溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
1、在生產中selinux 是關閉的。iptables 根據環境,內網關閉,外網開啟。如果是大并發的情況,不開啟iptables.
2、/var/log/messages 出現kernel:nf_conntrack:table full,dropping packet 是因為業務訪問慢造成的
優化:
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
#表池調大
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
#超時時間調小
3、Netfilter /iptables 是基于包過濾的防火墻。安全性比老一輩的ipfwadm、ipchains 強大很多,主
要工作在二、三、四層。如果重新編譯內核,也可以支持七層控制。
4、容器:包含或者說屬于的關系
Netfilter /iptables 是表的容器。(filter、NAT、mangle、raw)
iptanles tables是chains的容器
(INPUT(進入)、OUTPUT(出)、FORWARD(轉發)、PREROUTING(預路由)、POSTROUTING(出路由))
chins:是policy(規則)的容器。
5、FILTER 表(默認): 真正負責主機防火墻的(過濾主機流入主機的數據包)
INPUT :負責過濾所有目標地址是本機地址的數據包
OUTPUT:處理所有源地址是本機地址的數據包
FORWARD :負責轉發流經主機的數據包; lvs NAT模式 (net.ipv4.ip_forward=0)
6、NAT 表:負責網絡地址轉換,即來源與目的ip地址和port的轉換。,一般用于局域共享上網或者特殊端口轉換。
OUTPUT :改變主機發出數據包的目的地址。
PREROUTING:在數據包到達防火墻是進行路由判斷之前執行規則,作用改變數據包的目的地址、目前端口
POSTROUTING: 在數據包在離開防火墻時進行路由判斷之前執行規則 改變數據包的源地址,源端口。
7、防火墻是層層過濾的,實際是按照配置規則的順序從上到下,從前到后進行匹配的。
如果匹配上規則,即明確表名是阻止還是通過,數據包就不在向下匹配新規則了
如果所有規則中沒有明確表明是阻止還是通過,也就是沒有匹配規則,向下進行匹配 ,直到匹配默認
規則得到明確的阻止還是通過。
防火墻默認規則是所有的規則執行完才會執行。
8、iptables的工作流程圖。
FILTER ============> MANGLE
INPUT 內核 OUTPUT
∧ ∨
∧ NAT
MANGLE OUTPUT
INPUT ∨
∧ FILTER OUTPUT
∧ ∨
MANGLE ======> NAT ======== ==== >MANGLE =======>FILTER============>MANGLE========---->NAT
PREROUTING PREROUTING FORWORD FORWARD FORWARD POSTROUTING POSTROUTING
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
