(1)linux系统结构,在X86平台的CPU,是如何执行内核程序和用户程序的
ring0 :与硬件相关或者硬件寄存器,总线控制相关的程序---内核程序
ring1-2 : 驱动程序或者与虚拟化相关的程序
ring3 :用户态的程序
(2)/proc 正在运行的内核信息映射
proc文件系统是一个伪文件系统,他只存在内存当中,而不占用外村空间。它以文件系统的方式访问系统内核数据的操作提供接口
(3)/sys 硬件设备的驱动程序信息
用于将系统中的设备组织成层次结构,并向用户模式程序提供详细的内核数据结构信息
用户态可以通过对sys文件系统的访问,来看内核态的一些驱动或者设备
(1)防火墙的分类
网络防火墙,主机防火墙
硬件防火墙,软件防火墙
网络安全的知名企业:
深信服
思科
天融信
硬件防火墙:
思科(AIR-CT5508-300-K9) 华为(USG6670)
(2) 四表,五链
四表:
① filter(INPUT、OUTPUT、FORWARD)
② nat(PREROUTING、POSTROUTING、OUTPUT)
③ raw (PREROUTING、OUTPUT)
④ mangle (INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)
五链:
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
四表在同一个链中有顺序:
raw> mangle > nat >filter
(3)iptables的基本用法
源地址 | 源端口 |
目的地址 | 目的端口 |
ACCEPT | 容许,接收 |
DROP | 丢弃 |
REJECT |
拒绝 |
-F | 清空规则 |
-L | 查看所有规则 |
-t | 指定表 |
-n | 转化为数字 |
-v | 显示详细信息 |
--line-number | 显示链下规则 |
-I | 添加到第一行 |
-A | 追加到最后一行 |
-p | 指定协议 |
-s | 源地址 |
-d | 目的地址 |
--sport | 源端口 |
--dport | 目标端口 |
-D | 删除 |
-p | 匹配协议 |
-R | 替换匹配规则 |
(4)防火墙配置
①iptables -t filter -I INPUT -s 192.168.253.46 -j REJECT 拒绝来自192.168.253.46的所有报文
在虚拟机2中 ping 192.168.253.26
②iptables -t filter -I INPUT -s 192.168.253.46 -j DROP 丢弃来自192.168.253.46的所有报文
在虚拟机2中 ping 192.168.253.26
③ iptables -t filter -I OUTPUT -d 192.168.253.46 -j DROP 丢弃向192.168.253.46发送的报文
在虚拟机1中 ping 192.168.253.46
④iptables -t filter -A INPUT -s 192.168.42.102 -j DROP 添加到最后一行
⑤iptables -t filter -I OUTPUT 2 -s 192.168.253.46 -j ACCEPT 具体添加到第二行
⑥ iptables -t filter -I INPUT -p ICMP -j DROP 禁止ping
在虚拟机2中 ping 192.168.253.26
在虚拟机3中 ping 192.168.253.26
⑦iptables -t filter -I INPUT -s 192.168.253.7 -p tcp --dport 80 -j REJECT curl不通
在虚拟机3中 curl 192.168.253.26 ping 192.168.253.26
⑧ iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
i ptables -t filter -I INPUT -p tcp --sport 22 -j ACCEPT
iptables -t filter -A INPUT -j REJECT #拒绝所有
( 因为ssh的端口为22,拒绝所有之前先要允许端口22的访问)
在虚拟机2和3中 ping 192.168.253.26
⑨iptables -t filter -I INPUT -p ICMP -s 192.168.253.46,192.168.253.7 -j ACCEPT #同时接受两个地址ping
在虚拟机2和3中 ping 192.168.253.26
⑩iptables -t filter -I INPUT -p ICMP -s 192.168.253.0/24 -j ACCEPT #接受这个网段ping
在虚拟机2和3中 ping 192.168.253.26
11 . iptables -t filter - I INPUT -p ICMP ! -s 192.168.253.46 -j ACCEPT #在192.168.253.0/24 屏蔽了 192.168.253.46
!排除
在虚拟机2中 ping 192.168.253.26
12. iptables -t filter -I INPUT -s 192.168.253.7 -p tcp -m tcp --dport 22:80 -j REJECT 拒绝了端口22到80的服务
在192.168.253.7上curl 192.168.253.26 (端口为80)
ssh 192.168.253.26 (端口为22)
在192.168.253.36上curl 192.168.253.26
ssh 192.168.253.26
①iptables -F 清理规则
② iptables -t filter -D INPUT 3 清理某一个链的某一个规则
③iptables -t filter -D INPUT -p tcp --sport 22 -j ACCEPT 清理某一条规则
iptables -t filter -R INPUT 1 -s 192.168.253.7 -p tcp --dport 80 -j REJECT
iptables -nvL --line-number
(5)保存规则:
iptables-save 输出规则到屏幕
service iptables save 保存
文件目录:/etc/sysconfig/iptables
iptables-save> iptables 备份当下
iptables-save> /etc/sysconfig/iptables 重定向到文件中
校验码:md5sum /etc/sysconfig/iptables 校验码如果一样就可以重定向