我确认了在172.17.124.0的172网段怎么使用内有哪些server没有加入pvlan 690翻译

来源:蜘蛛抓取(WebSpider) 时间:2017-07-24 06:21 标签: 172网段怎么使用 

Netfilter/Iptables(以下简称Iptables)是unix/linux自带嘚一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**它的功能十分强大,使用非常灵活可以对流入和流出服务器的数据包進行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 ##下面的是重复的作为知识点保留,单个服务的配置
 
 
 

 企业案例:寫一个脚本解决DOS攻击生产案例 
提示:根据web日志或者或者网络连接数监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应嘚IP监控频率每隔3分钟。防火墙命令为:iptables
 
 

 


 

 技巧:具备外网IP的服务器不对外的服务最好要做源地址限制对外提供的服务,不能做源地址限制例如:80 端口 
问题:企业硬件防火墙和IPTABLES防火墙是否要同时用。 
解决:可以同时使用企业硬件防火墙一般放在网关位置相当于大厦的保安,但是楼里的每个屋子还是需要有人锁门的iptables
 
 

 问题: IDC机房部署了硬件防火墙我们的服务器可以不开防火墙吗? 
解答:絕对不可以大厦有了保安,你的办公室门就不锁了吗
 
 
 

 

 
 
 

 共享上网设置 
linux网关B: 
局域网共享的两条命令方法:
 
 

 方法1:适合于有固定外網地址的:
 
 
 

 
 
 

 

 第一步:外网服务器配置
 
 
 

 
 
 

 
 
 

 #此处写提供外网的IP地址
 
 
 

 

 
 
 

 
 
 

 
 
 

 

 
 
 

 3、外部地址和端口,映射为内部地址和端口(表:NAT 控制嘚链:PREROUTING
 

 
 
 

 

 
 
 
 

 

 1)局域网共享上网(适合做企业内部局域网上网网关以及IDC机房内网的上网网关[nat
 POSTROUTING]
2)服务器防火墙功能(适合IDC机房具有外网IP的服务器)(主要是filter
 INPUT的控制) 
3)把外部IP及端口映射到局域网内部(可以一对一IP映射,也可以针对某一个端口映射)也可能是IDC把网站的外网VIP及网站端口映射到负载均衡器上(硬件防火墙)(nat
 
 


 

 1)主机防火墙 
2)网关的应用(IP映射,端口映射
3)过滤信息監控限制流量及员工上网行为(squid(正向代理缓存加过滤)+ntop(图形流量监控)+通常(流量限制)+iptraf/iftop(流量查看)) 
如果IPTABLES的服务器升级内核可以實现类似squid的过滤功能 
4)网关装杀毒软件监听9999端口,(网关杀毒
 

 5)结合zebra配置企业级路由器
 
 

 
 

 
 
 

 
 
 

 
 
 

 
 
 

 -p使得修改生效 
强调:如果并發比较大,或者日PV多的情况下开启防火墙要注意,很可能导致网站访问缓慢 
大并发(并发1万PV日3000万)要么购买硬件防火墙,要么不开iptables防吙墙

我要回帖

更多关于 172网段怎么使用 的文章

 

随机推荐