2018.12.17-2018.12.23
1、詳述iptables五鏈
鏈(內建) |
PREROUTING |
INPUT |
FORWARD |
OUTPUT |
POSTROUTING |
功能 |
|
filter |
過濾防火牆 |
nat |
network address translation;用於修改源IP和目標IP,也可以改埠 |
mangle |
拆解報文,做出修改,並重新封裝 |
raw |
關閉nat表;啟用連線追蹤機制 |
功能<--鏈 |
|
raw |
PREROUTING,OUTPUT |
mangle |
PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING |
nat |
PREROUTING,INPUT,OUTPUT,POSTROUTING |
filter |
INPUT,FORWARD,OUTPUT |
2、舉例實現iptables多埠匹配、連線追蹤、字串匹配、時間匹配、併發連線限制、速率匹配、報文狀態匹配等應用
3、舉例實現iptables之SNAT源地址修改及DNAT目標地址修改和PNAT埠修改等
請求報文: 改源地址:SNAT POSTROUTING --to-source 改目標地址:DNAT PREROUTING --to-destination MASQUERADE:SNAT場景中應用於POSTROUTING鏈上的規則實現源地址轉換,但外網地址不固定時,使用target REDIRECT --to-ports ~]#iptables -F FORWARD ~]#iptables -vnL #####SNAT#### ~]#iptable -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.0.6 #####DNAT#### ~]#iptables -t nat -A PREROUTING -d 172.16.0.6 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.2 ~]#iptables -t nat -R PREROUTING 1 -d 172.16.0.6 -p tcp --dport 80 -j DNAT --to-destination 172.168.10.2:8080 |
4、簡述sudo安全切換工具,及詳細講解visudoer
sudo:能夠讓獲得授權的使用者以另外一個使用者的身份執行指定的命令 授權機制:授權檔案/etc/sudoers root ALL=(ALL) ALL %wheel ALL=(ALL) ALL 編輯此檔案的專用命令visudo 授權項: who where=(whom) commands users hosts=(runas) commands
sudo命令: sudo -k 重新整理有效期限 sudo -l 顯示授權列表 |
~]#useradd fedora ~]#echo ‘mageedu’ | passwd --stdin fedora ~]#visudo %wheel ALL=(ALL) ALL,!/bin/su,!/usr/bin/passwd root fedora ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel ~]#sudo useradd user1 |
別名設定
User_Alias USERADMIN=fedora,centos Cmnd_Alias NETADMINCMD=/sbin/ip,/bin/ifconfig,/sbin/route Cmnd_Alias USERADMINCMD=/bin/useradd,/bin/userdel fedora ALL=(ALL) PASSWD:NETADMINCMD,NOPASSWD:USERADMINCMD |