《linux服务器配置.ppt》由会员分享,可在线阅读,更多相关《linux服务器配置.ppt(171页珍藏版)》请在三一办公上搜索。
1、服务器服务配置,主讲人:吴万臣,Samba服务器,Samba 在linux和windows两大平台之间相互共享,文件传输等。应用环境:1.文件和打印机共享2.身份验证和权限设置3.浏览服务4.名称解析,工作原理:1.协议协商 客户端发送negport数据包,告知目标支持的SMB类型,samba服务器选择最优SMB2.建立连接客户端发送session指令,提交账号和密码请求建立连接。服务器为其提供UID,供通信时使用,3.访问共享资源 访问共享资源时,发送tree connect指令数据包,samba服务器为每个客户端与共享资源的连接分配TID4.断开连接 共享使用完毕,客户端向服务器发送tre
2、e disconnect报文关闭共享,与服务器断开连接,Samba相关进程1.Nmbd:其功能是进行netbios名解析,并提供浏览服务显示网络上的共享资源列表2.Smbd:主要功能是用来管理samba服务器上的共享目录,打印机等。,安装samba服务Samba服务需要以下几个软件包Samba服务的主程序(第二张RHEL5光盘)Samba的客户端工具(第一张RHEL5光盘),3.samba-common-3.0.23c-2(第一张RHEL5光盘)该包存放的是通用的工具和库文件。4.system-config-samba(第三张RHEL5光盘)Samba图形化管理工具,Samba软件的安装检测系
3、统是否安装了samba软件包rpm qa|grep samba安装所需的软件包,Samba服务器搭建流程1.编辑主配置文件smb.conf,指定需要共享的目录,为共享目录设置共享权限2.在smb.conf文件中指定日志文件名称和存放目录3.设置共享目录的本地系统权限4.重新启动服务或加载配置文件,使配置生效,1.主配置文件Vi/etc/samba/smb.conf1.将workgroup=mygroup改为workgroup=workgroup2.将host allow前的“;”去掉,将允许访问此服务器的一台PC或一个网段,卸载“=”后面,3.设置samba服务器的安全模式share,user
4、,server,domain,ads 5种安全模式。Share安全模式 客户端登录samba服务器,不需要用户名和密码。User安全模式 需要提交用户名和密码,默认为user模式Server安全模式 客户端需要将用户名和密码,提交到指定的一台samba服务器上验证。Domain 安全模式 服务器加入到windows域环境中,验证工作由windows域控制器负责。Ads安全模式 服务器加入到windows域环境中,其含有domain级别中的所有功能,并可以具备域控制器的功能。在smb.conf中,security=user,z,4.设置共享目录1)设置共享名 共享名2)共享资源描述 commen
5、t=注释信息3)共享路径 path=完整路径4)设置匿名访问 public=yes/no5)设置访问用户 valid users=用户名6)设置目录只读 readonly=yes/no7)设置目录可写 writable=yes/no,例:shareComment=gongxiangPath=/share/toolsPublic=yesValid=bossReadonly=yesWritable=yes,2.Samba日志文件/var/log/samba存放着客户端网络访问服务器的相关日志ls/var/log/samba3.Samba服务密码文件/etc/samba/smbpasswd用户名和密
6、码存放在smbpasswd文件中,建立samba账号Smbpasswd a 账号Samba账号不能够直接建立,需要建立linux同名系统账号例:useradd liu smbpasswd a liu使用cat/etc/samba/smbpasswd查看smbpasswd下的账号,4.Samba服务启动与停止1)启动服务Service smb start或/etc/rc.d/init.d/smb start2)停止服务Service smb stop或/etc/rc.d/init.d/smb stop,3)重新启动服务Service smb restart或/etc/rc.d/init.d/sm
7、b restart4)服务配置重新加载Service smb reload或/etc/rc.d/init.d/smb reload*在linux服务中,更改配置文件后,一定要记得重启服务,让服务重新加载,才能生效,5.客户端访问samba服务器1)Windows客户端访问samba服务器在开始运行 输入samba服务器的IP地址2)Linux客户端访问samba服务器1.使用mount将共享目录挂载本地mount t cifs/samba服务器IP地址/共享目录名 挂载点 o username=用户名,2.使用smbclient命令先确保samba-client安装Smbclient L sa
