Linux aprender Día 11: iptables firewall herramientas de gestión

Others 2020-03-15 15:11:20 views: null

  Servidor de seguridad como una barrera protectora entre el público y dentro de la red juega un papel vital para garantizar la seguridad de datos. RHEL 6 y los sistemas anteriores se utilizan como una herramienta para configurar la política cortafuegos iptables, pero en el sistema RHEL7, friewalld cortafuegos para reemplazar los iptables firewall. De hecho, iptables y firewalld no es realmente un servidor de seguridad, que se acaba de utilizar para definir las herramientas de gestión de la política de cortafuegos solamente. La diferencia es que iptables servirán políticas de cortafuegos configurados refiere netfilter Netfilter nivel del núcleo de tratar, pero el servicio firewalld se denomina paquete kernel-nftables nivel de filtrado marco de tratar.

A, iptables

  Teniendo en cuenta el gran número de empresas siguen utilizando iptables firewall en un entorno de producción como herramienta de gestión, por lo que debemos tomar al conocimiento maestro de iptables, el servidor de seguridad en el aprendizaje de otros conocimientos también tienen referencia.

  1, estrategia y reglas

  En primer lugar, la entrada de política para el procesamiento y filtrado de las normas de tráfico de llamadas, las reglas puede estar compuesto de una pluralidad de regla de la cadena. Firewall seguirá el orden de arriba a abajo para leer la entrada de directiva configurada para que coincida con un fin inmediato a trabajar en después de que se encuentra una coincidencia, y para llevar a cabo los actos definidos en el partido de la política (es decir, permitir o bloquear). Si, después de la finalización de la lectura de todas las reglas definidas que aún no se encuentra una coincidencia, se fue a ejecutar la política predeterminada.

  En general, la regla de política por defecto, hay dos: uno es el " pase " (es decir, la liberación), el otro está " bloqueando " (es decir, parada). Cuando la regla por defecto del firewall se establece en "bloque", es necesario ajustar la liberación de las reglas, que de otro modo no vendrían; cuando la regla por defecto se ajusta en "ON", es necesario configurar para bloquear las reglas, o que puede entrar. De acuerdo con las reglas de diferentes funciones también se dividen en varias categorías:

  •   Procesar el paquete (la PREROUTING) antes de encaminamiento;
  •   Procesamiento de los flujos de paquetes de datos (la entrada);
  •   El procesamiento de efluentes paquetes (la salida);
  •   El procesamiento de la transmisión de paquetes de datos (el delantero);
  •   Después de realizar un procesamiento de encaminamiento de paquetes de datos (POSTROUTING).

  Generalmente, las empresas han de se procesan los paquetes entrantes, el tráfico enviado desde la red interna a la red externa es controlable y es generalmente benigna, hemos utilizado la mayoría de las normas de cadena INPUT. Luz suficiente regularidad, también requiere una persona compatible estas normas de tráfico para su posterior procesamiento, tales como ACCEPT (permitiendo el flujo a través), REJECT (rechazar el flujo a través), LOG (información de registro), la GOTA (tráfico desestimado). Aquí para explicar la diferencia entre el rechazo y DROP, REJECT responderá a una "Tu información recibida, pero fue rechazado", al tiempo que niega la información de tráfico, DROP tráfico se descarta y no se de respuesta directa.

[root @ linuxprobe ~] # ping -c 4  192.168 . 10.10 
PING 192.168 . 10.10 ( 192.168 . 10,10 ) 56 ( 84 ) bytes de datos. 
De 192.168 . 10.10 icmp_seq = 1 Puerto de Destino Inalcanzable      //流量被拒绝(rechazar) 
De 192.168 . 10.10 icmp_seq = 2 Puerto de Destino Inalcanzable 
De 192.168 . 10.10 icmp_seq = 3 Puerto de Destino Inalcanzable 
De 192.168. 10.10 icmp_seq = 4 Puerto de Destino Inalcanzable
 --- 192.168 . 10.10 estadísticas de ping ---
 4 paquetes transmitidos, 0 recibidos, + 4 errores, 100 % de pérdida de paquetes, 3002ms tiempo
 -------------------------- -----------分割线------------------------------------- ---------- 
[root @ linuxprobe ~] # ping -c 4  192.168 . 10.10 
PING 192.168 . 10.10 ( 192.168 . 10,10 ) 56 ( 84) bytes de datos.
                                                               // se descarta el tráfico (DROP) o el anfitrión no está online
 --- 192.168 . 10.10 de estadísticas de ping ---
 . 4 paquetes transmitidos, 0 recibida, 100 % de pérdida de paquetes, 3000 ms Tiempo

 

 

 

 

 

 

  

Supongo que te gusta

Origin www.cnblogs.com/xuliang-daydayup/p/12497550.html
Recomendado
Clasificación
Diario
Más
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)

Code World

© 2018 codetd.com