RH413企业安全加固 第16章 控制网络服务访问

最新推荐文章于 2018-04-06 23:35:05 发布
置顶 最新推荐文章于 2018-04-06 23:35:05 发布
阅读量478 收藏
点赞数
分类专栏: RH413企业安全加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strom2418/article/details/50595020
版权

第16章 控制网络服务访问

 

环境配置

1、RHEL6.4 SERVER 10.10.10.221

2、RHEL6.4 CLIENT 10.10.10.223

 

1、IPTABLES防火墙是基于GNU  +  LINUX AND KERNEL

2、IPTABLES 是写防火墙的一个工具

3、IPTABLES 是将防火墙写入到内存中的一种工具

4、Netfilter/IPTABLES 工作的位置

 

 

5、Netfilter/IPTABLES防火墙是基于OSI参考模型的234层插入策略的

6、Netfilter表和Netfilter

 

 

7、Netfilter/IPTABLES防火墙主要分为3大功能表

1) filter表是对数据包做过滤的

2) Nat表是物理地址转换

3) Mangle表是数据包做修改

4) RAW表负责加快封包穿越防火墙机制的速度(注意:这个表用的比较少)

8、Netfilter链主要负责数据包在防火墙中的流向

9、使用IPTABLES命令查看规则

[root@teachers ~]# iptables -L --line-num

10、使用IPTABLES命令查看更详细信息(如:数据包过滤等)

[root@teachers ~]# iptables -L --line-num -vnZ

Chain INPUT (policy ACCEPT 6046 packets, 1629K bytes)

num   pkts bytes target     prot opt in     out     source               destination         

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

num   pkts bytes target     prot opt in     out     source               destination         

 

Chain OUTPUT (policy ACCEPT 692 packets, 112K bytes)

num   pkts bytes target     prot opt in     out     source               destination         

Zeroing chain `INPUT'

Zeroing chain `FORWARD'

Zeroing chain `OUTPUT'

 

11、IPTABLES防火墙匹配的规则

1) 规则是至下而上的方式

2) 按照规定的顺序测试数据包

3) 可以匹配多个条件

4) 必须满足规则说明中的每个条件才算匹配(逻辑AND)

5) 没有匹配到规则则使用应用链策略

6) 规则一条条的被加入到INPUT链中

 

12、规则通常考虑的因素

1)写完规则后在关门

2)条件也适用于回送接口

3)和路由一样,规则被载入内存

4)不管在CHAIN之内有多少规则,默认策略永远在每一个链的底端。状态不是ACCEPT就是DROP

 

13、链操作

1) ACCEPT(默认,是内置目标)

2) DROP(内置目标)

3) REJECT(不允许,是扩展目标)

4) 清除某个链的所有规则“-F

5) 把字节和数据包计数器重置为零“-Z

6) 管理定制链“-N”“-X”,-N代表添加链 -X代表删除链

 

14、IPTABLES匹配的条件

1、流入、流出接口(-i”,“-o)   -i  eth0

2、来源、目的地址(-s”,“-d)

-s  192.168.1.0/24

-d www.abc.com

 

3、协议类型“-p” -p tcp udp icmp

4、来源、目的端口( --sport--dport) 注意:“:

--sport 1000 匹配源端口数据为1000的数据包

--sport 1000:3000 匹配源端口是1000-3000的数据包(包含10003000)

 

--sport:3000 匹配源端口是3000以下的数据包(包含3000)

--sport 1000: 匹配源端口是1000以上的数据包(包含1000)

 

5、IPTABLES匹配条件

   如果要否定策略条件可以在 “-s”前面加上一“!”。

 

6、练习

1)配置iptables

[root@student ~]# iptables -F ---清空链

[root@student ~]# iptables -L ---查看链

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

 

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination 

 

2)SERVER端写入链

[root@student ~]# [root@teachers ~]# iptables -A INPUT -p tcp -s 10.10.10.0/24 --dport 21:22 -j ACCEPT

[root@teachers ~]# iptables -P INPUT DROP ---关闭链

[root@student ~]# service iptables save ---保存链

iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]

 

3)保存的链的文件

[root@student ~]# cat /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Wed Jan 27 08:16:08 2016

*filter

:INPUT ACCEPT [79:10396]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [33:3392]

-A INPUT -s 10.10.10.0/24 -p tcp -m tcp --dport 21 -j ACCEPT 

COMMIT

# Completed on Wed Jan 27 08:16:08 2016

 

4)CLIENT端配置

[root@student ~]# yum install ftp    --安装FTP工具

 

5)使用ftp工具匿名登录

[root@student ~]# ftp teachers

Connected to teachers (10.10.10.221).

