-
规定时间禁止聊QQ查看全部
-
iptables规则组成,四张表和五条链查看全部
-
iptables -I INPUT -p tcp --dport 80 -j ACCEPT iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT iptables -A INPUT -j REJECT iptables -I INPUT -p icmp -j ACCEPT查看全部
-
iptables查看全部
-
--connlimit-above 最大并发个数n #限制并发个数 iptables -I INPUT -p tcp -syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT 测试,转发到其它10.66.192.9:80端口,前端10.66.192.77限制 iptables -t nat -F iptables -t nat -I PREROUTING -d 10.66.192.77 -p tcp --dport 80 -j DNAT --to 10.66.192.9 iptables -t nat -I POSTROUTING -p tcp --dport 80 -j MASQUERADE iptables -F iptables -I INPUT -p tcp --dport 80 -m connlimit -connlimit-above 10 -j REJECT iptables -nL 客户机 ab -n 200 -c 20 http://10.66.192.77 Limit模块 一个小时允许3个连接 iptables -A INPUT -m limit --limit 3/hour --limit-burst默认为5 ICMP只允许10个包能通过,超过后每1分钟只允许1个包通过,顺序很重要-I -A iptables -F iptables -I INPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j ACCEPT iptables -A INPUT -p icmp -j DROP iptables -nL 6秒多一个允许包 10/m 60/10=6 每20秒增加一个 3/m 单位m minute s second h hour 客户机测试 ping iptablese服务器IP查看全部
-
算了,上阿里的 https://www.hiczp.com/post-71.html iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 10.66.192.9:80 iptables -t nat -I POSTROUTING -p tcp --dport 80 -j MASQUERADE iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 # 用SNAT作源地址转换(关键),以使回应包能正确返回 iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1查看全部
-
DNAT环境与SNAT一样,这里方向反了一下,内网机充当为服务器,外网客户端充当为服务器 CLIENT NAT-Server DetectionServer replace for replace for Detection client NAT-Server操作 可正常返回html网页 curl 10.66.192.10 iptables -F iptables -t -nat -F 这是没有任何规则,只要ip_forward开启,充当客户机的网关设置为NAT-Server的内网地址, 目标服务器可访问,得到的地址为真实用户地址,不是NAT服务器外网IP,这里是192.168.2.33 Client(原目标服务器内网) route add default gw 192.168.2.77 NAT-Server操作 TUT: iptables -t nat -A PREROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.232:80 YULY: iptables -t nat -A PREROUTING -d 192.168.2.77 -p tcp --dport 80 -j DNAT --to 10.66.192.9:80 测试,源IP在对方WEB服务器接收为客户机IP,非NAT服务IP,不能正常工作,变通是WEB添加路由到客户机,为NAT10.66.192.77 还要再加一条出去, 教程是默认网关为NAT,真实中跑不通 iptable -t nat -A POSTROUTING -d 10.66.192.9 -p tcp --dport 80 -j SNAT --to 192.168.2.77查看全部
-
分类 功能 作用链 SNAT 源地址转换 出口POSTROUTING DNAT 目标地址转换 进口PREROUTING 教程中环境 CLIENT NAT-Server DetectionServer 10.10.177.233 10.10.177.232 10.10.188.232 10.10.188.173 YULY 10.66.192.10 10.66.192.77 192.168.2.77 192.168.2.33 小结: 进站是DNAT,出口是SNAT查看全部
-
先在Nat-Server测试到DetectionServer通信 这里是Web服务,也可是3389 curl 192.168.2.9 在Nat-Server上操作 开启NAT转发功能,在内核上 vi /etc/sysctl.conf net.ipv4.ip_forward = 0 改为 net.ipv4.ip_forward = 1 配置生效 sysctl -p 临时修改单项值 sysctl -e varibalename=value 查看当前值 sysctl -a|grep ip_forward iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232 YULY iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j SNAT --to 192.168.2.77 查看当前nat表规则 iptables -t nat -L 在客户机配置非默认路由段路由 windows: route add 192.168.2.0 mask 255.255.255.0 10.66.192.77 小结: 显式网关代理转变,源IP为网关,目标机子得不到真实外网用户IP查看全部
-
分类 功能 作用链 SNAT 源地址转换 出口POSTROUTING DNAT 目标地址转换 进口PREROUTING 教程中环境 CLIENT NAT-Server DetectionServer 10.10.177.233 10.10.177.232 10.10.188.232 10.10.188.173 YULY 10.66.196.209 10.66.192.77 192.168.2.77 192.168.2.9 小结: 进站是DNAT,出口是SNAT查看全部
-
需求一:员工在公司内部(10.10.155.0/24, 10.10.188.0/24)能访问服务器上的任何服务 TUT: 差异 本机回环127.0.0.1用-i lo代替 iptables -F iptables -I INPUT -i lo -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I INPUT -p icmp -j ACCEPT iptables -I INPUT -s 10.10.155.0/24 -j ACCEPT iptables -I INPUT -s 10.10.188.0/24 -j ACCEPT iptables -A INPUT -j REJECT 保存配置 /etc/sysconfig/iptables 一: service iptables save 二: /etc/init.d/iptables save 三: history把命令复制为文本做成一个shell.sh #!/bin/sh 放到/etc/rc.local启动查看全部
