方法は2つあります: 1. サービス方法 ファイアウォールのステータスを確認します。 [root@centos6 ~]# サービスiptablesステータス iptables: ファイアウォールが実行されていません。 ファイアウォールを有効にします。 [root@centos6 ~]# サービスiptablesの開始 ファイアウォールをオフにします。 [root@centos6 ~]# サービスiptablesを停止します 2. iptables方式 まず init.d ディレクトリに入ります。コマンドは次のようになります。 [root@centos6 ~]# cd /etc/init.d/ [root@centos6 init.d]# それから ファイアウォールのステータスを確認します。 [root@centos6 init.d]# /etc/init.d/iptables ステータス ファイアウォールを一時的に無効にします: [root@centos6 init.d]# /etc/init.d/iptables を停止します iptablesを再起動します。 [root@centos6 init.d]# /etc/init.d/iptablesを再起動します Linuxファイアウォールの基礎知識を見てみましょう 1. ファイアウォールの分類 (1)パケットフィルタリングファイアウォール パケット フィルタリング技術は、ネットワーク層でデータ パケットを選択するものです。選択は、アクセス制御リスト (ACL) と呼ばれる、システムに設定されたフィルタリング ロジックに基づいて行われます。データ ストリーム内の各データ パケットの送信元アドレスと宛先アドレス、使用されているポート番号とプロトコルの状態、またはそれらの組み合わせをチェックすることにより、データ パケットの通過が許可されるかどうかが決定されます。 (II) プロキシサービスファイアウォール プロキシ サービスは、リンク レベル ゲートウェイまたは TCP チャネルとも呼ばれます。これは、パケット フィルタリングとアプリケーション ゲートウェイ テクノロジの欠点を解決するために導入されたファイアウォール テクノロジです。ファイアウォールを通過するすべてのネットワーク通信リンクを 2 つのセクションに分割する点が特徴です。プロキシ サーバーは、ユーザーからのサイトへのアクセス要求を受信すると、その要求が制御ルールに準拠しているかどうかを確認します。ルールによってユーザーがサイトにアクセスできるようになると、プロキシ サーバーはそのサイトにアクセスし、ユーザーに代わって必要な情報を取得してユーザーに転送します。内部および外部のネットワーク ユーザーによるアクセスは、プロキシ サーバー上の「リンク」を通じて行われるため、ファイアウォールの内側と外側のコンピュータ システムが分離されます。 2. ファイアウォールの仕組み (I)パケットフィルタリングファイアウォールの動作原理 パケット フィルタリングは IP 層で実装されるため、ルーターのみを使用して実行できます。パケット フィルタリングは、パケットの送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびパケット伝送方向ヘッダー情報に基づいてパケットを通過させるかどうかを決定し、IP アドレスなどのユーザー定義コンテンツをフィルタリングします。仕組みとしては、システムがアプリケーション層とは独立して、ネットワーク層でパケットを検査します。パケット フィルターは、パケット フィルタリングの処理に使用される CPU 時間がごくわずかであるため、広く使用されています。さらに、この保護対策はユーザーにとって透過的です。正当なユーザーはネットワークに出入りする際にその存在を感じることはありませんので、非常に便利です。これにより、システムは優れた伝送性能を備え、拡張も容易になります。 (II) プロキシサービスファイアウォールの動作原理 プロキシ サービス ファイアウォールは、アプリケーション層でファイアウォール機能を実装します。送信関連のステータスの一部を提供でき、アプリケーション関連のステータスと送信情報の一部を提供でき、また、情報を処理および管理することもできます。 3. iptablesを使用してパケットフィルタリングファイアウォールを実装する (I) iptablesの概要と原理 カーネル 2.4 以降では、新しいカーネル パケット フィルタリング管理ツールである iptables が使用されています。このツールにより、ユーザーは動作原理を理解しやすくなり、使いやすくなり、機能が強化されました。 Iptables はカーネル パケット フィルタリングを管理するためのツールです。コア パケット フィルタリング テーブル (チェーン) にルールを追加、挿入、または削除できます。実際にこれらのフィルタリング ルールを実行するのは、netfilter (Linux カーネルの共通アーキテクチャ) とその関連モジュール (iptables モジュールや nat モジュールなど) です。 (II) iptablesがデータパケットを送信するプロセス データ パケットがシステムに入ると、システムはまずルーティング テーブルに基づいて、データ パケットをどのチェーンに送信するかを決定します。次の 3 つの状況が考えられます。 1. データ パケットの宛先アドレスがローカル マシンの場合、システムはデータ パケットを INPUT チェーンに送信します。ルール チェックに合格した場合、パケットは対応するローカル プロセスに送信されて処理されます。ルール チェックに合格しない場合、システムはパケットを破棄します。 2. データ パケットのアドレスがローカル マシンではない場合、パケットは転送され、システムはデータ パケットを FORWARD チェーンに送信します。ルール チェックに合格した場合、パケットは対応するローカル プロセスに送信されて処理されます。ルール チェックに合格しない場合、システムはパケットを破棄します。 3. データ パケットがローカル システム プロセスによって生成された場合、システムはそれを OUTPUT チェーンに送信します。ルール チェックに合格した場合、パケットは対応するローカル プロセスに送信されて処理されます。ルール チェックに合格しない場合、システムはパケットを破棄します。 