iptables及sudo简介

iptables及sudo简介

一、详述iptables五链


iptables是linux的防火墙管理工具,真正实现防火墙功能的是netfilter,netfilter是Linux内核中实现包过滤的内部结构。
iptables具有四表五链的概念。

四表:

filter表:过滤数据包;    
nat表:用于网络地址转换(ip,端口);    
managle表:修改数据包的服务类型,ttl,并且可以配置路由实现QOS;    
RAW表:决定数据包是否被状态跟踪机制处理。

五链:

INPUT链:进来的数据包应用此规则链中的策略;    
OUTPUT链:外出的数据包应用此规则链中的策略;    
FORWARD链:转发数据包时应用此规则链中的策略;    
PREROUTING:对数据包做路由选择前应用此规则链中的策略;    
POSTROUTING:对数据包做路由选择后应用此规则链中的策略;

四表五链的图示如下:
iptables及sudo简介

二、实现iptables多端口匹配、连接追踪、字符串匹配、时间匹配、并发连接限制、速率匹配、报文状态匹配等应用


[root@node001 ~]# iptables -A FORWARD -p tcp --dport 80 -j ACCEPT    #iptables匹配单个端口    
[root@node001 ~]# iptables -A INPUT -p tcp -m multiport --source-port 22,80,110,111     #iptables匹配多个不连续的端口    
[root@node001 ~]# iptables -A INPUT -p tcp -m multiport --source-port 110:118    #iptables匹配多个连续的端口     
[root@node001 ~]# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT     #iptables连接追踪    
[root@node001 ~]# iptables -A OUTPUT -s 10.3.2.93 -d 10.3.0.0/16 -p tcp --sport 80 -m string --algo bm --string "violence" -j REJECT    #iptables字符串匹配设置    
[root@node001 ~]# iptables -A INPUT -s 10.3.0.0/16 -d 10.3.0.0 -p tcp --dport 80 -m time --timestart 08:30 --weekdays Sat,Sun -j DROP    #iptables时间匹配设定    
[root@node001 ~]# iptables -I INPUT -d 10.3.2.93 -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 5 -j ACCEPT    #iptables速率匹配设定    
[root@node001 ~]# iptables -A INPUT -d 10.3.2.93 -p tcp --dport 21 -m connlimit --connlimit-above 2 -j REJECT    #iptables并发连接限制设定    
[root@node001 ~]# iptables -A INPUT -d 10.3.2.93 -p tcp -m multiport --dports 22,80 -m state NEW,ESTABLISHED -j ACCEPT    #iptables报文状态匹配设定

三、实现iptables之SNAT源地址修改及DNAT目标地址修改和PNAT端口修改等应用


[root@node001 ~]# iptables -t nat -A POSTROUTING -j SNAT --to-source 10.3.2.93    #iptables设定SNAT    
[root@node001 ~]# iptables -t nat -A PREROUTING -d 10.3.2.93 -p tcp --dport 22 -j DNAT --to-destination 192.168.88.188:22    #iptables设定DNAT

四、 简述sudo安全切换工具,及详细讲解visudoer


sudo:能够让获得授权的用户以另外一个用户的身份运行指定的命令。授权文件可使用命令visudo编辑,实际上编辑的是/etc/sudoers文件的内容。
编辑visudo,添加如下命令: iptables及sudo简介

以上设定允许zhangge用户使用root管理员的所有命令。

 

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/99208

(2)
上一篇 2018-05-24 12:40
下一篇 2018-05-24 15:05

相关推荐

  • 文件查找命令

    文件查找 locate:非实时(并不能反应当前硬盘上是否有该文件,只是从数据库中提取信息)模糊查找,查找是根据全系统文件数据库进行的  –用的不多 # updatedb  手动生成文件数据库 格式:locate KEYWORD -i 不区分大小写的搜索 -n #只列举前#个匹配项目 locate conf:搜索名称或路径中包含“conf”的文件 …

    2018-07-09
  • 基础命令(二)

    date -s “2018-4-3”

    2018-04-03
  • 简述osi七层模型和TCP/IP五层模型

        OSI七层模型各层定义 物理层:提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性;有关的物理链路上传输非结构的位流以及故障检测指示。 数据链路层:在网络层实体间提供数据发送和接收的功能和过程;提供数据链路的流控。 网络层:控制分组传送系统的操作、路由选择、拥护控制、网络互连等功能,它的作用是将具体的物理传送…

    2018-06-15
  • 第七周

    总结

    Linux笔记 2018-05-13
  • Week 1 — 06 Linux目录

    Linux根目录下的主要目录包括: bin:存放所有用户可用的基本命令程序文件。 boot:存放引导文件,内核文件等。 dev:存放设备文件或特殊文件。 etc:存放各种配置文件。 home:普通用户的家目录。 lib:为系统启动或根文件系统上的应用程序提供共享库,以及为内核提供模块文件。 lib64:64位系统特有的存放位置。 media:挂载便携性设备。…

    Linux笔记 2018-08-18
  • Tomcat介绍及相关实验(一)

    Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。

    2018-07-24