日常運維2

安全增強型 linux（security

-enhanced

linux）簡稱 selinux，它是乙個 linux 核心模組，也是 linux 的乙個安全子系統。

：enforcing

#開啟狀態，會強制執行selinux的安全策略

2：permissive

#提示狀態，會列印觸發selinux安全策略的警告，但是不會執行相應的策略。

3：disabled

#關閉selinux，重啟後也不會再啟動selinux。

在centos6上，我們用的是iptables服務，而在centos7上，我們用的是firewalld服務,不管是centos6還是centos7，核心其實都是netfilter，netfilter是linux的乙個核心模組，iptables命令是linux核心自帶的。

.filter表——三個鏈：input、

forward

、output 作用：過濾資料報核心模組：iptables_filter.

.nat表——三個鏈：prerouting、postrouting、output 作用：用於網路位址轉換（ip、埠）核心模組：iptable_nat

.mangle表——五個鏈：prerouting、postrouting、input、output、

forward

作用：修改資料報的服務型別、ttl、並且可以配置路由實現qos核心模組：iptable_mangle(別看這個表這麼麻煩，咱們設定策略時幾乎都不會用到它)

.raw表——兩個鏈：output、prerouting 作用：決定資料報是否被狀態跟蹤機制處理核心模組：iptable_raw

.security表——三個鏈：input、output和

forward

作用：security表在centos6中並沒有，用於強制訪問控制（mac）的網路規則核心模組：iptable_security

：通過路由表後，目的地不為本機

：當乙個資料報進入網絡卡時，它首先進入prerouting鏈，核心根據資料報目的ip判斷是否需要轉送出去。

2：如果資料報就是進入本機的，它就會到達input鏈。資料報到了input鏈後，任何程序都會收到它。本機上執行的程式可以傳送資料報，這些資料報會經過output鏈，然後到達postrouting鏈輸出。

3：如果資料報是要**出去的，且核心允許**，資料報就會經過

forward

鏈，然後到達postrouting鏈輸出。

：當乙個資料報進入網絡卡時，它首先進入prerouting鏈，核心根據資料報目的ip判斷是否需要轉送出去。

3：如果資料報是要**出去的，且核心允許**，資料報就會經過

forward

鏈，然後到達postrouting鏈輸出。

iptables的命令格式較為複雜，一般的格式如下：

iptables

[-t table]

命令 [chain]

[rules]

[-j target]

格式說明：

table

————指定表名，iptables內建包括

filter

表、nat表、mangle、raw表和security表。

命令—————對鏈的操作命令

chain————鏈名

rules————匹配規則

target————動作如何進行--

i或–insert 《鏈名》:在指定的位置插入1條規則

-d或–delete 《鏈名》:從規則列表中刪除1條規則（iptables -nvl input --

line

-numbers產生對應鏈的編號，方便進行刪除）

-z或–zero 《鏈名》:將表中資料報計數器和流量計數器歸零

-f或–flush 《鏈名》:刪除表中所有規則

-nvl

《鏈名》:檢視iptables規則列表(n：數字輸出。ip位址和埠會以數字的形式列印 v：詳細輸出。這個選項讓list命令顯示介面位址、規則選項等資訊l -list：顯示所選鏈的所有規則。如果沒有選擇鏈，則會顯示所有鏈的所有規則)

-i或–in-inte***ce 《網路介面名》：指定資料報從哪個網路介面進入，如ppp0、eth0和eth1等

-o或–out-inte***ce 《網路介面名》：指定資料報從哪塊網路介面輸出，如ppp0、eth0和eth1等

-p或—proto協議型別 < 協議型別》：指定資料報匹配的協議，如tcp、udp和icmp等

-s或–source 《源位址或子網》：指定資料報匹配的源位址

–sport 《源埠號》：指定資料報匹配的源埠號，可以使用「起始埠號:結束埠號」的格式指定乙個範圍的埠

-d或–destination 《目標位址或子網》：指定資料報匹配的目標位址

–dport 《目標埠號》:指定資料報匹配的目標埠號，可以使用「起始埠號:結束埠號」的格式指定乙個範圍的埠

ct：與

drop

基本一樣，區別在於它除了阻塞包之外，還向傳送者返回錯誤資訊。

snat：源位址轉換，即改變資料報的源位址

dnat：目標位址轉換，即改變資料報的目的位址

masquerade：ip偽裝，即是常說的nat技術，masquerade只能用於adsl等撥號上網的ip偽裝，也就是主機的ip是由isp分配動態的；如果主機的ip位址是靜態固定的，就要使用snat

log日誌功能，將符合規則的資料報的相關資訊記錄在日誌中，以便管理員的分析和排錯

"/usr/sbin/iptables"

#定義變數，iptables命令的絕對路徑。

$ipt

-f #清空iptables規則

$ipt

-p input drop

#預設規則，丟棄所有資料報。

$ipt

-p output accept

#預設規則，放行所有output鏈的資料報

$ipt

-p forward accept

#預設規則，放行所有forward鏈的資料報

$ipt

-a input -

mstate

--state

related,established -j accept#這條規則允許通過related和established狀態的資料報，這條規則必加，否則可能導致某些服務連不上。

$ipt

-a input -

s10.1

.1.0/24

-p tcp --dport

22-j accept

#僅允許10.1.1.0/24網段鏈結22埠

$ipt

-a input -p tcp --dport

80-j accept

#允許通過所有80埠的資料報

$ipt

-a input -p tcp --dport

21-j accept

#允許通過所有21埠的資料報

selinux pdf電子書

iptables應用在乙個網段

sant,dnat,masquerade

iptables限制syn速率

日常運維2

hbase日常運維

oracle日常運維

日常運維 1

日常運維2

hbase日常運維

oracle日常運維

日常運維 1

相關推薦