220 (vsFTPd 2.2.2)

Name (teachers:root): ftp

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

 

6)使用ls命令查看目录

ftp> ls

227 Entering Passive Mode (10,10,10,221,26,173).     

--被动模式(是由SERVER端发起的,被动模式使用的端口都是随机的)

 

7)连续跟踪

nf_conntrack_ftp

nf_conntrack_tftp

nf_nat_ftp

nf_nat_tftp

 

8)配置SERVER端下的/etc/sysconfig/iptables-config文件

IPTABLES_MODULES="Ip_conntrack_ftp"   ---将随机产生的端口告诉防火墙

 

9)在SERVER端清空链将INPUT打开ACCEPT

[root@teachers ~]# iptables -P INPUT ACCEPT

[root@teachers ~]# iptables -F

[root@teachers ~]# service iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]

 

10)在SERVER端开启回环链

[root@teachers ~]# iptables -A INPUT -i lo -j ACCEPT

[root@teachers ~]# iptables -A INPUT -m state --state INVALID -j REJECT   

--只要这个状态就不要了

[root@teachers ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

--直接将ESTABLISHED放开

[root@teachers ~]# iptables -A INPUT -m state --state NEW -s 10.10.10.0/24 -p tcp --dport 21:22 -j ACCEPT

--开启被动模式

[root@teachers ~]# iptables -A INPUT -j REJECT

--拒绝链

 

11)使用CLIENTftp链接SERVER

[root@student ~]# ftp teachers

Connected to teachers (10.10.10.221).

220 (vsFTPd 2.2.2)

Name (teachers:root): ftp

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

227 Entering Passive Mode (10,10,10,221,161,27).

150 Here comes the directory listing.

drwxr-xr-x    2 0        0            4096 Feb 12  2013 pub

226 Directory send OK.

ftp> ls

227 Entering Passive Mode (10,10,10,221,132,15).

150 Here comes the directory listing.

drwxr-xr-x    2 0        0            4096 Feb 12  2013 pub

226 Directory send OK.

以上就是状态防火墙配置

 

