1.ファイアウォールの概要ファイアウォールの概念ファイアウォールは、一連の規則を設定することによってデータグラムをフィルタリングし、特定のサービスを制限することができますが、ホストが安全であることを保証するものではありません。ネットワークの内側からの攻撃を保護することはできません。
ファイアウォールの特定の機能(ただし、これらに限定されません)●FTPサービスをサブネットに対してのみ開くように制限し、外部ネットワークには制限しない●クライアントからのWWW要求のみを受け入れるようにサーバーを制限する。 ●制限された接続は、ファイアウォールが設置されているホストによってのみ開始できます●特定のデータパケットがホストの特定のポートに入るのを制限します●特定のIPアドレスを持つホストからデータグラムを制限します●SYNパケットなどの特定のステータスのデータグラムを制限します●制限特定のMACアドレスを持つパケット
ファイアウォールを設定する前に考慮する必要があります。●信頼できるIPアドレスまたはネットワークセグメント、および信頼できないIPアドレスまたはネットワークセグメント●ホストが提供できるサービスと保護されたサービスそして受け取ることができませんデータグラムのステータス(SYNメッセージ、FINメッセージなど)
ファイアウォールのカテゴリファイアウォールは、ハードウェアファイアウォールとソフトウェアファイアウォールに分けられます。ハードウェアファイアウォールは、ファイアウォールプログラムをハードウェアに書き込み、ハードウェアで実装する機能で、ソフトウェアファイアウォールは、NetfilterやTCP Wrappersなど、オペレーティングシステム内のソフトウェアで実装されています。 (ソフトウェアファイアウォールについては後で説明します)。管理範囲に応じて、ファイアウォールはネットワークセグメントタイプと単一ホストタイプに分けることができます機能に応じて、Netfilterはデータグラムに従ってフィルタリングされ、TCP Wrapperはプログラムに従ってフィルタリングされます。 Netfilerは、MACアドレス、IPアドレス、TCP、UDP、ICMPなどのデータグラムの種類やステータスなど、データグラム内のデータに基づいてフィルタリングしますTCPラッパーは、プログラム名に基づいてデータをフィルタリングします(vsftpdプログラムを制限する限り)。
ファイアウォールのネットワークケーブル接続ファイアウォールは、ファイアウォールが配置されているホストを保護するだけでなく、ファイアウォールをルーターに設定するなど、ファイアウォールの背後にあるホストも保護します。ファイアウォールは主に有線です。●ファイアウォールは、ローカルネットワーク上のホストを保護するため、またはローカルネットワークと外部ネットワーク間のファイアウォール上にプロキシサーバーをセットアップするために、ローカルネットワーク(LAN)と外部ネットワークの間のルーターにインストールされます。クライアントがオープンなWWWサーバにしか接続できないようにする●ローカルネットワークにファイアウォールを設定して、内部の人員が悪用によって重要なサービスを損傷するのを防ぐ●ファイアウォールをサーバと外部ネットワークの間に配置するたとえば、複数のサーバがファイアウォールを共有する。同じIPを使用して外部サービスを提供すると、セキュリティが大幅に向上し、サーバーが2つのファイアウォールの間にあるため、内部ネットワークに問題が発生しますが、サーバーには影響しません。
2、TCPラッパーサービス名は** TCP TCP Wrappersをサポートし、サポートしている場合は/etc/hosts.allowにクライアントのIPアドレスが含まれているか確認し、含まれている場合はデータのホストへの入力を許可します。ファイルはクライアントのIPアドレスを持っていますか?もしそうなら、データをそこに拒否しますか?ホストが、ない場合は、データがホストを入力することができます。
xinetdによって管理されているサービスは/etc/xinetd.dディレクトリ内のTCP Wrappersをサポートしていますlibwrap.soモジュールを含むサービスはTCP Wrappersもサポートしていますlldおよびgrepコマンドを使ってlibwrap.soが含まれているかどうかを確認できます。 ldd $(which sshd)のようなモジュール。
Grep libwrap
/etc/hosts.allowの設定
[root @ loaclhost〜]#vim /etc/hosts.allowALL:127.0.0.1このマシンのすべてのサービスを許可するrsync:192.168 .1.0 /255.255.255.0 rsyncサービスで許可されている特定のIPネットワークセグメントrsyncを示します:10.0.0.100 rsyncサービスで許可されている特定のIPアドレスを指定します。 Etc /hosts.deny設定方法
[root @ loaclhost〜]#vim /etc/hosts.allowrsync:192.168.1.0/255.255.255.0特定のIPネットワークセグメントがrsyncサービスによって拒否されたことを示します。サブネットマスクはIPネットワークセグメントを指定しますCIDRは使用できませんrsync:10.0.0.100はrsyncサービスによって拒否された特定のIPアドレスを示します3. Netfilter Netfilterは最も一般的に使用されるファイアウォールメカニズムで、iptablesで設定できます。 p> 3.1では、ホストiptablesへのデータグラムの流れは、まずデータグラムのデータを分析し、次に事前に設定された規則に従ってそれらを比較します。データグラムが現在の規則を満たす場合、(ACCEPT)ホストに入るか破棄されます(DROP)特に、ACCEPTまたはDROPは特定の規則に依存します次に、データグラムが現在の規則に準拠していない場合は、次の規則が使用され、すべての規則が満たされていない場合は、デフォルトのポリシー(Policy)が実行されます。 