-
需求一:员工在公司内部(10.10.155.0/24, 10.10.188.0/24)能访问服务器上的任何服务 需求二:员工在公司外,通过VPN连接到外网,拨号->VPN服务器->内网FTP,SAMBA,NFS,SSH 需求三:公司发布网站到公网 需求一:员工在公司内部(10.10.155.0/24, 10.10.188.0/24)能访问服务器上的任何服务 这里用10.66.196.0/24为例子 常见端口: 网站www http 80/tcp https 443/tcp 邮件mail smtp 25/tcp smtps 465/tcp pop3 110/tcp pop3s 995/tcp imap 143/tcp 不允许外部访问的服务 文件服务file NFS 123/udp SAMBA 137,138,139/tcp 445/tcp FTP 20/tcp, 21/tcp 远程管理manage SSH 22/tcp 数据库 MYSQL 3306/tcp ORACLE 1521/tcp YULY: 本机要加起, 10.66.196.0/24实验时先不加,试试效果 iptables -F iptables -I INPUT -s 10.66.196.0/24 -j ACCEPT iptables -A INPUT -j REJECT YULY2看了原理: 允许本地访问 允许已监听状态数据包通过 允许规则中允许的数据包通过(注意SSH管理端口要开启) 最后DENY拒绝未被允许的数据包 iptables -F iptables -I INPUT -s 127.0.0.1 -j ACCEPT iptables -I INPUT -s 自身IP -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I INPUT -s 10.66.196.0/24 -j ACCEPT iptables -A INPUT -j REJECT查看全部
-
扩展实验: 方法一EXT1 只能FTP出,第二句关键,可先不加入实验 iptables -I OUTPUT -p tcp --sport 21 -j ACCEPT iptables -I OUTPUT -p tcp --sport 50000:60000 -j ACCEPT iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT iptables -A OUTPUT -j REJECT 方法二EXT1 只能FTP出,第二句关键,可先不加入实验 看来nf_conntrack_ftp不能自动打通出端口流量 iptables -I OUTPUT -p tcp --sport 21 -j ACCEPT iptables -I OUTPUT -p tcp --sport 50000:60000 -j ACCEPT iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT iptables -A OUTPUT -j REJECT 小结: 服务端只开INPUT21即可连接FTP,执行命令 服务端开放端口范围50000:60000,被动连接传输数据 被动模式:客户端务连接服务器开放的端口连接,服务器21端口告诉是那个端口,服务器20端口都没有使用 服务端是公网IP, 命令是passive 开关为开查看全部
-
方法一: FTP服务端开放连续范围端口等待客户机连接,配置防火墙允许访问此端 在tcp_wrappers下面新增 # vi /etc/vsftpd/vsftpd.conf pasv_min_port=50000 pasv_max_port=60000 iptables -F iptables -I INPUT -p tcp --dport 21 -j ACCEPT iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT iptables -I INPUT -p icmp -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j REJECT iptables -nL 方法二: FTP不开范围,模块nf_conntrack_ftp自动跟踪打开客户端需要连接的端口 可不要iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT iptables -F iptables -I INPUT -p tcp --dport 21 -j ACCEPT iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p icmp -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j REJECT iptables -nL 临时 modprobe nf_conntrack_ftp 自动加载 模块文件列表在文件/etc/modprobe.conf 命令modprobe --list | grep conn 快速查看conn相同模块,这里是ftp # vi /etc/sysconfig/iptables-config IPTABLES_MODULES="" 改为 IPTABLES_MODULES="nf_conntrack_ftp"查看全部
-
安装vsftpd,默认不支持主动模式,要改动配置,port_enabled手动新增在connect上面哈 ftp默认用户为anonymous, 密码为空 $ yum install vsftpd $ cat /etc/vsftpd/vsftpd.conf port_enable=yes connect_from_port_20=YES $ ftp [FTPIP地址] ftp> ls 进入主动模式 ftp> passive ftp> ls ftp> quit 服务端配置,只开放特定端口,SSH22要开,不然连接不上服务器了,最少21 iptables -F iptables -I INPUT -p tcp --dport 21 -j ACCEPT iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p icmp -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j REJECT iptables -nL 扩展实验: EXT1,只能登陆FTP,主动,被动都不可 iptables -I OUTPUT -p tcp --sport 21 -j ACCEPT iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT iptables -A OUTPUT -j REJECT EXT2,只能登陆FTP,主动,被动都不可 在EXT1基础上,加入udp20,可正常工作 iptables -I OUTPUT -p udp --sport 20 -j ACCEPT 小结: 服务端只开INPUT21即可连接FTP,执行命令,不能主被动传输数据 服务端只开OUTPUT20,即可主动连接传输数据 主动模式:服务端通过UDP20连接客户端新开任意端口,客户是公网IP, 命令是passive查看全部
举报
0/150
提交
取消