随行之旅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为服务器RH2285v2 BIOS.zip
05-14
华为服务器RH2285V2是一款高性能的企业级服务器,其BIOS(基本输入输出系统)是服务器硬件与操作系统之间的重要桥梁。BIOS是服务器启动过程中加载的第一段软件,负责初始化硬件、检测系统资源,并为操作系统提供接口...
华为服务器RH2288v2 BIOS.zip
05-14
华为服务器RH2288V2是一款企业级的双路机架式服务器,适用于数据中心、云计算、大数据等应用场景。该服务器的BIOS(基本输入输出系统)是其核心组件之一,负责在启动过程中进行硬件初始化和系统配置。本压缩包“华为...
RH413企业安全加固 第1 RH413环境搭建
安全参透之旅
01-16 1009
第1RH413环境搭建   一、环境部署 1、RHEL6.4 SERVER IP:10.10.10.221 2、RHEL6.4 CLIENT IP:10.10.10.223   步骤 1、RHEL6.4 SERVER创建YUM源 1)安装httpd服务 [root@teachers Packages]# rpm -ivh httpd-2.2.15-26.el6.x86_64.r
RH413日志服务器篇
weixin_34037977的博客
07-13 185
14、配置系统日志环境:1、RHEL6.4Server2、RHEL6.4client1、配置基于TLS的日志加密1)查看日志服务状态[root@lz~]#servicersyslogstatus rsyslogd(pid2684)isrunning...2)查看/etc/rsyslog.conf配置文件2、关于日志系统日志由syslogd提供日志文件示例/v...
RH413企业安全加固 第11 加强控制台安全 第二节
安全参透之旅
01-21 393
第11加强控制台安全  第二节(注意:红字)   1、grub使用md5加密 [root@teachers ~]# grub-md5-crypt  Password:  Retype password:  $1$GPadc$agAaeT94MKWLYFzgLKv.O.   2、将加密的md5密钥写到/etc/grub.conf配置文件下 [root@teachers ~]# c
RH413企业安全加固 第15 配置系统审计
安全参透之旅
01-26 703
第15 配置系统审计   环境配置  1、RHEL6.4 SERVER 10.10.10.221 2、RHEL6.4 CLIENT 10.10.10.223   1、审计使用的服务 [root@teachers rsyslog-keys]# service auditd status auditd (pid  2004) is running...   2、查看/var/lo
RH413企业安全加固 第4 创建文件系统(加密解密)
安全参透之旅
01-17 417
第4 创建文件系统(加密解密)   LUKS(是文件系统的一种加密方式) 可以对文件系统分区进行加密,它是针对单个数据块进行加密(超级块的信息)   1、创建分区 Disk /dev/sdb: 16.1 GB, 16106127360 bytes 255 heads, 63 sectors/track, 1958 cylinders Units = cylinders of 16
RH413服务器安全加强视频教程.zip
07-14
目录网盘文件永久链接 第一 跟踪安全更新 第二 管理软件更新 第三 创建文件系统 第四 管理文件系统 第五 管理特殊文件 第六 管理附加文件属性 第七 监视文件系统的变化 ...第十五 控制网络访问
企业安全和网络服务视频.rar
03-30
├ RH-333第二 基本服务安全 │ │ 1.常用服务的安全保护措施1.flv │ └ 2.常用服务的安全保护措施2.flv ├ RH-333第五 网络用户验证:RPC、NIS和Kerbero │ │ 1.网络验证-NIS-Kerberos.flv │ │ 2.NIS服务器...
华为服务器RH2288hv2 BIOS.zip
05-14
华为服务器RH2288HV2是一款高性能的企业级服务器,其BIOS(基本输入输出系统)是服务器硬件与操作系统之间的重要桥梁,负责控制硬件初始化、系统自检以及提供硬件接口等核心功能。BIOS的更新通常是为了提升服务器的...
RH413企业安全加固 第13 管理 CA 中心
安全参透之旅
01-25 1355
第13 管理 CA 中心   环境配置 1、RHEL6.4 SERVER 10.10.10.221 2、RHEL6.4 CLIENT 10.10.10.223   1、修改密码策略     2、更改IPA用户密码 [root@student ~]# kinit user01 Password for user01@EXAMPLE.COM:  [root@student ~
RH413企业安全加固 第2 跟踪安全更新
安全参透之旅
01-16 966
第2 跟踪安全更新   1、执行yum updateinfo 需要一个插件包   rpm -qa|grep yum-plugin-security (查看插件包是否安装)   默认情况是没有安装的 2、使用yum命令生成更新报告,并且对bug修复公告和增强性公告进行计数  [root@student yum.repos.d]# yum updateinfo Loaded plugi
RH413企业安全加固 第10 管理 PAM
安全参透之旅
01-20 773
第10 管理 PAM (注意:红字)   1、环境 RHEL6.4 CLIENT IP:10.10.10.223     1、PAM(可插入式身份验证模块)   1)查看模块所对应的动态链接库 [root@student ~]# ldd `which sshd`|grep wrap  libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f41
RH413--用AIDE监控文件的改变
weixin_34218579的博客
04-16 130
1.安装aide软件包2.备份aide的配置文件3.编辑aide配置文件4.对aide进行初始化5.更改aide数据库的名称6.检查系统文件是否发生变化7.修改下/etc/issue文件进行测试8.更改该文件权限,看aide是否可以检查出来 转载于:https://blog.51cto.com/ovcer/1396311...
RH413企业安全加固 第5 管理文件系统
安全参透之旅
01-18 702
第5管理文件系统   1、文件系统的属性和挂载选项   1、文件系统的挂载选项 1) nodev选项 如果设备没有这个选项是不能生成/dev/下的设备的   2) noexec选项 代表这个设备不可以被执行 3) noauto选项 代表这个设备被忽略(自动挂载会忽略这个设备)   2、使用cp /bin/ping 命令 1) 使用mount命令重新挂载带noexec选
RHEL-RH134-UNIT10-selinux的管理
zzcheng456的博客
04-27 368
[root@localhost Desktop]# getenforce   [root@localhost Desktop]# touch /mnt/hello [root@localhost Desktop]# mv /mnt/hello /var/ftp/pub/ [root@localhost Desktop]# cd /var/ftp/pub/ [root@localhost p
RH413 Unit1 Tracking Secutiry Updates
weixin_33840661的博客
04-06 101
这个系列文只是我的学习笔记而已,我的实验环境是在RHEL6下进行的。 Common Vulnerabilities and Exposures(CVE) is a standardized format for reporting and tracking security related software issues.The Community web presence and manag...
RH413企业安全加固 第14 配置系统日志
安全参透之旅
01-26 2819
第14 配置系统日志   环境配置 1、RHEL6.4 SERVER 10.10.10.221 2、RHEL6.4 CLIENT 10.10.10.223   1、配置基于TLS的日志加密 1)查看日志服务状态 [root@teachers ~]# service rsyslog status rsyslogd (pid  2029) is running...   2)查
Dahua大华DH-NVR7832-RH 使用说明书.pdf
07-02
"Dahua大华DH-NVR7832-RH 使用说明书.pdf" 本文档是Dahua大华DH-NVR7832-RH网络硬盘录像...因此,用户在使用Dahua大华DH-NVR7832-RH时,应严格按照说明书操作,尤其是关注网络安全方面的设置,以确保设备的安全运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

随行之旅

python国产化自动化

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值