乱读天书, 不求甚解
周祎骏的个人云笔记
Toggle navigation
乱读天书, 不求甚解
主页
Linux:系统配置
Linux:用户管理
Linux:优化排错
Linux:进程调度
Linux:文件系统
Linux:网络
Linux:系统服务
Linux:安全
Linux:内核
容器:Docker
容器:containerd
容器编排:Kubernetes
IAC:Terraform
大数据:Hadoop
大数据:Zookeeper
大数据:Hbase
消息队列:rsyslog
消息队列:kafka
数据库:MySQL
数据库:MongoDB
搜索引擎:Elasticsearch
时序数据库:OpenTSDB
网站服务:Nginx
编程:Bash
编程:Perl
编程:Python
编程:C
编程:JAVA
编程:Rust
版本控制:gitlab
知识管理:docusaurus
常用小工具
关于我
标签
Linux_防火墙
2016-10-03 13:21:32
79
0
0
admin
> 这里介绍Linux 的防火墙策略 #基于配置文件的防火墙TCP Wrappers ##基本介绍 由/etc/hosts.allow 和 /etc/hosts.deny 配置什么可以做,什么不可以做。(其中/etc/hosts.allow的优先级高于/etc/hosts.deny) 只有依赖于libwrap.so.0 的服务才能够支持这一功能。 ``` [root@localhost ~]# ldd /usr/sbin/sshd | grep wrap libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f053df65000) ``` ##文件格式 服务(程序名称):IP 或域或主机名:动作(可以不写,默认ALLOW/DENY ) 一些关键字: ALL 用在第一列表示所有服务,用在第二列表示所有机器 LOCAL 用在第二列,代表本机 UNKNOWN 表示不知道的IP 或域或服务 KNOWN 表示可解析的IP 或者域 *例子* 只允许某个网段ssh 本机,除了192.168.0.1其他机器都允许rsync 本机 ``` cat /etc/hosts.allow sshd: 192.168.0.0/255.255.0.0 rsync: ALL EXPECT 192.168.0.1 ``` ##一些特殊功能 spawn(动作):跑后面的shell 脚本 twist(动作):跑后面的脚本,把输出打印在对方那里,然后退出。(必须加在最后一列) *用tcp_wrappers的safe_finger命令可以帮我们拿到连接对方的信息* ``` sshd : ALL: spawn (echo "$(/bin/date)";echo daemon %d;echo host %h;echo address %a;/usr/sbin/safe_finger @%h;) &> /tmp/a : twist ( echo not allowed ) ``` *** #基于端口,网络的防火墙iptables [Linux服务 3.0 iptables ](/blog/post/admin/Linux_iptables)
上一篇:
Linux_seLinux 大致介绍
下一篇:
Linux优化排错 1.10 内存
文档导航
admin
admin