-
iptables對于ftp被動模式配置IPTABLES_MODULES="nf_conntrack_ftp"方法一: FTP服務端開放連續范圍端口等待客戶機連接,配置防火墻允許訪問此端 在tcp_wrappers下面新增 # vi /etc/vsftpd/vsftpd.conf pasv_min_port=50000 pasv_max_port=60000
方法2:使用連接追蹤模塊 永久設置要在配置文件/etc/sysconfig/iptables-config中加入IPTABLES_MODULES="nf_conntrack_ftp"
查看全部 -
ftp被動模式 iptables 設置 1、iptables -I INPUT -p tcp --dport 21 -j ACCEPT 2、配置vsftp的被動隨機端口是 50000 --- 60000 pasv_min_port=50000 pasv_max_port=60000 iptables -I INPUT -p tcp --dprot 50000:60000 -j ACCEPT
查看全部 -
vsftpd服務????默認被動模式
支持主動模式配置:
port_enable=yes
connect_from_port_20=YES
查看全部 -
FTP被動模式:服務器先開端口,然后告知客戶端<br> 被動:客戶端主動拉數據 服務器用隨機端口不是20 FTP默認被動:因為實際生產環境中,服務器可能在內網,無法發出直連.
查看全部 -
curl -I?只顯示請求頭信息
iptables -D INPUT -p tcp --dport 80 -j ACCEPT 刪除http訪問的規則 iptables -I INPUT -p tcp -s 10.10.188.233 --dport 80 -j ACCEPT 只允許10.10.188.233通過htpp請求訪問本機 -s指定源主機
查看全部 -
iptables 訪問自己的機子 和訪問別人的服務器 iptables -I INPUT -i lo -j ACCEPT ;-i 設備 lo 網卡 iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(兩種監聽狀態)
查看全部 -
iptables -I INPUT -p tcp --dport 80 -j ACCEPT iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT iptables -A INPUT -j REJECT iptables -I INPUT -p icmp -j ACCEPT
netstat -luntp查看端口情況 ? -l 僅列出有在 Listen (監聽) 的服務狀態 ? -u (udp)僅顯示udp相關選項 ? -n 拒絕顯示別名,能顯示數字的全部轉化成數字。 ? -t (tcp)僅顯示tcp相關選項 ? -p 顯示建立相關鏈接的程序名
查看全部 -
iptables規則組成 數據包訪問控制:ACCEPT, DROP(不有信息返回), REJECT(有拒絕信息) 數據包改寫:SNAT(來源改寫), DNAT(到目標改寫) 信息記錄:LOG(記入日志)
查看全部 -
數據包流向 經過路由走本機-->input 經過路由轉發給其他機器-->forward
查看全部 -
iptables規則組成: 組成部分:四張表+五條連(Hook point)+規則 Mangle表:修改數據包,改變包頭中內容(TTL、TOS、MARK) raw表:數據包狀態的跟蹤和分析 filter表:訪問控制、規則匹配 nat表:地址轉發
五條鏈INPUT OUTPUT FORWARD PREROUTING POSTROUTING
查看全部 -
安裝ab:yum install httpd-tools 以40遞增的頻次發送10W個請求到目標服務器:ab -n 100000 -c 40 http://192.168.5.123/test.txt 查看實時并發個數:netstat -angrep 80 grep 192.168.5.129grep EST -c 設置策略,最大連接限制為10個:iptables -I INPUT -p tcp --dport 80 -s 192.168.5.129 -m connlimit --connlimit-above 10 -j REJECT
ab命令是Apache自帶的壓力測試命令。
查看全部 -
規則表和鏈
查看全部 -
查看規則鏈(忽略主機名):iptables -nL;刪除已有規則:iptables -F;允許所有的地址通過TCP協議訪問本機的22端口(ssh連接):iptables -I INPUT -p tcp --dport 22 -j ACCEPT;允許訪問范圍內的端口:iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT;-A ??:append附加規則,將新增的規則添加到鏈的尾部;-I[n]?:插入為第n條規則;-A 追加規則在DROP規則后,-I增加規則在DROP規則前;iptables 是由上而下的進行規則匹配,放行規則需在禁行規則之前才能生效
查看全部 -
iptables規則組成:四張表+五條鏈+規則
查看全部 -
數據包在規則表、鏈的流程:經過路由走本機-->input,經過路由轉發給其他機器-->forward查看全部
舉報