Lizhi_Box

摘要： 简介 当iptables规则特别多时，我们需要具备模块化思想，需要将不同目的iptables规则进行归类。 将同一类型的iptables规则作为一个模块（web类，mysql类....），使其更加具有条理性，清爽整洁。 自定义链是除了iptables自带的5个链外，由我们自己定义的新链。 在自定义链 阅读全文

摘要： 一、简介 显示扩展即必须使用-m选项指明要调用的扩展模块名称，需要手动加载扩展模块。 二、常用扩展模块 multiport扩展 功能说明：以离散方式定义多端口匹配,最多指定15个端口。 [!] --source-ports,--sports port[,port|,port:port]...：指定多 阅读全文

摘要： 一、简介 iptables 在使用-p选项指明了特定的协议后，无需再用-m选项指明扩展模块的扩展机制，不需要手动加 载扩展模块。 二、常用扩展项 tcp协议的扩展选项 [!] --source-port, --sport port[:port]：匹配报文源端口,可为端口连续范围。 [!] --des 阅读全文

摘要： 一、基本匹配条件 无需加载模块，由iptables/netfilter自行提供。 [!] -s：源IP地址或者不连续的IP地址。 [!] -d：目标IP地址或者不连续的IP地址。 [!] -p：指定协议，可使用数字如0(all)。 protocol: tcp, udp, icmp, icmpv6, 阅读全文

摘要： 使用前准备工作 关闭firewalld，firewalld和iptables使用会有冲突。 systemctl disable --now firewalld 删除iptables自带的原有规则，自带规则不一定符合现场环境。 systemctl disable --now iptables 使用ip 阅读全文

摘要： 规则（rule） 根据规则的匹配条件来匹配报文。 匹配条件：默认为与条件，需要同是满足才可匹配。 匹配条件分为两种： 基本匹配：ip，端口，协议，TCP的Flags(SYN,ACK)。 扩展匹配：通过复杂高级功能进行匹配。 对匹配成功的报文根据规则定义的处理动作来进行处理。 处理动作：称为targe 阅读全文

摘要： 简介 iptables由5个表（table）和5个链（chain）以及一些规则组成。 五表和五链介绍 链chain 内置链：每个内置链对应一个勾子函数。 自定义链：对于内置链的扩展和补充，可以更灵活的规定组织管理机制；只有hook勾子调用自定义链时才生效。 五个内置链分别是：INPUT、OUTPUT 阅读全文

摘要： 简述 Netfilter在内核中选取五个位置放了五个hook（勾子）function（PREROUTING、INPUT、FORWORD、OUTPUT、POSTROUTING）而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则。 提示：从linux 阅读全文

摘要： 环境描述 共使用三台虚拟机进行测试：一台Mester 两台Salve 主要修改文件：/etc/chrony.conf 监听端口为：123和323 基础环境配置： 关闭firewalld。 关闭SElinux。 服务介绍 Chrony是redhat开发的，它是网络时间协议的 (NTP) 的另一种实现。 阅读全文

摘要： 环境描述 共使用三台虚拟机进行测试：一台Mester 两台Salve 主要修改文件：/etc/prometheus/prometheus.yml。 Promethues服务开放的端口为：9090。 Node_Exporter服务开放的端口为：9100。 Grafana服务开放的端口为：3000 基础 阅读全文