3.2。iptablesテーブルとチェーンiptablesは複数のテーブルを含み、テーブルは複数のチェーンを含み、チェーンは複数のルールを含みます具体的な構成は次のとおりですiptablesは少なくともfilter、nat、mangle 3を含みますフォームフィルタ:マシンの内外でデータグラムを管理するために使用されます。よく使用されます。 ●INPUT:ホストに入るデータグラムを制御します●OUTPUT:ホストに送信されるデータグラムを制御します●FORWARD:データグラムをバックエンドホストに渡しますnat:送信元IPアドレスとポート、および宛先IPアドレスとポートに使用されます。バックエンドホストに関連する変換には、以下のタイプがあります。●PREROUTING:ルーティング判断の前に実行される規則(DNAT /REDIRECT)●POSTROUTING:ルーティング判断の後に実行される規則(SNAT /MASQUERADE)● OUTPUT:ホストに送信されるデータグラムを制御しますmangle:特定の状態のデータグラムに関連します
3.3。テーブル間のチェーン間の関係
この図は3種類のiptables制御データグラムを示しています。フローの方向●データグラムの宛先はホスト(パスA)です:経路が判断された後、データグラムの宛先はホストになり、次にフィルターのINPUTチェーンがデータグラムのフローを制御します●データグラムの宛先はホストの後にあります。ホスト(パスB):経路がデータを分析する前に、データグラムの宛先がホストの背後にあるホストであり、次にフィルターのFORWARDチェーンとNATのPOSTROUTING、PREであることがわかります。 ●データパケットはホスト経由で送信されます(パスC):ルートが判断された後、データグラムが送信されます(たとえば、サーバーがクライアント要求に応答したり、サーバーがアクティブにデータグラムを送信したりします)。概要:ファイアウォールがホスト自体のみを保護するのであれば、ファイアウォールのLAN内のホストを保護する必要がある場合は、フィルタの入力チェーンと出力チェーンを設定するだけで済みます。フィルタのFORWARDチェーン、およびnatのPREROUTING、POSTROUTING、OUTPUTチェーンを設定する必要があります。
3.4、iptablesの構文3.4.1、ファイアウォールのiptablesオプションを表示するオプション-t:natなどのテーブルを指定します。デフォルトはfilterです。 L:表の表示規則-n:情報表示の高速化-v:データグラムの総数など詳細情報を表示します。例:
[root @ localhost /]#iptables -L -nChain INPUT(policy ACCEPT) )ターゲットプロトコルオプトソース宛先ACCEPT all - 0.0.0.0/0 0.0.0.0/0状態関連、確立ACCEPT icmp - 0.0.0.0/0 0.0.0.0/0すべて受け入れ - 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態NEW tcp Dpt:22 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態新しいtcp dpt:80 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態新しいtcp dpt:3306 ACCEPT tcp - 0.0.0.0 /0 0.0.0.0/0状態新しいtcp dpt:8000 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態新しいtcp dpt:8001 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態新しいtcp Dpt:8002 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態新しいtcp dpt:8003 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態新しいtcp dpt:6666 ACCEPT tcp - 0.0.0.0 /0 0.0.0.0/0状態新しいtcp dpt:8888 ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0状態新しいtcp dpt:9001 REJE CT all - 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-禁じられたチェーンFORWARD(ポリシーACCEPT)ターゲットオプションのソースソースの宛先REJECT all - 0.0.0.0/0 0.0.0.0/0 reject-with ICMPホスト禁止チェーンOUTPUT(ポリシーACCEPT)ターゲットプロトコルオプトソース宛先
用Uディスクブートと基本原則の手動作成成功した生産の後の基本的なミニマリストのディレクトリファイル まず、システムの基本的な起動プロセス: isolinux.binが正常に実行された後、システム
ネットワークポートボンディング(結合)技術により、ネットワークポートの冗長性と負荷分散を簡単に実装して、高可用性の負荷分散を実現できます。 [root @ localhost〜]#
Linux端末を使用することは、単にコマンドを入力するだけではありません。これらの基本的なテクニックを学んだ後は、Bashシェル、つまりほとんどのLinuxディストリビューションでデフ
1.いくつかのファイルシステムの比較(1)Linuxシステムでファイルシステムをサポートします。これはGNU /Linuxのデフォルトのファイルシステムになりました。 Ext2は拡張ファイルシステムに