8、mba服务器IP地址 U 登录用户名%密码,5.自动加载samba服务1)ChkconfigChkconfig level 3 smb on/off运行级别3自动加载或不加载2)Ntsysv利用文本图形界面对smb自动加载进行配置,Samba高级服务器配置1.用户账号映射 Samba服务器的账号必须对应一个同名的系统账号,这对服务器来说并不安全。建议使用虚拟账号。1)编辑smb.confVi/etc/samba/smb.conf在global下添加一行字段,globalUsername map=/etc/samba/smbusers开启用户账号映射功能2)编辑smbusersVi/etc/sa
9、mba/smbusers打开smbusers文件后,添加账号映射关系Liu=kuaile happyLiu为本地账号,kuaile,happy为虚拟账号,3)重新启动samba服务Service smb restart2.客户端访问控制Valid users=用户名Valid users=组名Valid字段 无法限制客户端访问控制1)Hosts allow和hosts denyVi/etc/samba/smb.conf,修改服务器的安全模式为 share在共享目录中或global下输入下列字段Hosts deny=172.16.192.168.1.当deny和allow字段中同时出现同一网段I
10、P地址,hosts allow优先2)使用域名限制Hosts deny=.net free拒绝域和.net域以及主机free的客户端,*hosts deny和hosts allow两个字段可以设置在global里,表示对samba服务器生效,如果设置在目录下,则表示只对单一目录生效,3.Samba的隐藏共享browseable=yes 不隐藏目录browseable=no 隐藏目录可以为特殊用户独立配置文件1.cd/etc/samba2.cp smb.conf smb.conf.用户名3.vi smb.conf,globalConfig file=/etc/samba/smb.conf.%U4
11、.Vi smb.conf.用户名共享名Path=/路径Browseable=yes/no,DHCP服务器,DhcpDhcp所需软件包DHCP主程序DHCP服务器开发工具软件包,提供库文件DHCP的IPv6扩展工具,使dhcp服务器支持ipv6DHCP客户端IPv6软件包,帮助客户端获取动态IP,Dhcp的安装1.检测DHCP安装包rpm qa|grep dhcp2.安装软件包,DHCP服务器搭建流程1.编辑主配置文件dhcpd.conf,指定IP作用域,指定分配一个或多个IP地址范围。2.建立租约数据库文件3.重新加载文件或重新启动服务,使配置生效*通常情况下dhcpd.conf文件是不存在的
12、,需要手动建立该文件,1.编辑主配置文件当软件包安装好后,会自动生成主配置文件的范本文件,可使用cp复制到/etc下配置2.Vi/etc/dhcpd.conf(参数配置)1)全局参数ddns-update-style none|interim|ad-hoc;不支持,支持,特殊,DNS动态更新,2.allow/ignore client-updates;允许/忽略客户端的动态更新请求。3.default-lease-time number(数字)定义默认的IP租约时间(秒)default-lease-time 86400;4.max-lease-time number(数字)定义客户端IP租约时
13、间的最大值max-lease-time 43200;,2)局部参数subnet 分配地址段 netmask 子网掩码range dynamic-bootp 起始IP地址 结束IP地址;option routers 默认网关option subnet-mask 子网掩码option domain-name-servers DNS服务器的IP地址,绑定IP到某台PC机上 host PC机名称 hardware ehernet MAC地址;fixed-address 要分配的IP地址;3.DHCP的启动与停止Service dhcpd startService dhcpd stop,4.自动加载DH
14、CP服务1)Chkconfig命令Chkconfig-level 3 dhcpd on自动加载Chkconfig-level 3 dhcpd off不自动加载2)ntsysv使用ntsysv,利用文本图形界面对dhcpd加载,DHCP高级配置1.Dhcp多作用域 1)在dhcp服务器上添加多块网卡,每个网卡配置独立的IP地址 2)编辑dhcpd.conf在文件中编辑多个subnet,每块网卡对应一个subnet.3)重启dhcp服务,2.超级作用域 超级作用域可以将多个作用域组合为单个管理实体,进行统一管理编辑dhcpd.conf文件,固定格式如下Shared-network 超级作用域名称
