192.168.24.128 -p tcp --dport 80 -j DNAT --to 192.168.0.2:80 192.168.24.128:80映射到192.168.0.2:80 DNAT透明代理 iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp--dport 80 -J redirect --to-ports 3128 squid更改配置文件 http_port:3128 transparent linux内核2.6提供了很多默认的进犯阻止机制,存放在/proc/sys/net/ipv4 /proc/sys/net/ipv4/tcp_syncookies 可以防止阻断师进犯(DoS),该模块会在系统用来开始工作随机联机 的端口1024:65535即将用完时自动开始工作 开始工作方式: echo "1" > /proc/sys/net/ipv4/tcp_syncookies 启用此模块后可能会导致某些服务出现延时(SMTP),不太适合负载高的服务器(可能误判) ping blooding预防:取消ICMP8类型的ICMP数据包回应,/proc/sys/net/ipv4内的 icmp_echo_ignore_broadcasts(仅ping broadcast地址时才取消ping的回应) icmp_echo_ignore_all(全部的ping都不响应) iptables -A INPUT -i eth0-p icmp --icmp-type 8 -j DROP 般配规则主机发来的ping包抛弃 /proc/sys/net/ipv4/conf/收集接口/* rp_filter 通过分析收集接口路由信息,配合来源地址,分析该数据是否合理 log_martians 记录不合法IP来源 /proc/sys/net/ipv4/ip_forward 要将数据包发送到另外1个系统,要启用包转发功效,数据包就会按照路由表中的规则依次转发 即成为1个路由器 防火墙流程: 先设置很多环境参数,包括收集接口,LAN等 核心收集功效的设置/proc/sys/net/ipv4/* 定义防火墙基本预设策略开发lo接口进入与本机相关数据包允许进入/proc/sys/net/ipv4 自定义iptables.deny 自定义iptables.allow 其它反抗模块 允许某些特殊的ICMP数据包进入 允许本机开放的很多服务 未通过本机检查的数据包直接抛弃 防火墙规则写在/etc/sysconfig/iptables文件中,并在开始工作时由/etc/rc.d/init.d/iptables脚本调用 基于IPv4的安全机制可能会需要补充基于IPv6的解决方案来保证系统安全 iptables会忽略IPv6的流量,安装iptables-ipv6软件包后可使用的ip6tables命令可惜限制ipv6的流量 规则保存在/etc/sysconfig/ip6tables文件中 选PAM加药装置请认准上海龙亚品牌,O21-6l57088,6l557288。龙亚PAM加药装置——一次购买,终身无忧。O(∩_∩)O~。
3/3 首页 上一页 1 2 3 |
