日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
網(wǎng)絡(luò)安全攻防:Linux系統(tǒng)安全之iptables配置

iptables是用來設(shè)置、維護(hù)和檢查L(zhǎng)inux內(nèi)核的IP分組過濾規(guī)則的。作為L(zhǎng)inux下的一款防火墻,它的功能十分強(qiáng)大,它有3個(gè)表,每個(gè)表內(nèi)有規(guī)則鏈。

(1)filter 是默認(rèn)的表,包含了內(nèi)建的鏈 INPUT(處理進(jìn)入的分組)、FORWARD(處理通過的分組)和OUTPUT(處理本地生成的分組)。

(2)nat表被查詢時(shí)表示遇到了產(chǎn)生新的連接的分組,由3個(gè)內(nèi)建的鏈構(gòu)成:PREROUTING(修改到來的分組)、OUTPUT(修改路由之前本地的分組)、POSTROUTING(修改準(zhǔn)備出去的分組)。

(3)mangle表用來對(duì)指定的分組進(jìn)行修改。它有2個(gè)內(nèi)建規(guī)則:PREROUTING(修改路由之前進(jìn)入的分組)和OUTPUT(修改路由之前本地的分組)。下面簡(jiǎn)單介紹iptables的常用配置。

1. 查看iptables規(guī)則

查看當(dāng)前的iptables策略,使用iptables-L命令,默認(rèn)查看的是filter表的內(nèi)容,如下:

 
 
    
  
  
  1. root@kali:~# iptables-L  
    2.   
  
  2. Chain INPUT(policy ACCEPT)  
    3.   
  
  3. target prot opt source destination  
    4.   
  
  4. f2b-sshd tcp – anywhere anywhere multiport dports ssh 
    5.   
  
  5. Chain FORWARD(policy ACCEPT)  
    6.   
  
  6. target prot opt source destination  
    7.   
  
  7. Chain OUTPUT(policy ACCEPT)  
    8.   
  
  8. target prot opt source destination  
    9.   
  
  9. Chain f2b-sshd(1 references)  
    10.   
  
  10. target prot opt source destination  
    11.   
  
  11. RETURNall-anywhere anywhere 
    12.

2. 設(shè)置chain策略

對(duì)于filter表,默認(rèn)的chain策略為ACCEPT,可以通過以下命令修改chain的策略:

 
 
    
  
  
  1. root@kali:~# iptables-P INPUT DROP  
    2.   
  
  2. root@kali:~# iptables-P FORWARD DROP  
    3.   
  
  3. root@kali:~# iptbales-P OUTPUT DROP 
    4.

以上命令配置將接收、轉(zhuǎn)發(fā)和發(fā)出分組均丟棄,施行比較嚴(yán)格的分組管理。由于接收和發(fā)分組均被設(shè)置為丟棄,當(dāng)進(jìn)一步配置其他規(guī)則的時(shí)候,需要注意針對(duì) INPUT和OUTPUT分別配置。當(dāng)然,如果信任本機(jī)器往外發(fā)分組,上面第3條規(guī)則可不必配置。

3. 清空已有規(guī)則

可以用以下規(guī)則來清空已有的規(guī)則:

 
 
    
  
  
  1. root@kali:~# iptables-F 
    2.

4. 網(wǎng)口轉(zhuǎn)發(fā)規(guī)則

對(duì)于用作防火墻或網(wǎng)關(guān)的服務(wù)器,一個(gè)網(wǎng)口連接到公網(wǎng),其他網(wǎng)口的分組轉(zhuǎn)發(fā)到該網(wǎng)口實(shí)現(xiàn)內(nèi)網(wǎng)向公網(wǎng)通信,假設(shè)eth0連接內(nèi)網(wǎng),eth1連接公網(wǎng),配置規(guī)則如下:

 
 
    
  
  
  1. root@kali:~# iptables-A FORWARD-i eth0-o eth1-j ACCEPT 
    2.

5. 端口轉(zhuǎn)發(fā)規(guī)則

命令將888端口的分組轉(zhuǎn)發(fā)到22端口,因而通過888端口也可進(jìn)行SSH連接:

 
 
    
  
  
  1. root@kali:~# iptables-t nat-A PREROUTING-p tcp-d 192.168.1.1 –dport 888-j DNAT--to 192.168.1.1:22 
    2.

6. DoS攻擊防范

利用擴(kuò)展模塊limit,還可以配置iptables規(guī)則,實(shí)現(xiàn)DoS攻擊防范,如下所示:

 
 
    
  
  
  1. root@kali:~# iptables-A INPUT-p tcp –dport 80-m limit –limit 25/minute--limit-burst 100-j ACCEPT 
    2.

--litmit 25/minute 指示每分鐘限制最大連接數(shù)為25。

--litmit-burst 100 指示當(dāng)總連接數(shù)超過100時(shí),啟動(dòng)litmit/minute限制。


當(dāng)前題目:網(wǎng)絡(luò)安全攻防:Linux系統(tǒng)安全之iptables配置
網(wǎng)頁(yè)鏈接:http://m.5511xx.com/article/dhjhsdc.html