15、subnet 子网号 netmask 掩码 参数 声明,Dhcp中继代理可以跨越多个网段动态分配IP地址1)配置DHCP服务器在dhcp 服务器上配置超级作用域2)配置DHCP中继代理设置中继代理的多个网卡地址启用中继代理 dhcrelay DHCP服务器IP地址,Dhcp客户端1.Linux 客户端编辑网卡配置文件 Vi/etc/sysconfig/network-scripts/ifcfg-eth0将BOOTPROTO=none修改为BOOTPROTO=dhcp2.重新启动网卡或使用dhclientIfdown eth0Ifup eth0或 dhclient eth0,DNS服务器配置,1
16、.DNS所需软件包该包为DNS服务的主程序包(第二张光盘)客户端工具(第一张光盘)2.DNS的安装检测DNS软件包rpm qa|grep bind,DNS复习知识DNS(domain name system)定义了主机名称与IP地址的对应关系DNS采用分散形式的数据存储,将名称解析信息分别存储在不同的名称服务器上,形成一个分布式数据库。DNS采用层次逻辑结构DNS的域分为根域,顶级域,二级域,子域。并且域中包含主机和子域。,组织域 com net edu org gov 地理域 cn kr us jp 反向域 将IP映射到名字,3.DNS服务器搭建流程1)建立主配置文件named.conf,该
17、文件用来定义管理哪些区域,以及路径2)建立区域文件(正向区域,反向区域)3)重新加载配置文件或启动服务主配置文件/var/named/chroot/etc/named.conf,Named.conf主配置分为整体和局部两个部分整体配置options 字段 字段值;可选条件选择语句,一般用来设置DNS服务器工作的目录。,局部配置zone“区域名“type 区域类型;file 区域文件名;区域名为服务器要管理区域的名称,如type 指定区域的类型,master主服务器,slave辅助DNS服务器,hint根域名服务器指定的线索区域区域文件名属于相对路径,实际路径/var/named,例:vi/va
18、r/named/chroot/etc/named.conf options directory“/var/named”;/定义工作目录 zone“”type master;file“.zone”;/定义正向区域,zone“11.16.172.in-addr.arpa”type master;file“11.16.172.zone”;/定义反向区域zone“.”type hint;file“named.ca”;/定义根区域,注意:1.配置文件中的语句必须以”;”结尾2.options条件语句必须用花括号,括起来3.注释符号可以用/,#以及/*/,资源记录 区域文件实际上是DNS的数据库,而资源记
19、录就是数据库中的数据。这些数据包括多种记录类型,如SOA,NS,A记录等,如果没有资源记录,那么DNS服务器将无法为客户端提供域名解析服务。SOA资源记录为起始授权机构记录,最重要,最常用的一种资源记录。,SOA资源记录的语法格式:区域名 记录类型 SOA 主域名服务器 管理员邮件地址(序列号 刷新间隔 重试间隔 过期间隔 TTL)例:.IN SOA.(20081106;serial 21600;refresh 3600;retry 604800;expiry 86400;minimum),NS记录 用于指定一个区域的权威DNS服务器,能够应答区域内所含名称的查询NS资源记录的语法格式:区域名
20、 IN NS 完整主机名,例:正向区域文件$TTL 86400 IN SOA.root.localhost.(20081106;serial 21600;refresh 3600;retry 604800;expiry 86400;minimum)www IN A 172.16.11.86/A资源记录 主机名解析IP地址,反向区域文件$TTL 86400 IN SOA.root.localhost.(20081106;serial 21600;refresh 3600;retry 604800;expiry 86400;minimum)IN NS.85 IN PTR.86 IN PTR./PT
21、R 解析IP地址对应的主机名,DNS的启动与停止Servie named startService named stop,DNS高级配置,1.辅助DNS在辅助DNS上修改named.conf,添加如下Zone“域名”type slave;masters 主服务器的IP地址;file“salves/主服务器区域文件名“;,注意:在配置区域复制时,首先关闭RHEL5的SERHEL5功能,否则区域数据可能无法复制vi/etc/seRHEL5/configSERHEL5=disable重新启动系统使配置生效,Sendmail服务器的配置,邮件系统工作原理1)邮件功能组件1.MUA 客户端软件 mail
