免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: 瀚海书香

CU线上连载讨论一 Linux iptables使用问题和内核Netfilter流程 [复制链接]

论坛徽章:
0
发表于 2011-07-20 16:52 |显示全部楼层
回复 1# 瀚海书香


    正在看此书,不错哦~

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2011-07-20 16:58 |显示全部楼层
回复 60# Godbach
你是指strlen(domain)吗?

domain一个256字节的数值,并且初始化为{0}。而且domain中copy最多255个字符,所以应该不会大于255的。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2011-07-20 16:59 |显示全部楼层
回复  Godbach
你是指strlen(domain)吗?

domain一个256字节的数值,并且初始化为{0}。而且domain中co ...
瀚海书香 发表于 2011-07-20 16:58

哦,你是从 DNS Header 偏移之后 copy 最多 255 个字节,对吧

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2011-07-20 17:11 |显示全部楼层
回复 61# renxiao2003
呵呵。这个要看如何讲了。

如果非要一个网卡连接内外网也是可以的。只不过与常用的网络结构不同而已。
如下图所示的结构就可以啊。

    单网卡主机.jpg

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2011-07-20 17:12 |显示全部楼层
回复 73# Godbach
对啊。因为常见的域名很少会多过255个字节的。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2011-07-20 17:18 |显示全部楼层
嗯,那你排除了 DNS 的最后 4 个字节吗

论坛徽章:
6
金牛座
日期:2013-10-08 10:19:10技术图书徽章
日期:2013-10-14 16:24:09CU十二周年纪念徽章
日期:2013-10-24 15:41:34狮子座
日期:2013-11-24 19:26:19未羊
日期:2014-01-23 15:50:002015年亚洲杯之阿联酋
日期:2015-05-09 14:36:15
发表于 2011-07-20 17:24 |显示全部楼层
回复 76# Godbach
没有考虑host和class那四个字节。

论坛徽章:
6
丑牛
日期:2013-09-17 00:18:40未羊
日期:2013-10-31 12:10:47午马
日期:2013-12-07 01:58:50水瓶座
日期:2013-12-24 22:43:12水瓶座
日期:2014-03-15 21:12:13操作系统版块每日发帖之星
日期:2016-08-07 06:20:00
发表于 2011-07-20 18:28 |显示全部楼层
本帖最后由 yuhongchun 于 2011-07-20 18:29 编辑

iptables我目前主要应用于二方面:
一、在公司内部和网吧将其用其作为NAT路由器,这个性能不多说,大家都应该清楚;
二、作为IDC机房无硬件防火墙的替代品,防ping攻击和SYN攻击等;
三、由于iptables无法防止DDOS,这个我只有用硬件防火墙,诸位朋友这一问题是如何解决的?

如果使用默认禁止一切策略,即应立即使用回环接口lo(因为禁止一切包括了lo);附注:回环接口lo在Linux系统中被用来提供本地、基于网络的服务的专用网络接口,不用把本地数据流通过网络接口驱动器发送,而是采用操作系统通过回环接口发送,采取的捷径,大大提高了性能,即:
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

这二句话建议在iptables里默认添加。

评分

参与人数 1可用积分 +3 收起 理由
瀚海书香 + 3 多谢分享

查看全部评分

论坛徽章:
6
丑牛
日期:2013-09-17 00:18:40未羊
日期:2013-10-31 12:10:47午马
日期:2013-12-07 01:58:50水瓶座
日期:2013-12-24 22:43:12水瓶座
日期:2014-03-15 21:12:13操作系统版块每日发帖之星
日期:2016-08-07 06:20:00
发表于 2011-07-21 15:47 |显示全部楼层
本帖最后由 yuhongchun 于 2011-07-21 15:50 编辑

自动区分黑名单、白名单的iptables脚本,这个脚本我用得比较多,跟大家分享交流一下,脚本内容如下:
  1. #/bin/bash
  2. netstat -an| grep :25 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1,$4}' | uniq -c | awk '$1 >50 {print $1,$2}' > /root/black.txt

  3. for i in `awk '{print $2}' /root/black.txt`
  4. do
  5. COUNT=`grep $i /root/black.txt | awk '{print \$1}'`
  6. DEFINE="50"
  7. ZERO="0"
  8. if [ $COUNT -gt $DEFINE ];
  9.   then  
  10.   grep $i /root/white.txt > /dev/null
  11.    if [ $? -gt $ZERO ];
  12.     then
  13.     echo "$COUNT $i"
  14.     iptables -I INPUT -p tcp -s $i -j DROP
  15.    fi
  16. fi
  17. done
复制代码
将其放进crontab里,每十分钟执行一次,这个频率可以调整。目前我将此脚本其用于邮件等非web服务器上,因为我发现有些子链接过多的网站在开一个点击时会瞬间产生大量连接,此脚本会误报此IP为非法IP,但是通过日志分析发现此IP确实为正常IP,所以我目前没有在web服务器上采用此脚本,而是用了iptables的recent模块。

论坛徽章:
59
2015七夕节徽章
日期:2015-08-24 11:17:25ChinaUnix专家徽章
日期:2015-07-20 09:19:30每周论坛发贴之星
日期:2015-07-20 09:19:42ChinaUnix元老
日期:2015-07-20 11:04:38荣誉版主
日期:2015-07-20 11:05:19巳蛇
日期:2015-07-20 11:05:26CU十二周年纪念徽章
日期:2015-07-20 11:05:27IT运维版块每日发帖之星
日期:2015-07-20 11:05:34操作系统版块每日发帖之星
日期:2015-07-20 11:05:36程序设计版块每日发帖之星
日期:2015-07-20 11:05:40数据库技术版块每日发帖之星
日期:2015-07-20 11:05:432015年辞旧岁徽章
日期:2015-07-20 11:05:44
发表于 2011-07-21 15:56 |显示全部楼层
忘记了ROOT用户的密码。那么在不进入单用户模式(服务器不能连接显示器,鼠标和键盘)有没有重新设置ROOT密码的办法。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP