FSM:Finite State Machine 有限状态机
客户端:closed -->syn_sent -->established --> fin_wait_1 -->find_wait_2 --> timewait(2MSL)
服务器:closed -->listen -->syn_rcvd -->establised --> close_wait -->last_ack
-m state:追踪连接状态
模板:内存中会维持一个空间
NEW
ESTABLISHED
RELATED
INVALID
在前端的服务器中尽量不要开启追踪连接
iptables子命令
规则:-A,-I,-D,-R
链:-N,-X,-F,-Z,-E,-P -S
通:默认 DROP
堵:默认ACCEPT
显示:-L -S
-L
-n -v -x --line-numbers
规则定义:iptables -t table -A|-I|-R chain 匹配条件 -j target
匹配条件
通用匹配:-s -d -i -o -p
扩展匹配
隐含扩展
-p tcp
--sport --dport --tcp-flags
--syn
-p udp
--sport --dport
-p icmp
--icmp-type
echo-request 8
echo-reply 0
显示扩展:
-m state
--state
-m multiport
--sprots, --dports, --ports
-m iprange
--src-range, --dst-range
-m string
-algo {bm|kmp} --string --hex-string
-m connlimit
! --connlimit-above
-m limit
--limit n(/second|/minute|/hour|/day), --limit-burst
-m time
--datestart --datestop
--timestart -- timestop
--weekdays
-j
ACCEPT,DROP,REJECT,LOG,REDIRECT,SNAT,DNST,MASQUERADE,MARK,RETURN,自定义链
四表:raw mangle nat filter
五链:PREROUTING INPUT FOEWARD OUTPUT POSTOUTING
规则保存和恢复:iptables-save iptables-restore
主机防火墙:INPUT OUTPUT
路由:
NAT:
/proc/sys/net/ipv4/ip_forward
地址属于内核,地址当前属于主机的都给予响应
路由:对Linux主机而言,设定/proc/sys/net/ipv4/ip_forward的值为1,即为开启路由
路由表的生成
静态:手动添加
动态:基于路由协议学习,RIP2 OSPF
NAT:网络地址转换
A:10
B:172.16-172.31
C:192.168.0-192.168.255
NAT: 工作于传输层和网络层
过载技术
Basic NAT:静态NAT
NAPT:动态NAT,网络地址端口转换
源地址转换:SNAT 用于内网主机访问互联网
目标地址转换:DNAT
让互联网上主机访问本地内网中的某服务器上的服务(发布)
iptables基于SNAT和DNAT这两个目标实现地址转换技术
-j SNT --to-source SIP
规则添加:POSTROUTING链
-j MASQUERAADE 动态获取
-j DNAT --to-destination DIP{:PORT}
支持端口映射
基于nat表
PREROUTING
POSTROTING
OUTPUT
Proxy(代理):工作在应用层
网络拓扑
172.16.1.10能ping通192.168.8.40,但不能ping通192.168.8.39
192.168.8.39能Ping通172.16.1.254,但不能ping通172.16.1.10
配置开启路由转发功能
# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
让配置生效
# sysctl -p
也可以,采用如下命令临时生效
# sysctl -w net.ipv4.ip_forward=1
验证
# cat /proc/sys/net/ipv4/ip_forward
windows客户端添加路由,也可以实现访问
route add 172.16.1.0 mask 255.255.255.0 172.16.1.254
将转发规则屏蔽,则无法访问
# iptables -P FORWARD DROP
放行192.168.8.39中80口的访问
# iptables -A FORWARD -s 172.16.1.10 -d 192.168.8.39 -p tcp --dport 80 -j ACCEPT
# iptables -A FORWARD -d 172.16.1.10 -s 192.168.8.39 -p tcp --sport 80 -j ACCEPT
放行172.16.1.0/24网段对192.168.8.0网段22号端口的访问
# iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.8.0/24 -p tcp --dport 22 -j ACCEPT
# iptables -A FORWARD -s 192.168.8.0/24 -d 172.16.1.0/24 -p tcp --sport 22 -j ACCEPT
重新编写规则
# iptables -F FORWARD
# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
# iptables -R FORWARD 2 -d 192.168.8.39 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT
nat规则举例
初始化:
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
//需要accept否则将无法通过路由转发任何数据包
# iptables -P FORWARD ACCEPT
外网端:172.16.1.10
内网端:192.168.8.39
//将访问172.16.1.254 80端口的服务映射到8.89的80端口上
# iptables -t nat -F
# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.39
在目标8.39的web日志中可以看到是172.16.1.10访问的,而不是192.168.8.40路由访问