22、x outlook foxmail2.MTA 服务器端软件 sendmail postfix3.MDA 服务器端代理软件 2)邮件系统1.邮件服务器 SMTP 邮件交换服务器 POP或IMAP 邮件接收服务器2.邮箱 3.DNS邮件交换记录 邮件服务器的位置的DNS记录,1.Sendmail需要的软件包Sendmail的主程序包Sendmail的宏文件包Sendmail宏过滤处理软件包该包为接收邮件软件,1.检测软件包rpm qa|grep sendmail2.相关配置文档1)sendmail.cf sendmail的核心配置文件/etc/mail/sendmai2)access.db 用来设
23、置哪些主机进行转发邮件/etc/mail/access.db,3)aliases.db文件用来定义邮箱别名。该文件位于/etc/mail/aliases.db4)virtusertable.db用于设置虚拟帐户。该文件位于/etc/mail/virtusertable.db,3.Sendmail服务器架设流程1)配置sendmail.mc文件2)使用M4工具将sendmail.mc文件导入sendmail.cf文件3)配置local-host-names文件4)建立用户5)重新启动服务,使配置生效,1)配置sendmail.cf 和sendmail.mcSendmail.cf是sendmail
24、的核心配置文件,内容为特定宏语言编写,使用修改sendmail.mc文件来代替sendmail.cf编辑sendmail.mc文件,使用M4工具将结果导入sendmail.cf文件中。Vi/etc/mail/sendmail.mc,2)M4工具的使用rpm qa m4M4工具在RHEL5的第二张光盘在配置sendmail过程中,需要利用m4工具将其编辑后的sendmail.mc 文件内容重新定向到sendmail.cf文件中m4/etc/mail/sendmail.mc/etc/mail/sendmail.cf,3.local-host-names文件用来定义收发邮件的主机别名。Vi/etc/
25、mail/local-host-names如:4.建立用户Groupadd mailUseradd g mail wuUseradd g mail fei,passwd wupasswd fei5.重启服务Service sendmail startService sendmail restart,6.设置邮件中继Vi/etc/mail/accessAccess文件用语控制邮件中继和邮件的进出的管理。REJECT OK RELAY 修改access文件,必须使用makemap建立新的access.db数据库。makemap hash access.db access,Sendmail的高级配置
26、Sendmail的验证通过邮件的认证机制,能够有效地拒绝非法用户使用邮件服务器中继功能。1)安装sasl库,2)配置sendmail.mc编辑sendmail.mc,去掉以下3行的dnl字段,开启sendmail认证功能。52行 不管access如何设置,都能relay那些通过LOGIN,PLAIN,DIGEST-MD5方式的验证53行 确定系统的认证方式123行 开启认证,FTP服务器配置,1.FTP所需的软件包位于第二张光盘2.检测软件包rpm qa|grep vsftp3.Vsftp相关文档Vsftpd.confVsftp核心配置文件,该文件位于/etc/vsftpd,/etc/vsft
27、pd.ftpusers指定哪些用户不能访问FTP服务器/etc/vsftpd.user_list禁止或允许使用vsftpd的用户列表文件/var/ftp默认情况下匿名用户的根目录,FTP服务器Vi/etc/vsftpd/vsftpd.conf1.anonymous_enable(yes|no)是否允许匿名用户登录2.local_enable(yes|no)是否允许本地用户登录3.write_enable(yes|no)使用者是否有写权限,4.local_umask=022设置本地用户新建文件的权限的掩码5.dirmessage_enable(yes|no)设置是否开启目录提示功能6.xferl
28、og_std_format(yes|no)用于设置日志的格式是否是标准格式7.connect_from_port_20设置接口模式传输数据时使用20端口,8.Listen(yes|no)控制vsftpd进程操作行为的字段是否使用stand-alone模式启动,而不是使用超级进程(xinetd)9.pam_service_name设置在使用PAM模块进行验证时使用的文件名10.userlist_enable(yes|no)是否使用控制用户登录的用户列表,11.tcp_wrappers(yes|no)是否在vsftpd中使用远程访问控制机制附加:实现匿名用户访问1.anonymous_enable
29、(yes|no)是否允许匿名用户登录2.anon_mkdir_write_enable(yes|no)是否允许匿名用户创建目录,3.anon_root(yes|no)设置匿名用户的根目录4.anon_upload_enable(yes|no)是否允许匿名用户上传文件5.anon_world_readable_only(yes|no)是否只允许匿名用户下载可阅读文档6.anon_max_rate设置匿名拥护的最大数据传输速度 7.write_enable=YES,例搭建一台FTP服务器,允许匿名用户上传和下载文件,匿名用户的根目录设置为/var/ftpVi/etc/vsftpd/vsftpd.c
