iptables
1、包过滤
2、状态检测 (2层、三层)TCP 状态
3、
框架:
-->PREROUTING-->[ROUTE]-->FORWORD-->POSTROUTING-->
mangel | mangel /\ mangel
nat | filter | nat
| |
| |
| |
\/ |
INPUT OUTPUT
|mangle /\mangle
|filter |nat
\/------------>local----------->|filter
①、表 nat(PREOUTING【路由前】、POSTROUTING【路由后】、OUTPUT)|filter
②、链 INPUT、FORWARD、OUTPUT PREROUTING POSTROUTING
③、规则
语法:
iptables [-t 要操作的表(默认filter) ] <操作命令 -I -A -D -R -P(默认策略) -F(清楚规则)-L(查看) > [操作链] [规则号码 (默认往最后加)] [匹配条件] [-j 匹配后的动作 [filter(DROP REJECT ACCEPT)] nat [(snat、dnat)]]
iptables -A INPUT -p tcp --dport 20:21 -s 192.168.30.0/24 -j ACCEPT
iptables -L --line-number
iptables -D INPUT 7
iptables -I INPUT 3 -p tcp --dport 20:21 -s 192.168.30.0 -j ACCEPT
iptables -I FORWARD - s 172.168.1.3 -d -j DROP
vim /etc/sysconfig/iptables-conf
modprode ip_nat_ftp
modprobe ip_conntrack_ftp
匹配条件:
1、流入、流出接口-i -o
2、来源、目的地址 -s -d
3、协议类型 -p
4、来源、目的端口 (--sport --dport)
FTP
1、主动(21端口建立会话、认证;数据传输 固定端口20)
2、被动 (21端口建立会话、认证;随机端口)
selinux
1、规范服务器进程 访问文件
2、限制服务端口
bool 开关
getsetbool -a
setsebool -P ftp_home_dir=on
setsebool -P allow_ftpd_anon_write=on
selinux 上下文 主要针对文件
linux 权限 chmod rwx
setfacl
针对用户
-------------------------------------------
selinux 上下文 针对服务
cd /etc/selinux
../targeted/contexts/files
vim file_contexts
[root@localhost files]# cat file_contexts|grep /var/ftp
/var/ftp(/.*)? system_u:object_r:public_content_t:s0
/var/ftp/bin(/.*)? system_u:object_r:bin_t:s0
/var/ftp/etc(/.*)? system_u:object_r:etc_t:s0
/var/ftp/lib(64)?(/.*)? system_u:object_r:lib_t:s0
/var/ftp/lib(64)?/ld[^/]*\.so(\.[^/]*)* -- system_u:object_r:ld_so_t:s0
查看文件上下文:
ll -Zd /var/ftp
ll -Zd /var/www/html/index.html
修改文件上下文:
chcon -R -t public_content_rw_t /var/ftp
阅读(347) | 评论(0) | 转发(0) |