ルールをフィルタリングするのiptablesの1.詳細な説明は、ワークフローおよび順序?
iptablesのパケットフィルタリング作業を使用することである、彼の要求のパケットのヘッダ内のデータを分析し、そして私達の関連する操作と一致するように予め設定されたルールに従って説明します。
ファイアウォールはパケットを受信した場合:
復帰のために戻っに上から下へのファイアウォールフィルタリングルールの順序の1層、フロント
2.ルールが(DROP、ACCEPT)下方に一致しない場合それは一致しました。
3.試合は、ルールがないようにすることであるかのルールには一致していないパケットを通じて、ルールは次のホップダウンに進むことは明らかではない場合。
4.上記のルールのすべてが一致し、最終的にデフォルトルールを実行しない場合。
2、そこにいくつかのテーブルがあり、各テーブルには、いくつかのチェーンを持ってiptablesの?
テーブルとチェーン(4つの鎖表V)
パケットフィルタリングテーブルのため1.filter(フィルタリング)プロセス
変換2.nat(地図)データアドレス情報変換/パケットポート情報
ネットワーク内のユーザアクセスネットワークを実現
達成しますアクセスするネットワークユーザー外部ネットワーク
3.mangle(使用しない)
パケットフラグ情報
(使用しない)4.raw
解体数のパケットフラグ情報
図3に示すように、各テーブルの役割は、鎖にいくつかのテーブルのiptablesの、対応するエンタープライズアプリケーションシナリオに対応しますか?
全体的な構造のiptablesの
iptablesの実際のコンテナの複数のテーブル(表)であり、各テーブルには異なるルール(ポリシー)の鎖内で定義異なる鎖(カテナalberghiera)を含む、我々は、制御パケットに異なるルールを定義ファイアウォールのアクセスインチ
3つのテーブルの中のiptables
フィルターは、デフォルトのホストファイアウォール、パケットフィルタリングの流入と流出のホストです。内部、OUTPUT、フォワード3つの鎖を含むINPUT
着信ホストフィルタリング入力パケットを
出力処理パケットがマシンから送出
NAT関係にこのプロセスホスト・データ・パケットを流れるフォワード
ファイアウォール企業の重要な機能は、フィルタテーブルであります手段
NATは、ネットワークアドレス変換(IP宛先アドレスとポートからの変換)を担当し、一般的に3つの鎖OUTPUT、PREROUTING、POSTROUTINGあって、インターネット、同様にネットワークスイッチのACLを共有するために、ローカル・エリア・ネットワークのために使用されている
ホストを変更するには、OUTPUTは、パケットを送信します宛先アドレス
パケットをPREROUTINGためのサブ経路が決定される前に、パケットの宛先アドレスを変更行わファイアウォール規則に到達する、宛先ポート
サブ経路前ルール実行のためには、ソースソースに基づいてアドレスを変更するために、ファイアウォール決定POSTROUTINGパケットの葉でありますポート
マングル生少ないエンタープライズアプリケーションにおける
フローチャートのテーブルと異なる鎖と記載簡略化パケットのiptablesを説明する図面を通してろ過4、。
1.パケットiptablesの準備に入る前に、パケットの宛先アドレスはIPまたはポート書き換え、または異なるIPポートにマッピングされた鎖NATテーブルであるPREROUTINGう。
2.その途中のデータパケットは、2つのケースがあります。
2.1 iptablesのパケットがNATテーブル出力OUTPUTチェーン流出フィルタテーブルを通してストランドに、チェーン入力フィルタテーブルを介して、ホストに入り、一般的に、唯一のチェーン入力フィルタ表に制御する必要がある
、例えば、ホストを流れる2.2データパケットをルーティングに使用される場合、FILETERテーブルを流れるパケットのFORWARDチェーン
POSTROUTING 2.3すべてのパケットは、最終的に、NATテーブルを介して流出するソースアドレスまたはIPポートを書き換えます。
図5は、ルールコマンドを現在のすべてのiptablesを表示するために書いてください。
iptablesの-nl(デフォルトのビューフィルタリスト)
iptablesの-t -nl NAT(NATルールカードテーブル)
6は、アクセスポート80個の要求のに10.0.0.188のIPアドレスから禁止されている
のiptables -A INPUT -p tcpの-s 10.0.0.188 --deport 80 -j DROP
コマンドラインiptablesのルールの実行に永久作り方7、?