30、onfanonymous_enable=YESanon_root=/var/ftpAnon_upload_enable=YES Anon_other_write_enable=YESAnon_mkdir_write_enable=YESWrite_enable=YES,实现实体用户访问1.local_root设置所有本地用户的根目录2.local_umask设置本地用户新建文件的umask数值3.user_config_dir设置用户配置文件所在的目录,例搭建一台只允许本地帐户登录的FTP服务器Vi/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_
31、enable=YESlocal_root=/home测试使用匿名帐户登录,定制FTP目录欢迎信息1.dirmessage_enable(yes|no)是否开启目录提示功能2.message_file定义提示信息的文件名,限制用户目录1.chroot_local_user(YES|NO)是否将本地用户锁定在家目录中2.chroot_list_enable(YES|NO)是否锁定使用者在家目录中3.chroot_list_file设置锁定用户的列表文件。文件中一行代表一个用户,高级服务器配置1.用户控制/etc/pam.d/vsftpdSense字段默认拒绝/etc/ftpusers里的用户/et
32、c/ftpusers添加系统用户,2.设置VSFTP虚拟帐号1)创建用户文本文件Mkdir/vuserVi/vftp/vuser.txt 123 xiaoqiang jack,2).生成数据库db_load T t hash f/vftp/vuser.txt/vftp/vuser.dbls/vftp3)修改数据库文件Chmod 700/vftp/vuser.db2.配置PAM文件Vi/etc/pam.d/vsftpd,添加如下内容auth required/lib/security/pam_userdb.so db=/vsftpd/vuserAccount required/lib/secur
33、ity/pam_userdb.so db=/vsftpd/vuser,3.创建虚拟帐户对应系统用户Useradd d/var/ftp/vuser vuserMkdir/var/ftp/vuserChown vuser.vuser/var/ftp/vuserChmod 777 R/var/ftp/vuser4.修改vsftpd.confGuest_enable=YESGuest_username=vuser,Apache服务器配置,1.Apache所需的软件Apache主程序包(第二张光盘)Apache开发程序包2.软件包的检测rpm qa|grep httpd,3.Apache常规配置http
34、d.conf核心配置文件,/etc/httpd.conf整个配置文件分3个部分1)全局环境 global environment2)主服务配置 main server configuration3)虚拟机配置 virtual hosts,1.设置主机名称Servername字段定义了服务器名称和端口号servername:80servername 172.16.11.85:802.设置文档目录Documentroot定义了网站的内容都保存在文档中Documentroot“/var/www/html”,3.设置首页名称Directoryindex 首页名称directoryindex index
35、.html index.php4.网页编码设置AddDefaultCharset GB2312,4.Apache的启动与停止Service httpd startService httpd stopService httpd restart5.使用ntsysv命令,利用文本图形界面对apache自动加载进行配置,Apache高级服务器配置1.配置Apache虚拟主机虚拟主机,利用一台主机的资源,建立多个虚拟的Web主机,充分挖掘服务器的潜力.1)基于IP的虚拟机.通过IP地址识别虚拟主机,这必须要为服务器网卡绑定多个IP地址.Ifconfig eth0:0 IP地址 netmask 子网掩码I
36、fconfig eth0:1 IP地址 netmask 子网掩码,修改配置文件httpd.confDocumentroot/var/www/htmlServername IP或 域名Documentroot/var/www/htmlServername IP或 域名,2)基于域名的虚拟主机修改httpd.conf添加如下 Namevirtualhost*:80在DNS中,建立多个域名对应服务器的IP地址2.Apache访问控制Apache server限制某个目录或文档的权限.默认情况下的安全配置是拒绝一切访问,Options FollowSymLinks表示可以使用符号连接AllowOver
