七周三次课(5月8日)
10.11 Linux网络相关
10.12 firewalld和netfilter
10.13 netfilter5表5链介绍
10.14 iptables语法
扩展(selinux了解即可)
- selinux教程 http://os.51cto.com/art/201209/355490.htm
2.selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK
2. firewalld和netfilter
3. netfilter5表5链介绍
5表
5链 与 数据包流向
4 iptables语法
格式
规则查看
规则备份与恢复
规则管理
匹配标准
ACTION
链管理
示例1
示例2
开放指定的端口
屏蔽IP
删除INPUT里序号为8的规则
1. Linux网络相关
ifconfig
查看网卡ip
yum install -y net-tools
ifconfig -a
显示所有的, 包括down掉的
ifup ens33
启动网卡
ifdown ens33
关闭网卡
ifup ens33 && ifdown ens33
两个命令一起执行
设定虚拟网卡ens33:1
cd /etc/sysconfig/network-scripts/
cp ifcfg-eth0 ifcfg-ens33:0
vim !$
#修改以下值
NAME=ens33:0
DEVICE=ens33:0
IPADDR=
# DNS和GATEWAY可以不要
重启ens33
ifdown ens33 && ifup ens33
查看网卡是否连接
mii-tool eth0
如不支持可用ethtool eth0
更改主机名
hostnamectl set-hostname aminglinux
CentOS 6不支持
hostname
查看主机名
更改后需要重新登录才显示, 也可以进入bash
查看
hostname配置文件
/etc/hostname
DNS配置文件
/etc/resolv.conf
只能临时更改, 会被网卡配置文件更改即可
/etc/hosts
一个IP可写多个域名
2. firewalld和netfilter
防火墙
getenforce
查看selinux状态
setenforce 0
临时关闭selinux, 设置为permissive模式
setenforce 1
设置为enforcing模式
永久关闭selinux
vim /etc/selinux/config
将SELINUX=enforcing改为SELINUX=disabled, 重启机器
systemctl disable firewalld
禁用firewalld
systemctl stop firewalld
停止firewalld服务
yum install -y iptables-services
安装包
systemctl enable iptables
启用iptables
systemctl start iptables
开启iptables
iptables -nvL
查看iptables默认规则
3. netfilter5表5链介绍
5表
filter
包过滤. 最常用的表- 链
INPUT
FORWARD
OUTPUT
nat
网络地址转换. 如路由器共享上网, 端口映射- 链
OUTPUT
PREROUTING
POSTROUTING
mangle
标记数据包, QOS, 用于实现服务质量raw
可实现不追踪某些数据包, 网址过滤security
用于强制访问控制(MAC)的网络规则
最后3个表几乎用不到
5链 与 数据包流向
PREROUTING
:数据包进入路由表之前, 用于目标地址转换(DNAT)FORWARD
:通过路由表后,目的地不为本机INPUT
:通过路由表后目的地为本机OUTPUT
:由本机产生,向外发出POSTROUTING
:发送到网卡接口之前, 用于源地址转换(SNAT)
4 iptables语法
格式
iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t
: 指定表, 不指定默认为filter
COMMAND
:定义如何对规则进行管理
chain
: 指定规则是在哪个链上操作, 定义策略时可省略
CRETIRIA
: 指定匹配标准
-j ACTION
:指定处理动作
规则查看
iptable -nvL
-n
numeric, instead of names数字方式显示
-v
verbose, 详细信息
-L
list
-t
: 指定表, 不指定默认为filter
--line-number
显示编号
规则备份与恢复
service iptables save
默认会保存规则到 /etc/sysconfig/iptables
iptables-save > /etc/sysconfig/iptables
可手动指定路径
iptables-restore < /etc/sysconfig/iptables.bak
恢复
规则管理
-A
追加
-I
插入
-D
删除
– iptables -nvL --line-number
显示编号
– iptables -D INPUT 7
用编号删除
-R
替换Replace
匹配标准
-s
: 源地址, 必须是IP
-d
: 目标地址
-p
: 匹配协议, 一般三种: TCP/UDP/ICMP
- -p协议的扩展
--dport
指定端口, 多个必须连续, 如21-23--sport
指定源端口--icmp-type
echo-request
请求回显, 一般用8. 如–icmp-type 8 匹配请求回显数据包echo-reply
响应的数据包 一般用0表示
-i eth0
: 指定网卡, 从这块网卡流入的数据
-o eth0
: 指定网卡, 从这块网卡流出的数据
ACTION
DROP
悄悄丢弃
REJECT
ACCEPT
REDIRECT
: 与DROP一样, 但还向发送者返回错误信息
SNAT
源地址转换
DNAT
目标地址转换
MASQUERADE
IP伪装 (NAT), 用于ADSL
链管理
-P
policy, 更改默认策略, 如iptables -P OUTPUT DROP
(一般保持默认的ACCEPT)
-F
flash, 清空规则链
-Z
计数器清零
示例1
只允许来自192.168.192.0/24网段访问本机192.168.192.10的SSHD服务
iptables -A INPUT -s 192.168.192.0/24 -d 192.168.192.10 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 192.168.192.0/24 -d 192.168.192.10 -p tcp --dport 22 -j ACCEPT
最后将默认策略改成DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
示例2
开放指定的端口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口
iptables -A INPUT -j reject #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问
屏蔽IP
iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令
删除INPUT里序号为8的规则
iptables -D INPUT 8
未经允许不得转载:外贸SOHO笔记 » W7-C3-0508
精彩评论
不用翻吧
币种不一样, 按你注册时选的区域来的
加速用的
Press any key to start...or Press Ctrl+C to cancel [Info] C
感谢楼主,顺便分享个自用的防封梯子:https://xbsj3462.fun/i/xy049,速度快延迟低,新用户注册免
您好 感谢大神的教程 按着您的教程安装了 ssr和trojan 但是每隔一两天就连不上了 甚至在gcp本身的管理页用
第五步没看懂什么意思
您的免费试用赠金还剩 NT$9,067.00 每月估算费用为 $5.40 每小时约为 $0.007 用多少,付多少