0519~0523 selinux iptables
0519 selinux
/etc/selinux/config 配置文件 enforcing permissive disabled
getenforce 查看状态
setenforce 0 临时关闭
安装包 libselinux-utils
0520 iptables-1
netfilter 表table 链chain
iptables -t filter -nvL
filter 默认表默认有3个链,INPUT FORWARD OUTPUT 可以自定义链
nat 默认链 PREROUTING POSTROUTING OUTPUT
mangle PREROUTING INPUT FORWARD OUTPUT POSTROUTING
iptables -t filter -I INPUT -p tcp --dport 80 -s <来源IP> -j DROP
-t 指定表
-I 插入规则到哪个链首。还有 -A 增加到链尾 ,-D 删除规则。
删除规则有简单放法:先用iptables -nvL --line 查看要删规则的序号,再用 iptables -D <链> <序号> ,非常简便。
-p 指定连接类型 tcp udp icmp
关于icmp有一条规则:
iptables -I INPUT -p icmp --icmp-type 8 -j DROP 让其它机器不能ping通
-d 目标IP
--dport 指定目标端口
-s 指定来源IP
--sport 来源端口
-j 指定动作 DROP REJECT ACCEPT
-i -o 指定网卡
0521 iptables-2
查看列表每一列的含义
pkts 匹配的包的数量
bytes 包的字节数量
target 规则的动作
prot 连接类型
我理解的filter原理是,防火墙拿着每个连接按从上到下的顺序逐个对照链中的规则,一旦匹配成功就热行这条规则,不再往下对照。所以对于有相同特征的规则要把希望执行的那条尽可能接近顶端。
iptables -Z 重置计数器
iptables -F 临时清空所有规则
如果要指定 --dport 或 --sport 需要先指定 -p
service iptables save 保存规则到/etc/sysconfig/iptables文件
iptables-save > filename 把规则导出到指定文件
iptables-restore < filename 从文件恢复规则
service iptables stop 停用防火墙,但一旦设置一条规则就会重新启动。
0522 iptables-3
nat ---路由器
下面两条命令可以实现eth1通过eth0上网(路由转发)
echo 1 > /proc/sys/net/ipv4/ip_forward ##打开内核路由转发功能
iptables -t nat -A POSTROUTING -s -o eth0 -j MASQUERADE(伪装)
mangle --给包打标记。
0523 iptables-4
每个链的policy 默认都是 ACCEPT
iptables -P INPUT DROP 更改链的默认策略 -P
0519 selinux
/etc/selinux/config 配置文件 enforcing permissive disabled
getenforce 查看状态
setenforce 0 临时关闭
安装包 libselinux-utils
0520 iptables-1
netfilter 表table 链chain
iptables -t filter -nvL
filter 默认表默认有3个链,INPUT FORWARD OUTPUT 可以自定义链
nat 默认链 PREROUTING POSTROUTING OUTPUT
mangle PREROUTING INPUT FORWARD OUTPUT POSTROUTING
iptables -t filter -I INPUT -p tcp --dport 80 -s <来源IP> -j DROP
-t 指定表
-I 插入规则到哪个链首。还有 -A 增加到链尾 ,-D 删除规则。
删除规则有简单放法:先用iptables -nvL --line 查看要删规则的序号,再用 iptables -D <链> <序号> ,非常简便。
-p 指定连接类型 tcp udp icmp
关于icmp有一条规则:
iptables -I INPUT -p icmp --icmp-type 8 -j DROP 让其它机器不能ping通
-d 目标IP
--dport 指定目标端口
-s 指定来源IP
--sport 来源端口
-j 指定动作 DROP REJECT ACCEPT
-i -o 指定网卡
0521 iptables-2
查看列表每一列的含义
pkts 匹配的包的数量
bytes 包的字节数量
target 规则的动作
prot 连接类型
我理解的filter原理是,防火墙拿着每个连接按从上到下的顺序逐个对照链中的规则,一旦匹配成功就热行这条规则,不再往下对照。所以对于有相同特征的规则要把希望执行的那条尽可能接近顶端。
iptables -Z 重置计数器
iptables -F 临时清空所有规则
如果要指定 --dport 或 --sport 需要先指定 -p
service iptables save 保存规则到/etc/sysconfig/iptables文件
iptables-save > filename 把规则导出到指定文件
iptables-restore < filename 从文件恢复规则
service iptables stop 停用防火墙,但一旦设置一条规则就会重新启动。
0522 iptables-3
nat ---路由器
下面两条命令可以实现eth1通过eth0上网(路由转发)
echo 1 > /proc/sys/net/ipv4/ip_forward ##打开内核路由转发功能
iptables -t nat -A POSTROUTING -s -o eth0 -j MASQUERADE(伪装)
mangle --给包打标记。
0523 iptables-4
每个链的policy 默认都是 ACCEPT
iptables -P INPUT DROP 更改链的默认策略 -P
编辑回复