37、ride None禁止使用.Htaccess,Order allow,deny表示默认情况下禁止所有客户端访问,且allow字段在deny字段之前被匹配例 order allow,deny Allow from all 允许所有的客户端访问 order allow,deny仅允许192.168.1.0网段访问,但其中192.168.1.1不能访问,Order deny,allow表示默认情况下允许所有客户端访问,且deny字段在allow语句之前被匹配例 order deny,allow deny from 拒绝IP地址为10.0.0.1和来自域的客户访问.,Mysql数据库,一,Mysql基
38、本操作1.软件包的检测rpm qa|grep mysql2.启动mysqlService mysqld startService mysqld stopService mysqld restart3.进入mysql mysql,4.创建数据库 create database 数据库名称;create database sunny;5.显示数据库 show databases;6.创建表 use 数据库名;create table 表名(字段名 字段类型(长度),字段名 字段类型(长度).)7.添加记录Insert into 表名(字段1,字段2,.字段n)values(字段1的值,字段2的值,
39、字段n的值);,8.更新记录Update 表名 set 字段名=字段值 where 字段名=字段值;9.数据库查询显示数据库列表 show databases;选定数据库 use 数据库名;显示当前数据库 select database();显示当前数据库列表 show tables;显示指定表的内容 select*from 表名;,10.删除操作Delete from 表名 where 条件;11.删除表 drop table 表名;12.删除数据库 drop database 数据库名;13.退出mysql quit exit,二,mysql用户配置1.查看当前用户Select user(
40、);2.创建用户Insert into mysql.user(host,user,password)values(%,guest,password(guest);Flush privileges;重载授权表,3.更改用户密码Update mysql.user set password=password(新密码)where user=用户;4.Flush privileges;重载授权表5.删除用户Delete from mysql.user where user=用户名;,6.用户授权Grant all privileges on 数据库名.表名 to 用户名主机名 identified by
41、 密码;例 创建kkk使其对sunny数据库具有完全的控制权限Grant all privileges on sunny.*to kkk%identified by 123456;,7.撤消用户授权Revoke all on 数据库名.表名 from 用户名主机名;Revoke all on sunny.*from kkk%*只是消除用户的权限,而不是将其删除,三,mysql的备份与恢复1.Mysqldump 数据库名称/路径/备份文件名2.将文本数据导入到数据库中Load data local infile”文件名”into table 表名;,iptables,1.Iptables简介Ne
42、tfilter/iptables IP过滤数据包系统由netfilter和iptables两个组件构成.netfilter集成在内核中的一部分,作用是定义,保存相应的规则.而iptables是一种工具,用以修改信息的过滤规则及其它配置.2.Netfilter是LINUX核心中的一个通用架构,它提供了一系列的”表”,每个表由”链”组成.每条链可以由一条或数条”规则”组成.,名词解释1.规则:设置过滤数据包的具体条件,如IP,端口,协议及网络接口等信息.Address port protocol interface 动作:当数据经过LINUX时,若netfilter检测该包符合相应规则,则会对该数
43、据包进行响应的处理2.ACCEPT DROP REJECT LOG,3.链 数据包传递过程中,不同的情况下所要遵循的规则组合成链.分为内置链和用户自定义链,netfilter常用内置链PREROUTING 数据包进入本机,进路由表之前INPUT 通过路由表后,目的地为本机OUTPUT 由本机产生,向外转发FORWARD 通过路由表后,目的地不为本机POSTROUTING 通过路由表后,发送至网卡前,4.表 接受数据包时,netfilter会提供以下3种数据包处理的功能.过滤 filter 地址转换 nat 变更 mangleNetfilter根据数据包的处理需要,将链进行组合,设计了3个表:f
