skill——iptables(六)

相关动作

REJECT
LOG
SNAT
DNAT
MASQUERADE
REDIRECT
详情请仔细阅读此博主文章

iptables 小结

1. 规则的顺序非常重要
因为链中规则的顺序是自上而下的,当报文已经被前面的规则匹配到,iptables 会执行对应的动作,而后面即使有可以匹配到刚才已经执行过相应的动作的报文,也不会再执行相应的动作了(第一次匹配到规则的动作为 LOG 除外),所以,针对相同的服务规则,更严格的规则应该放在前面
2.当规则中有多个匹配条件时,条件之间默认存在 "与" 的关系,即必须满足规则中的所有条件,才会执行规则的相应动作
3. 在没有顺序要求的情况下,不同类别的规则,被匹配次数多的、频率高的规则应该放在前面
比如:没有特殊要求外,有两条规则,sshd、web;一天之中,有 20000 个请求访问 web 服务,200 个请求访问 sshd 服务,那么应该把 web 的规则放在前面,减少资源的浪费;不然 sshd 放在前面也会被验证与 web 访问量同样的次数
4. 当 iptables 所在知己作为网络防火墙时,在配置规则时,应该着重考虑其方向性,双向性,由内到外,由外到内
5. 在配置 iptables 白名单时,往往会将链的默认策略设置为 ACCEPT,通过在链的最后设置 REJECT 规则来实现白名单机制,而不是将默认策略改为 DROP,这样可以避免误操作管理员自己把自己关在门外

原文地址:http://blog.51cto.com/12384628/2308345

时间: 2024-10-12 01:26:36

skill——iptables(六)的相关文章

skill——iptables(三)

匹配条件 一:-s 源地址:指定 ip 时可用 "," 隔开,指定多个:也可以指定网段,用 "!" 取反注意:取反表示报文源地址 IP 不为 192.168.1.103 即满足条件,执行相应的动作实例如下: 二:-d 目标地址注意:1. 源地址表示报文从哪里来,目标地址表示报文要到哪里去,当目标主机有两块或以上网卡时,示例如下2. 上面说到 -s 的使用方法 -d 同样适用 案例一:指定来 80.174 网卡拒绝接收来自 80.138 的报文接着我们在 192.16

skill——iptables(二)

iptabls 查.增.删.改,保存 一:查 参数 说明 -t 指定要查看的表,默认为 filter 表 -L 列出表中规则 -v 查看详细信息 -x 显示计数器的精确值 -n 不对 IP 地址进行名称反解,直接显示 IP --line-number 显示规则的行号,可缩写为 --line 案例一:查询 fileter 表 INPUT 链中中的规则丢弃 ip:192.168.8ptables -t filter -vL INPUT下面介绍下每列的含义 列明 说明 pkts 匹配到的报文的个数 b

skill——iptables(五)

黑白名单 黑名单:即默认策略为 ACCEPT,链中规则对应的动作应该为 DROP 或 REJECT ,表示只有匹配到规则的报文才会被拒绝,没有匹配到规则的报文默认被放行白名单:即默认策略为 DROP 或 REJECT,链中规则对应的动作应该为 ACCEPT ,表示只有匹配到规则的报文才会被放行,没有匹配到规则的报文默认被拒绝也就是说:白名单时,默认所有人是坏人,只放行好人黑名单时,默认所有人是好人,只拒绝坏人案例一:简单的黑名单(默认策略为 ACCEPT,链中规则对应的动作为 DROP 或 RE

skill——iptables(四)

扩展匹配条件 一:udp 扩展模块 选项 说明 --sport 匹配报文的源端口 --dport 匹配报文的目标端口 和 tcp模块中的名称一样,不同的是, udp 模块中的 --sport 与 --dport 是用来匹配 UDP 协议报文的源端口与目标端口的udp 模块与 tcp 模块类似,适用于 tcp 模块的使用方式同样适用于 udp 模块,multiport 也同样适用 udp 模块指定多个离散的端口案例一:udp 模块用法举例二:icmp 扩展模块如下图:icmp报文类型案例二:icm

Linux之iptables(六、rich规则)

其它规则 当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则 rich-rules 富规则,功能强,表达性语言 Direct configuration rules 直接规则,灵活性差 帮助:man 5 firewalld.direct 管理rich规则 rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和auditd,也可以实现端口转发,伪装和限制速率 rich语法: rule [source][destination

Raspberry pi 2 wireless settings.

主要参考: 0.https://www.raspberrypi.org/forums/viewtopic.php?p=462982#p462982 1.https://www.maketecheasier.com/set-up-raspberry-pi-as-wireless-access-point/ 2.http://www.jenssegers.be/43/Realtek-RTL8188-based-access-point-on-Raspberry-Pi 3.https://www.em

Python基础:Python函数

一.函数是python中使用最高的对象. 函数定义的简单规则 : 1.用def定义,接着是函数名和参数和冒号,格式: 2.函数内部代码块需要缩进 3.使用return返回函数值,默认返回值是None 格式: def 函数名(参数) : 代码块 return                #可有可无,也可以在代码块任意位置使用 二.函数中return的使用: return可以在函数的任何地方使用,直接跳出当前函数,忽略其它代码块. # return也可以不带参数,返回的是None # 也可以没有r

十六、SELINUX、netfilter防火墙以及其iptables工具

SELINUX 关闭selinux有两种方法:暂时关闭selinux防火墙,下次重启后selinux还会开启.#setenforce 0 #getenforce #查看临时关闭selinux的状态命令永久关闭selinux #vi /etc/selinux/config #修改selinux的配置文件 更改"SELINUX=enforcing"为 SELINUX=disabled  保存退出. 此处需要重启.方能改成disabled. [[email protected] ~]# /u

linux防火墙--iptables(二)

五.filter过滤和转发 a.打开内核的IP转发 # sysctl -w net.ipv4.ip_forward=1 或 # echo 1 > /proc/sys/net/ipv4/ip_forward b.基本匹配条件 ·通用匹配 → 可直接使用,不依赖于其他条件或扩展 → 包括网络协议.IP地址.网络接口等条件 ·隐含匹配 → 要求以特定的协议匹配作为前提 → 包括端口.TCP标记.ICMP类型等条件 类别 选项 用法 通用匹配 协议匹配 -p 协议名 地址匹配 -s 源地址