LinuxはDay11を学ぶ:iptablesのファイアウォールの管理ツールを

その他 2020-03-15 15:11:02 訪問数: null

  公衆の間で、ネットワーク内の保護バリアとしてのファイアウォールは、データのセキュリティを確保する上で重要な役割を果たしています。RHEL 6および以前のシステムには、configureのiptablesファイアウォールポリシーのツールとして使用されるが、RHEL7システムでは、ファイアウォールのiptablesを置き換えるために、ファイアウォールfriewalldされています。実際には、本当にfirewalldのiptablesファイアウォールは、それらがされているだけで、ファイアウォールポリシーの管理ツールを定義するために使用されるだけ。違いは、構成されたファイアウォールポリシーに役立つのiptablesに対処するためにNetfilterのカーネルレベルのnetfilter呼ぶことがあるが、firewalldサービスを扱うためのフレームワークを濾過nftablesカーネルレベルのパケットと呼ばれます。

A、iptablesの

  我々はiptablesののマスター知識を取る必要がありますので、企業の大規模な数を考えると、まだ、管理ツールとして運用環境でファイアウォールのiptablesを使用し、他の知識を学ぶことで、ファイアウォールは、参照を持っています。

  1、戦略とルール

  まず、処理および呼トラフィックルールをフィルタリングするためのポリシーエントリは、ルールは、連鎖ルールの複数から構成されてもよいです。ファイアウォールが続く上から下へ順に一致するものが見つかった後にワークへの即時終了と一致するように、そして(すなわち、許可または遮断)ポリシー一致で定義された動作を実行するように構成されたポリシーエントリを読み取ること。、定義されたルールのすべてを読んだの完了後、まだマッチが見つからない場合は、デフォルトのポリシーを実行するために行ってきました。

  一般に、デフォルトのポリシールールは、2がある:1「であり、パス、その他は」さ「(すなわちリリース)ブロック(すなわち停止)」。ファイアウォールのデフォルトルールは、「ブロック」に設定されている場合、それは設定する必要があるのリリースそう来ないだろうルール、;デフォルトルールを「オン」に設定されている、設定する必要があるブロックするようにルールを、または誰が来ることができます。さまざまな機能の規則によると、いくつかのカテゴリに分類されます。

  •   前経路にパケット(PREROUTING)を処理します。
  •   処理は、流れるデータパケット(INPUT)から;
  •   処理排水のパケット(OUTPUT)を、
  •   処理転送データパケット(FORWARD)のを、
  •   データ・パケットのルーティング処理(POSTROUTING)を行った後。

  一般的に、企業は、着信パケットに、我々はほとんどの入力連鎖ルールを用い、内部ネットワークから外部ネットワークへ送信されたトラフィックは制御可能であり、一般的に良性であり、処理されます。光は定期的に十分な、また、さらなる処理のため、これらの交通ルールは、のような成功した試合が必要ですACCEPT、(フロースルーを許可する)REJECTを(フロースルー拒否)、LOG(ログ情報)、DROP(拒否されたトラフィック)。ここではREJECTとDROPの違いを説明するために、交通情報を拒否しながら、交通DROPは直接応答を破棄していないであろう、「あなたの情報を受信したが、拒否された」に対応させていただきますREJECT。

-c [ルート@ linuxprobe〜]#ピング4  192.16810.10 
PING 192.16810.10192.16810.10)、5684 )データのバイト。192.16810.10 icmp_seq = 1つの宛先ポート到達不能      //流量被拒绝(REJECT) 
から192.16810.10 icmp_seq = 2 宛先ポート到達不能
から192.16810.10 icmp_seq = 3 宛先ポート到達不能
から192.16810.10 icmp_seq = 4 宛先ポート到達不能
 --- 192.16810.10のping統計---
 4送信されたパケット、0が受信された、+ 4エラー、100%のパケット損失、時間3002ms
 -------------------------- -----------分割线------------------------------------- ---------- 
[ルート@ linuxprobe -c〜]#ピング4  192.16810.10 
PING 192.16810.10192.16810.10)、5684)データのバイト。
                                                               //トラフィックが(DROP)、廃棄またはホストがオンラインではありません
 --- 192.16810.10 ping統計の---
 。4に送信したパケット、0受信、100%のパケットロス、時間3000ms

 

 

 

 

 

 

  

おすすめ

転載: www.cnblogs.com/xuliang-daydayup/p/12497550.html
おすすめ
ランキング
パイソンのPythonの設計哲学--zen
VUE - 1を学習の開発ブログ
エントリートラバース地図要素
コードをHuaweiCloudgitリポジトリに同期する
Mavenは地元の倉庫とアリクラウド遠隔倉庫を設定しました
Linux は、ファイルとサブディレクトリの内容をすべてのユーザーが読み取り、書き込み、実行できるように変更します。
サンプルを作成するためのK8S展開&サービス
ailoop2内部ailoop3内部の操作で、検討します。(コストは右である)海のデバッグ本当の巨人を使用した場合HearthBuddy愛2(第ヒーローのスキルが問題のトーテムを召喚使用していない、海の巨人を使用)、以下トーテムを召喚
お金が最も多くを得ました
[P1023]羅区税補助金(説明)
アーカイブ
もっと
2024-06-04(0)
2024-06-03(1)
2024-06-02(0)
2024-06-01(1)
2024-05-31(1)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(0)

コードワールド

© 2018 codetd.com