败。如何解决,让防火墙具有跟踪ftp协议的功能,加这个模块,让它去识别ftp协议,识别ftp协议以后,就可以分析出被动模式下用的随机端口多少,根据当时情况,自动打开防火墙随机端口,让用户进行访问),要加载ftp的跟踪模块NF_CONNTRACK_FTP
默认是不加载的
modprobe 加载 模块
加载之后就可以跟踪ftp协议了
21端口现在已经启用
防火墙如果模块没有加载
先取消加载
当前是正在建立连接是允许的,其他 的拒绝
ftp现在连接是拒绝的
现在要打开ftp的链接
被动模式,用的随机端口,被拒绝访问了
就需要加载模块去识别
但还是拒绝
因为现在允许的是建立连接的,现在被动模式下,别人应该属于第一次链接你
相关的链接
加了related,只要是建立链接,和你相关的端口都给接收
数据出来就代表数据通道已经开始访问了
光加related的是不行的,还需要加载模块
**LOG只是,当满足什么条件,就记录日志,为了区分日志,就需要在日志前面加个前缀,log-prefix
**
当你的地址是来自10.0.1.0/24网段的时候,走的是tcp协议,端口包括80,21,22,23(连续可以写成21:23,如果是新发起请求就记录日志,日志里面有关键字
现在如果走80端口会不会记录日志
但是这样记录日志,可能会记录很多信息
比如用ab测试一下
日志就暴涨了
通常没有必要就不启用这个功能,除非一下排错的情况下
这是建议的一些规则写法
1.正在链接的用户就不要去拒绝链接
2.谨慎放行入站请求(入站的新情求越少越好,这是开放特定的一些请求,这样比较安全)
如果一个lamp架构,mysql独立机器,应该这么配置防火墙
可以访问,但坐在本机访问不行,因为自己没有加自己允许的规则,所以自己访问的两个IP地址都不行
-i链路的接口,这要是lo网卡接入的都允许
现在就可以进行访问了
9000端口就是自己访问自己
**走lo网卡是允许的,走别的网卡就没说,走192.168.30.7是可以走lo网卡进行访问的,因为IP地址一看是自己,就不出去了
**
3.拒绝的话,一般谁在前谁在后,越特殊的,越限定比较严格的尽可能往前放,往后放的话,被前面宽松的条件匹配了就不匹配了,直接生效了
4.访问同一类应用的,范围小的往前放,范围大的往后放,
5.不通类别的,就是要范围大的往前方,比如下面,就是要匹配范围更广的在前面会比较好
6.多条规则能合并的话,尽量合并,因为好几条规则变成一条规则,检查的效率就更高了
比如-m multiport --dports就可以定义多个端口,使用起来效率更高,不用模块的话只能一条条写,一条条检查,增加了服务器的负载,而且检查次数也多,
只有经过白名单特许才能访问,没有定义的是拒绝的,(就需要一个默认拒绝所有,需要更改默认的规则iptables -P,不建议
因为在iptables-F就都清了,还是放在默认规则里比较好
如果现在重启机器,现在这些规则都不在了
centos6上有这个文件
这个规则就是iptables启动起来默认用的规则
保存的文件名j自己定义
保存了希望,开机自动启用
要想把刚才保存的规则进行还原
然是现在重启机器,这个命令并不会执行,现在就是需要开机自动执行这个 命令
这个文件要用的话,就需要加执行权限
重启试试,是否会执行
起作用 了
开机做计划任务
后面加上刚才敲的命令
计划任务就是在某个时间点执行任务,而不是为了开机自动执行,是要依赖于计划任务服务,服务停了就不起作用了
centos6上比较简单,把这个弄成开机自动启动服务
生产中,单机防火墙用的不多,因为现在配置的iptable和firewalld是保护一台主机的,所以通常企业内部不启用,一般都是在互联网和企业内部之间加硬件防火墙的
更重要的是网络防火墙
刚才用的主机防火墙,iptables种定义的INPUT链,INPUT链保护的就是当前你的一台主机,谁能访问谁不能访问,
在某些情况下,linux充当路由的角色,而这个路由器中间穿过了很多的流量,通过它来访问另外的网络,我们要把安全规则作用在路由器上,就需要配置网路防火墙,网络防火墙保护的是网络而不是单一的主机
网络拓补应该是
17,27
配置好了up生效
网关配置好的
7的网关需要指向30.17
ping不通自己的防火墙导致的
现在pingB这台机器,是不通的
因为这边17还没有启用路由转发功能
sysctl -p生效了
就可以ping通了
现在想要实现,在内部上网有些网站不让访问
搭建虚拟主机
因为靠主机有解析,必须靠DNS
因为主配置就已经授权了/var/www/html目录所以子目录就不用再授权
现在需要配置youku不让上
现在7就访问不了了
只要访问youku,带字符串的全部拒绝,其他都允许
可以再加个时间控制
修改下时间,月日小时分
现在就通了
现在从外面访问里面没有受到限制,但是我们定义的是双向的,没有定义里面也没有定义外面,foward本身没双向性