44、ilter,nat,mangle,一.Iptables的安装rpm qa|grep iptables二.Iptables的启动与停止Service iptables startService iptables stopService iptables restart,三.防火墙的配置Iptables的语法Iptables t 表的类型 命令 匹配 操作Iptables t filter A INPUT P icmp j DROP1.表的类型 filter nat mangle2.命令 插入规则 删除规则 添加规则-P 定义默认规则 iptables t filter P INPUT DROP-
45、L 查看iptables规则表,-A 在规则列表最后添加1条规则Iptables A OUTPUT-sport 22 DROP-I 在指定位置插入1条规则Iptables I INPUT 2-dport 80 j ACCEPT-D 从规则列表中删除1条规则Iptables t filter D OUTPUT p udp j DROP,-R 替换规则列表中的某条规则-F 删除表中的所有规则Iptables F OUTPUT-Z 将表中数据包计数器和流量计数器归零,3.匹配选项-i 指定数据包从哪个接口进入 如 eth0Iptables A INPUT i eth0 j ACCEPT*这个匹配操作
46、只能用于INPUT,FORWARD,PREROUTING链中.在接口前加!表示取反 Iptables A INPUT i!eth0 j ACCEPT匹配除eth0外的所有数据包,-o指定数据包从那个接口输出 如 eth1Iptables A FORWARD i eth0 o eth1 j ACCEPT*这个匹配操作只能用于OUTPUT,FORWARD,PREROUTING链中.-p指定数据包匹配的协议 如 tcp udp icmpIptables A INPUT p udp j DROP,-s指定数据包匹配的源地址Iptables A INPUT s 172.16.11.60 j DROP-d
47、指定数据包匹配的目的地址 Iptables I OUTPUT d 192.168.1.0 j ACCEPT-sport 源端口号(指定的数据包是不是源端口)Iptables A INPUT-sport 80 j ACCEPT,-dport目标端口号Iptables A INPUT-dport 80 j ACCEPT 4.动作选项ACCEPT 接收数据包DROP 丢弃数据包SNAT 源地址转换DNAT 目标地址转换REJECT 丢弃数据包 向发送者返回错误信息,5.保存与恢复规则Iptables-save用来保存规则Iptables-save/etc/iptables-saveService i
48、ptables save使用重定向来保存这些规则Iptables-restoreIptables-restore/etc/iptables-save,练习:1.为filter表的INPUT链添加一条规则,规则为允许访问TCP协议的80端口的数据包通过2.在filter表中INPUT链的第2条规则前插入一条新规则,规则为不允许访问TCP协议的53端口的数据包通过3.在filter表中INPUT链的第1条规则前插入一条新的规则,规则为允许源IP 172.16.0.0网段的数据报通过,4.替换filter表的INPUT链中的规则为禁止192.168.1.0这个子网里所有的主机访问tcp协议的80端口
49、.5.删除filter表的INPUT链中的第2条规则6.删除filter表INPUT链中的所有规则,常用实例及技巧分析.禁止访问不健康的网站1)Iptables A FORWARD d j DROP2)Iptables A FORWARD d 202.1.1.1 j DORP2.禁止用户使用QQ软件,Iptables I FORWARD p tcp-dport 8000 j DROPIptables I FORWARD p udp-dport 8000 j DROPIptables I FORWARD d j DROP Iptables I FORWARD d j DROP,NAT(网络地址转
50、换),1.Nat支持3种操作1).SNAT:改变数据包的源地址.2).DNAT:改变数据包的目的地址3).MASQUERADE:作用与SNAT一样,改变数据包的源地址.SANT与MASQUERADE的区别是MASQUERADE自动查找可用的IP地址,而SNAT用配置好的IP地址,2.配置SNATSNAT只能用在nat表的POSTROUTING链,配置参数为-to-source Iptables t nat A POSTROUTING o 外网接口 j SNAT-to-source IP地址,例:公司内部主机使用10.0.0.0/8网段的IP地址,并且使用linux主机作为服务器连接互联网,外网