为了账号安全,请及时绑定邮箱和手机立即绑定
  • ftp 被动模式

    查看全部
  • 需求一:员工在公司内部(10.10.155.0/24, 10.10.188.0/24)能访问服务器上的任何服务 需求二:员工在公司外,通过VPN连接到外网,拨号->VPN服务器->内网FTP,SAMBA,NFS,SSH 需求三:公司发布网站到公网 需求一:员工在公司内部(10.10.155.0/24, 10.10.188.0/24)能访问服务器上的任何服务 这里用10.66.196.0/24为例子 常见端口: 网站www http 80/tcp https 443/tcp 邮件mail smtp 25/tcp smtps 465/tcp pop3 110/tcp pop3s 995/tcp imap 143/tcp 不允许外部访问的服务 文件服务file NFS 123/udp SAMBA 137,138,139/tcp 445/tcp FTP 20/tcp, 21/tcp 远程管理manage SSH 22/tcp 数据库 MYSQL 3306/tcp ORACLE 1521/tcp YULY: 本机要加起, 10.66.196.0/24实验时先不加,试试效果 iptables -F iptables -I INPUT -s 10.66.196.0/24 -j ACCEPT iptables -A INPUT -j REJECT YULY2看了原理: 允许本地访问 允许已监听状态数据包通过 允许规则中允许的数据包通过(注意SSH管理端口要开启) 最后DENY拒绝未被允许的数据包 iptables -F iptables -I INPUT -s 127.0.0.1 -j ACCEPT iptables -I INPUT -s 自身IP -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -I INPUT -s 10.66.196.0/24 -j ACCEPT iptables -A INPUT -j REJECT
    查看全部
  • 方法一: FTP服务端开放连续范围端口等待客户机连接,配置防火墙允许访问此端 在tcp_wrappers下面新增 # vi /etc/vsftpd/vsftpd.conf pasv_min_port=50000 pasv_max_port=60000 iptables -F iptables -I INPUT -p tcp --dport 21 -j ACCEPT iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT iptables -I INPUT -p icmp -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j REJECT iptables -nL 方法二: FTP不开范围,模块nf_conntrack_ftp自动跟踪打开客户端需要连接的端口 可不要iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT iptables -F iptables -I INPUT -p tcp --dport 21 -j ACCEPT iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p icmp -j ACCEPT iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j REJECT iptables -nL 临时 modprobe nf_conntrack_ftp 自动加载 模块文件列表在文件/etc/modprobe.conf 命令modprobe --list | grep conn 快速查看conn相同模块,这里是ftp # vi /etc/sysconfig/iptables-config IPTABLES_MODULES="" 改为 IPTABLES_MODULES="nf_conntrack_ftp"
    查看全部
  • 1、netstat -luntp查看端口情况 -l 仅列出有在 Listen (监听) 的服務状态 -u (udp)仅显示udp相关选项 -n 拒绝显示别名,能显示数字的全部转化成数字。 -t (tcp)仅显示tcp相关选项 -p 显示建立相关链接的程序名 2、iptables -v:-显示iptables版本 -nL:列出iptables 规则(以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。)注意,nl顺序不可以改变 -F:清除原iptables 规则 -I [num]:插入,把当前规则插入为第几条。 -p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP) --dport:指定目标端口 -j ACTION :指定如何进行处理 DROP:悄悄丢弃 一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表 REJECT:明示拒绝 ACCEPT:接受 custom_chain:转向一个自定义的链 DNAT SNAT MASQUERADE:源地址伪装 REDIRECT:重定向:主要用于实现端口重定向 MARK:打防火墙标记的 RETURN:返回 在自定义链执行完毕后使用返回,来返回原规则链。 3、iptables 设置 iptables -I INPUT -p tcp --dport 80 -j ACCEPT 允许访问80端口 iptables -I INPUT -p tcp --dport 22 -j ACCEPT 允许访问22端口(注意开启,远程否则连接不上) iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    查看全部
  • iptables -D INPUT -p tcp --dport 80 -j ACCEPT 删除http访问的规则 iptables -I INPUT -p tcp -s 10.10.188.233 --dport 80 -j ACCEPT 只允许10.10.188.233通过htpp请求访问本机 -s指定源主机
    查看全部
  • iptables 设置2 能访问回环地址和访问外部;即访问本机和他机 1、iptables -I INPUT -i lo -j ACCEPT ;-i 对应的网卡 2、iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    查看全部
  • 1、netstat -luntp查看端口情况 -l 仅列出有在 Listen (监听) 的服務状态 -u (udp)仅显示udp相关选项 -n 拒绝显示别名,能显示数字的全部转化成数字。 -t (tcp)仅显示tcp相关选项 -p 显示建立相关链接的程序名 2、iptables -v:-显示iptables版本 -nl:列出iptables 规则(以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。)注意,nl顺序不可以改变 -F:清除原iptables 规则 -I [num]:插入,把当前规则插入为第几条。 -p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP) --dport:指定目标端口 -j ACTION :指定如何进行处理 DROP:悄悄丢弃 一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表 REJECT:明示拒绝 ACCEPT:接受 custom_chain:转向一个自定义的链 DNAT SNAT MASQUERADE:源地址伪装 REDIRECT:重定向:主要用于实现端口重定向 MARK:打防火墙标记的 RETURN:返回 在自定义链执行完毕后使用返回,来返回原规则链。 3、iptables 设置 iptables -I INPUT -p tcp --dport 80 -j ACCEPT 允许访问80端口 iptables -I INPUT -p tcp --dport 22 -j ACCEPT 允许访问22端口(注意开启,远程否则连接不上) iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    查看全部
  • 安装ab:yum install httpd-tools 以40递增的频次发送10W个请求到目标服务器:ab -n 100000 -c 40 http://目标IP/test.txt 查看实时并发个数:netstat -an|grep 80 | grep 访问IP | grep EST -c 设置策略,最大连接限制为10个:iptables -I INPUT -p tcp --dport 80 -s 访问IP -m connlimit --connlimit-above 10 -j REJECT iptables -F:清空链上的规则
    查看全部
  • iptables规则组成: 组成部分:四张表+五条连(Hook point)+规则 Mangle表:修改数据包,改变包头中内容(TTL、TOS、MARK) raw表:数据包状态的跟踪和分析 filter表:访问控制、规则匹配 nat表:地址转发
    查看全部
  • iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue, Wed, Thu, Fri, Sat -j DROP # 工作时间禁止聊qq
    查看全部
  • iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 10 -j DROP
    查看全部
  • iptables -t nat -A PREROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.232:80
    查看全部
  • iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232
    查看全部
  • net.ipv4.ip_forward = 1
    查看全部
  • linux 下 ab压力测试!
    查看全部

举报

0/150
提交
取消
课程须知
学习本课程需要具备Linux基础,并了解常见的网络协议呦!
老师告诉你能学到什么?
1、iptables是什么?他能帮助我作些什么? 2、iptables内核原理,规则组成。 3、对不同的实际场景进行iptables规则配置。 4、理清思路,分模块梳理,整理设计自己的iptables的规则方案。

微信扫码,参与3人拼团

意见反馈 帮助中心 APP下载
官方微信
友情提示:

您好,此课程属于迁移课程,您已购买该课程,无需重复购买,感谢您对慕课网的支持!