1、詳述iptables五鏈
鏈(內置) |
PREROUTING |
INPUT |
FORWARD |
OUTPUT |
POSTROUTING |
功能 | |
filter | 過濾防火牆 |
nat | network address translation;用於修改源IP和目標IP,也可以改端口 |
mangle | 拆解報文,做出修改,並重新封裝 |
raw | 關閉nat表;啓用連接追蹤機制 |
功能<--鏈 | |
raw | PREROUTING,OUTPUT |
mangle | PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING |
nat | PREROUTING,INPUT,OUTPUT,POSTROUTING |
filter | INPUT,FORWARD,OUTPUT |
2、舉例實現iptables多端口匹配、連接追蹤、字符串匹配、時間匹配、併發連接限制、速率匹配、報文狀態匹配等應用
3、舉例實現iptables之SNAT源地址修改及DNAT目標地址修改和PNAT端口修改等
請求報文: 改源地址:SNAT POSTROUTING --to-source 改目標地址:DNAT PREROUTING --to-destination MASQUERADE:SNAT場景中應用於POSTROUTING鏈上的規則實現源地址轉換,但外網地址不固定時,使用target REDIRECT --to-ports ~]#iptables -F FORWARD ~]#iptables -vnL #####SNAT#### ~]#iptable -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.0.6 #####DNAT#### ~]#iptables -t nat -A PREROUTING -d 172.16.0.6 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.2 ~]#iptables -t nat -R PREROUTING 1 -d 172.16.0.6 -p tcp --dport 80 -j DNAT --to-destination 172.168.10.2:8080 |
4、簡述sudo安全切換工具,及詳細講解visudoer
sudo:能夠讓獲得授權的用戶以另外一個用戶的身份運行指定的命令 授權機制:授權文件/etc/sudoers root ALL=(ALL) ALL %wheel ALL=(ALL) ALL 編輯此文件的專用命令visudo 授權項: who where=(whom) commands users hosts=(runas) commands
sudo命令: sudo -k 刷新有效期限 sudo -l 顯示授權列表 |
~]#useradd fedora ~]#echo ‘mageedu’ | passwd --stdin fedora ~]#visudo %wheel ALL=(ALL) ALL,!/bin/su,!/usr/bin/passwd root fedora ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel ~]#sudo useradd user1 |
別名設置
User_Alias USERADMIN=fedora,centos Cmnd_Alias NETADMINCMD=/sbin/ip,/bin/ifconfig,/sbin/route Cmnd_Alias USERADMINCMD=/bin/useradd,/bin/userdel fedora ALL=(ALL) PASSWD:NETADMINCMD,NOPASSWD:USERADMINCMD |