本文深入解析iptables规则链及操作,涵盖PREROUTING、INPUT、OUTPUT等关键概念,并详细介绍了HTTP、FTP、Samba服务配置参数,包括权限设置、日志管理及安全策略。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链
而规则链则依据数据包处理位置的不同进行分类,具体如下:
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)。
-P——设置默认策略
-F——清空规则链
-L——查看规则链
-A——在规则链的末尾加入新规则
-I num——在规则链的头部加入新规则
-D num——删除某一条规则
-s——匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d——匹配目标地址
-i网卡名称——匹配从这块网卡流入的数据
-o网卡名称——匹配从这块网卡流出的数据
-p——匹配协议,如ICP、UDP、ICMP、
--dport num 匹配目标端口号
--sport num 匹配来源端口号
Linux系统中的配置文件
服务目录——/etc/httpd
主配置文件——/etc/httpd/conf/httpd.conf
网站数据目录——/var/www/html
访问日志——/var/log/httpd/access_log
错误日志——/var/log/httpd/error_log
配置httpd服务程序时最常用的参数以及用途描述
ServerRoot——服务目录
ServerAdmin——管理员邮箱
User——运行服务的用户
Group——运行服务的用户组
ServerName——网站服务器的域名
DocumentRoot——网站数据目录
Listen——监听的IP地址与端口号
DirectoryIndex——默认的索引页页面
ErrorLog——错误日志文件
CustomLog——访问日志文件
Timeout——网页超时时间,默认为300秒
SELinux服务有三种配置模式:
enforcing:强制启用安全策略模式,将拦截服务的不合法请求。
permissive:遇到服务越权访问时,只发出警告而不强制拦截
disabled对于越权的行为不警告也不拦截
semanage[选项][文件]——用于管理SELinux的策略
-l——用于查询
-a——用于添加
-m——用于修改
-d——用于删除
FTP协议有两种工作模式
主动模式:FTP服务器主动向客户端发起连接请求
被动模式:FTP服务器等待客户端发起连接请求(FTP的默认工作模式)
vsftpd服务程序常用的参数以及作用
listen=[YES|NO]——是否以独立运行的方式监听服务
listen_address=IP地址——设置要监听的ip 地址
listen_port=21——设置FTP服务的监听端口
download_enable=[YES|NO]——是否允许下载文件
userlist_enable=[YEW|NO]
userlist_deny=[YES|NO] ——设置用户列表为“允许”还是“禁止”操作
max_clients=0——最大客户端连接数,0为不限制
max_per_ip=0——同一IP地址的最大连接数,0为不限制
anonymous_enable=[YES|NO]——是否允许匿名用户访问
anon_upload_enable[YES|NO]——是否允许匿名用户上传文件
anon_umask=022——匿名用户上传文件的umask值
anon_root=/var/ftp——匿名用户的FTP根目录
anon_mkdir_write_enable=[YES|NO]——是否允许匿名用户创建目录
anon_other_write_enable=[YES|NO]——是否开放匿名用户的其他写入权限(包括重命名、删除等操作权限)
anon_max_rate=0——匿名用户的最大传输速率(字节/秒),0为不限制
local_enable=[YES|NO]——是否允许本地用户登录FTP
local_umask=022——本地用户上传文件的umask值
local_root=/var/ftp——本地用户的FTP根目录
chroot_local_user=[YES|NO]——是否将用户权限禁锢在FTP目录,以确保安全
local_max_rate=0——本地用户最大传输速率(字节/秒),0为不限制
可以向匿名用户开发的权限参数以及作用
annoymous_enable=YES——允许匿名访问模式
anon_umask=022——匿名用户上传文件的umask值
anon_upload_enable=YES——允许匿名用户上传文件
anon_mkdir_write_enable=YES——允许匿名用户创建目录
anon_other_write_enable=YEW——允许匿名用户修改目录名称或删除目录
Samba服务程序中的参数以及作用
[global]——全局参数
workgroup=MYGROUP——工作组名称
server string=Samba
Server Version %v——服务器介绍信息,参数%v为显示SMB版本号
log file=/var/log/samba/log.%m——定义日志文件的存放位置与名称,参数%m 为来访的主机名
max log size=50——定义日志文件的最大容量为50KB
security=user——安全验证的方式,总共有4种
share:来访主机无需验证口令;比较方便,但安全性很差
user:需验证来访主机提供的口令后才可以访问;提升了安全性
server:使用独立的远程主机验证来访主机提供的口令(集中管理账户)
domain;使用域控制器进行身份验证
passdb backend=tdbsam——定义用户后台的类型,共有3种
smbpasswd:使用smbpasswd命令为系统用户设置Samba服务程序的密码
tdbsam:创建数据库文件并使用pdbedit命令建立Samba服务程序的用户
ldapsam:基于LDAP服务进行账户验证
load printers=yes——设置在Samba服务启动时是否共享打印机设备
cups options=raw——打印机的选项
[home]——共享参数
comment=Home
Directories——描述信息
browseable=no——指定共享信息是否在“网上邻居”中可见
writable=yes——定义是否可以执行写入操作,与“read only”相反
[printers]——打印机共享参数
comment=All Printers
path =/var/spool/samba——共享文件的实际路径(重要)
browseable=no
guest ok =no——是否所有人可见,等同于“public”参数
writable=no
printable=yes
扫一扫
229
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
