Chinaunix首页 | 论坛 | 博客
  • 博客访问: 28497
  • 博文数量: 17
  • 博客积分: 10
  • 博客等级: 民兵
  • 技术积分: 144
  • 用 户 组: 普通用户
  • 注册时间: 2012-07-23 23:46
文章分类
文章存档

2014年(2)

2013年(15)

我的朋友

分类: LINUX

2014-01-04 17:12:04

iptables

1、包过滤
2、状态检测 (2层、三层)TCP 状态
3、    

框架:
-->PREROUTING-->[ROUTE]-->FORWORD-->POSTROUTING-->
    mangel              |                mangel         /\   mangel        
      nat                  |                   filter         |     nat
                            |                                  | 
                            |                                  |
                            |                                  |         
                           \/                                  |  
                           INPUT                           OUTPUT
                           |mangle                         /\mangle
                           |filter                             |nat
                            \/------------>local----------->|filter

①、表 nat(PREOUTING【路由前】、POSTROUTING【路由后】、OUTPUT)|filter  
②、链  INPUT、FORWARD、OUTPUT   PREROUTING POSTROUTING
③、规则                

语法:
iptables [-t 要操作的表(默认filter) ] <操作命令 -I -A -D -R -P(默认策略) -F(清楚规则)-L(查看) >     [操作链]  [规则号码 (默认往最后加)] [匹配条件] [-j 匹配后的动作 [filter(DROP REJECT ACCEPT)] nat [(snat、dnat)]]

iptables -A INPUT -p tcp --dport 20:21 -s 192.168.30.0/24 -j ACCEPT
iptables -L --line-number
iptables -D INPUT 7
iptables -I INPUT 3 -p tcp --dport 20:21 -s 192.168.30.0 -j ACCEPT

iptables -I FORWARD - s 172.168.1.3 -d -j DROP

vim /etc/sysconfig/iptables-conf
modprode ip_nat_ftp
modprobe ip_conntrack_ftp    
匹配条件:
1、流入、流出接口-i -o
2、来源、目的地址     -s -d
3、协议类型 -p
4、来源、目的端口 (--sport --dport)                                                    

FTP
1、主动(21端口建立会话、认证;数据传输 固定端口20)
2、被动 (21端口建立会话、认证;随机端口)
 

selinux
1、规范服务器进程 访问文件
2、限制服务端口

bool 开关
getsetbool -a 
setsebool -P ftp_home_dir=on
setsebool -P allow_ftpd_anon_write=on
             
selinux 上下文  主要针对文件          
linux 权限 chmod rwx
setfacl
针对用户      
-------------------------------------------                        
selinux  上下文 针对服务

cd /etc/selinux
../targeted/contexts/files
vim file_contexts
[root@localhost files]# cat file_contexts|grep /var/ftp
/var/ftp(/.*)? system_u:object_r:public_content_t:s0
/var/ftp/bin(/.*)? system_u:object_r:bin_t:s0
/var/ftp/etc(/.*)? system_u:object_r:etc_t:s0
/var/ftp/lib(64)?(/.*)? system_u:object_r:lib_t:s0
/var/ftp/lib(64)?/ld[^/]*\.so(\.[^/]*)* -- system_u:object_r:ld_so_t:s0
查看文件上下文:              
ll -Zd /var/ftp
ll -Zd /var/www/html/index.html
修改文件上下文:
chcon -R -t public_content_rw_t /var/ftp                              
































阅读(347) | 评论(0) | 转发(0) |
0

上一篇:RHCE8

下一篇:RHCE-11

给主人留下些什么吧!~~