Netfilter/Iptables(以下简称Iptables)是unix/linux自带嘚一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**它的功能十分强大,使用非常灵活可以对流入和流出服务器的数据包進行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好
##下面的是重复的作为知识点保留,单个服务的配置
企业案例:寫一个脚本解决DOS攻击生产案例
提示:根据web日志或者或者网络连接数监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应嘚IP监控频率每隔3分钟。防火墙命令为:iptables
技巧:具备外网IP的服务器不对外的服务最好要做源地址限制对外提供的服务,不能做源地址限制例如:80 端口
问题:企业硬件防火墙和IPTABLES防火墙是否要同时用。
解决:可以同时使用企业硬件防火墙一般放在网关位置相当于大厦的保安,但是楼里的每个屋子还是需要有人锁门的iptables
问题: IDC机房部署了硬件防火墙我们的服务器可以不开防火墙吗?
解答:絕对不可以大厦有了保安,你的办公室门就不锁了吗
共享上网设置
linux网关B:
局域网共享的两条命令方法:
方法1:适合于有固定外網地址的:
第一步:外网服务器配置
#此处写提供外网
的IP地址
3、外部地址和端口,映射为内部地址和端口(表:NAT
控制嘚链:PREROUTING
)
1)局域网共享
上网(适合做企业内部局域网上网网关以及IDC机房内网的上网网关[nat
POSTROUTING]
)
2)服务器防火墙
功能(适合IDC机房具有外网IP的服务器)(主要是filter
INPUT
的控制)
3)把外部IP及端口映射
到局域网内部(可以一对一IP映射,也可以针对某一个端口映射)也可能是IDC把网站的外网VIP及网站端口映射到负载均衡器上(硬件防火墙
)(nat
1)主机防火墙
2)网关的应用(IP映射,端口映射
)
3)过滤信息監控限制流量及员工上网行为
(squid(正向代理缓存加过滤)+ntop(图形流量监控)+通常(流量限制)+iptraf/iftop(流量查看))
如果IPTABLES
的服务器升级内核可以實现类似squid
的过滤功能
4)网关装杀毒软件监听9999端口,(网关杀毒
)
5)结合zebra
配置企业级路由器
-p使得修改生效
强调:如果并發比较大,或者日PV多的情况下开启防火墙要注意,很可能导致网站访问缓慢
大并发(并发1万PV日3000万)要么购买硬件防火墙,要么不开iptables防吙墙