方法1:
保存/etc/init.d/iptables
方法2:
iptablesのセーブ>、/ etc / sysconfig / iptables内
8へのアクセス要求10.0.0.3:80 172.16.1.17:80の実現に
特定のコマンドにマッピングされたIPホスト10.0.0.3の操作を行います。
iptablesの-t NAT -A PREROUTING -d -p TCP 10.0.0.3 --dportをあなたは-j DNAT --to-80 172.16.1.17:80をどこにしたいです
。9、段落172.16.1.0/24は、IP 124.32.54.26共有アクセスにすべてのホストで外部ネットワークを実現しました。
NATテーブルには、ホスト124.32.54.26 POSTROUTINGチェーンで構成された
iptablesの-tのnat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-ソース124.32.54.26
ネットワーク172内のすべてのホスト、必要同じネットワークセグメントのホスト124.32.54.26にIPネットワークアダプタにデフォルトゲートウェイを設定
コースオフ3ウェイハンドシェイクと4 TCP説明10、?
11. HTTPの作品を詳細に説明しましたか?
ユーザーアクセス処理の
DNS解決の原則
TCP 3ウェイハンドシェイク、4つの切断
要求パケットのHTTPレスポンスはのメッセージについて説明し
、共通のステータスコードは、
あなたがどのアーキテクチャ教えを
12. iptablesの共通の生産シナリオを記述してください。
IDCの部屋ネットワーク内の共有インターネットアクセスに1)、ローカルエリアネットワーク(内部LAN、インターネットゲートウェイに適しており、インターネットゲートウェイ)
(NAT POSTROUTING)
2)サーバの火災安全機能(IDCの部屋のためのサーバが外部のIPネットワークを有する)(主のフィルタ入力を制御します)
3)と、特定の鏡像異性体を輸入端てもよい内部LAN(IPマッピングいずれかにマッピングされた外部IPエンド輸入
ショット)。これは、ロードバランサ(ハードウェアファイアウォール)にマッピングされ、外部ネットワークとWebサイトのVIPのエンド輸入にI DCであってもよいです。(NAT
PREROUTING)
。4)+オフィスルーターゲートウェイ機能(ゼブラ通路±+は、フォワードフィルタをiptablesのとNAT +は透過プロキシイカ
80 + NTOP / iftop / iptrafビュートラフィック速度制御フローTC +
5)電子メールゲートウェイ
説明、13次のアクションコマンドのiptables
のiptables -N-SYNフラッドは、
-A INPUT -j -i eth0の-syn-SYNフラッドは、iptablesの
200がRETURN -jである-A-SYNフラッド-m限界をiptablesの-limit 5000 / S -limitバースト
DROP -jのiptables -A SYNフラッド
防止SYN攻撃ファイアウォールポリシー
14、最適化のiptablesに?どのように大企業WEBアプリケーションの同時実行シナリオを
コネクショントラッキングテーブルは、アップターン
、タイムアウトはほとんどの曲を
pv3000w、同時1ワット〜2ワット、オフについてハードウェアファイアウォールやiptablesの[オフ]を選択します。
2)企業の運用・保守の経験フェイス質問:
15、)ホストマシンの80ポート(Qihooは360インタビューの質問への唯一のリモートアクセスを許可するようにファイアウォールを設定するためのスクリプトを書く
(http://user.qzone.qq.com/49000448/blog / 1429755081)
のiptables -P DROPはINPUT
INPUT --dport -A 80をiptablesのはACCEPT -j
16を、Linuxのインターネットゲートウェイを構成する方法を説明してください?
Linuxカーネルのゲートウェイに転送戦いカード
17、プロのセキュリティWEBサーバホストのファイアウォールを設定する方法について説明しますか?
デフォルトのルールでは、何が開くものを、否定する
少なくとも2つの方法でください使用:18企業の本当の問題6を!
DOS攻撃の生産の場合解決するためのスクリプト書く
Webログやネットワーク接続によるまたは、短い時間内にモニタや同時接続が到達100 PVのIP番号は、つまり、対応するIPのfirewallコマンドのシールを呼び出すときに、すべての3の監視頻度:ヒント分。ファイアウォールのコマンドは:-A INPUTは10.0.1.10 -j DROPを-s iptablesの 。
(シェルプログラミングます教育試験問題の古い男の子の1からこの質問)
http://www.cnblogs.com/Richard-Liang/p/8991570.html
19は、/ var / log / messagesに表示されログには、カーネル:nf_conntrack:テーブルがいっぱい、パケットをドロップする。原因は何ですか?どのように解決するには?
理由は、トランジット接続プールがいっぱいです、あなたは、上げ残業ダウンオンにする必要がある
必要なカーネルのチューニング
20を、実際のフィナーレ機械iptablesの試験