禁止172.16.1.10的IP访问
# iptables -I FORWARD -s 172.16.1.10 -j REJECT
通过外网地址172.16.1.254的22022端口访问192.168.8.39的22号端口(相当于端口映射)
# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 22022 -j DNAT --to-destination 192.168.8.39:22
172.16.1.10 和 172.16.1.254的eth1都放置于 vmnet2虚拟交换环境中
外网接口:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.8.15
BROADCAST=192.168.8.255
NETMASK=255.255.255.0
GATEWAY=192.168.8.254
NETWORK=192.168.8.0
DNS配置
/etc/resolve.conf
nameserver 192.168.8.251
内网接口:
# cd /etc/sysconfig/network-scripts/
# cp ifcfg-eth0 ifcfg-eth1
DEVICE=eth1
IPADDR=172.16.1.254
BROADCAST=172.16.1.255
NETWORK=172.16.1.0
172.16.1.10
DNS:192.168.8.251
GAWEWAY:172.16.1.254
配置192.168.8.251
# vim /etc/sysctl.conf
打开防火墙转发功能
sysctl -p 使配置生效
在防火墙上添加规则,对来自内网 172.16.1.0网段的机器进行源地址转换
# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 192.168.8.15
tupdump抓包
nginx用来做什么?
静态资源的web服务器
http服务器反向代理
访问量统计网站:
基本语法
========
过滤主机
--------
- 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据
# tcpdump -i eth1 host 192.168.1.1
- 源地址
# tcpdump -i eth1 src host 192.168.1.1
- 目的地址
# tcpdump -i eth1 dst host 192.168.1.1
过滤端口
- 抓取所有经过 eth1,目的或源端口是 25 的网络数据
# tcpdump -i eth1 port 25
- 源端口
# tcpdump -i eth1 src port 25
- 目的端口
# tcpdump -i eth1 dst port 25网络过滤
# tcpdump -i eth1 net 192.168
# tcpdump -i eth1 src net 192.168
# tcpdump -i eth1 dst net 192.168
协议过滤
# tcpdump -i eth1 arp
# tcpdump -i eth1 ip
# tcpdump -i eth1 tcp
# tcpdump -i eth1 udp
# tcpdump -i eth1 icmp
常用表达式
----------
非 : ! or "not" (去掉双引号)
且 : && or "and"
或 : || or "or"
- 抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据
# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dsthost
192.168.1.200)))'
- 抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据
# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
- 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是192.168.1.200 的 TCP 数据
# tcpdump -i eth1 '((tcp) and ((dst net192.168) and (not dst host 192.168.1.200)))'
- 只抓 SYN 包
# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
- 抓 SYN, ACK
# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] &tcp-ack != 0'
抓 SMTP 数据
# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取数据区开始为"MAIL"的包,"MAIL"的十六进制为0x4d41494c。
抓 HTTP GET 数据
--------------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六进制是 47455420
抓 SSH 返回
---------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六进制是 0x5353482D
# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and(tcp[((tcp[12]>>2)+4):2]
= 0x312E)'抓老版本的 SSH 返回信息,如"SSH-1.99.."
- 抓 DNS 请求数据
# tcpdump -i eth1 udp dst port 53
其他
----
-c 参数对于运维人员来说也比较常用,因为流量比较大的服务器,靠人工 CTRL+C 还是
抓的太多,于是可以用-c 参数指定抓多少个包。
# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
上面的命令计算抓 10000 个 SYN 包花费多少时间,可以判断访问量大概是多少。
实时抓取端口号8000的GET包,然后写入GET.log
tcpdump -i eth0 '((port8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log
本文转自rshare 51CTO博客,原文链接:http://blog.51cto.com/1364952/1956943,如需转载请自行联系原作者