ユーザーは各チェーンのルールを定義できます。データ パケットが各チェーンに到達すると、iptables はチェーンで定義されたルールに従ってパケットを処理します。 iptables は、パケットのヘッダー情報を、渡されるチェーン内の各ルールと比較し、各ルールに正確に一致するかどうかを確認します。パケットがルールに一致する場合、iptables はパケットに対してルールで指定されたアクションを実行します。たとえば、チェーン内のルールがパケットをドロップすることを決定した場合、パケットはそのチェーンでドロップされます。チェーン内のルールがパケットを受け入れる場合、パケットは前進し続けることができます。ただし、パケットがこのルールに一致しない場合は、チェーン内の次のルールと比較されます。パケットがチェーン内のどのルールにも一致しない場合、iptables はチェーンに事前定義されたデフォルト ポリシーに基づいてパケットの処理方法を決定します。理想的なデフォルト ポリシーは、iptables にパケットを破棄 (DROP) するように指示するはずです。 (III) iptablesの利点 netfilter/iptables の最大の利点は、ステートフル ファイアウォールを構成できることです。これは、ipfwadm や ipchains などの以前のツールでは提供できなかった重要な機能です。ステートフル ファイアウォールは、パケットを送受信するために確立された接続の状態を指定して記憶することができます。ファイアウォールは、パケットの接続追跡状態からこの情報を取得できます。ファイアウォールが使用するこの状態情報により、フィルタリングする新しいパケットを決定する際の効率と速度が向上します。有効な状態は、ESTABLISHED、INVALID、NEW、RELATED の 4 つです。 ESTABLISHED 状態は、パケットが確立された接続に属し、パケットの送受信に使用され、完全に機能していることを示します。 INVALID 状態は、パケットが既知のストリームまたは接続に関連付けられておらず、誤ったデータまたはヘッダーが含まれている可能性があることを示します。 NEW 状態は、パケットが新しい接続を開始したか、開始しようとしているか、またはパケットの送受信にまだ使用されていない接続に関連付けられていることを示します。最後に、RELATED は、パケットが新しい接続を開始し、すでに確立されている接続に関連付けられていることを示します。 netflter/iptables のもう 1 つの重要な利点は、ユーザーがファイアウォールの構成とパケット フィルタリングを完全に制御できることです。特定のニーズに合わせて独自のルールをカスタマイズし、必要なネットワーク トラフィックのみがシステムに入力されるようにすることができます。 (IV) iptablesの基礎知識 1. ルール ルールとは、ネットワーク管理者が事前に設定した条件のことです。ルールは通常、「パケット ヘッダーがこのような条件を満たしている場合は、パケットをこのように処理する」と定義されます。ルールはカーネル空間のパケット フィルタ テーブルに保存されます。これらのルールは、送信元アドレス、宛先アドレス、トランスポート プロトコル (TCP、UDP、ICMP)、およびサービス タイプ (HTTP、FTP、SMTP など) を指定します。データ パケットがルールに一致すると、iptables は、許可 (ACCEPT)、拒否 (REJECT)、破棄 (DROP) など、ルールで定義された方法に従ってパケットを処理します。ファイアウォールを構成する主な原則は、これらのルールを追加、変更、および削除することです。 2. チェーン チェーンは、パケットが移動するパスです。各チェーンは、実際にはルールのチェックリストです。各チェーンには、1 つ以上のルールを含めることができます。データ パケットがチェーンに到着すると、iptables はチェーンの最初のルールからチェックを開始し、データ パケットがルールで定義された条件を満たしているかどうかを確認します。条件を満たしている場合、システムはルールで定義された方法に従ってデータ パケットを処理します。条件を満たしていない場合、iptables は次のルールのチェックを続行します。パケットがチェーン内のどのルールにも一致しない場合、iptables はチェーンに事前定義されたデフォルトのポリシーに従ってパケットを処理します。 3. 表 テーブルは特定の機能を提供します。Iptables には、フィルター テーブル、nat テーブル、および mangle テーブルという 3 つの組み込みテーブルがあり、それぞれパケット フィルタリング、ネットワーク アドレス変換、およびパケット再構築を実装するために使用されます。 (1)フィルターテーブルフィルタ テーブルは主にデータ パケットをフィルタリングするために使用されます。このテーブルは、システム管理者が事前に定義した一連のルールに従って、適格なデータ パケットをフィルタリングします。ファイアウォールの場合、データ パケットをフィルター処理するための一連のルールがフィルター テーブルに指定されます。 (着信パケットを処理)、FORWARD チェーン (転送されたパケットを処理)、および OUTPUT チェーン (ローカルで生成されたパケットを処理)。フィルタ テーブルでは、データ パケットの受け入れまたは破棄のみが許可され、データ パケットを変更することはできません。 (2)NATテーブルnatqing は主にネットワーク アドレス変換 NAT に使用されます。このテーブルは、1 対 1、1 対多、多対多の NAT 作業を実現できます。iptables はこのテーブルを使用して、共有インターネット アクセス機能を実現します。 nat テーブルには、PREROUTING チェーン (着信パケットを変更)、OUTPUT チェーン (ルーティング前にローカルで生成されたパケットを変更)、および POSTROUTING チェーン (送信パケットを変更) が含まれています。 (3)マングルテーブルマングル テーブルは、特定のパケットを変更するために主に使用されます。一部の特殊なアプリケーションでは、合理的なデータ パケットの TTL や TOS など、データ パケットの伝送特性の一部を書き換える可能性があるためです。ただし、実際のアプリケーションでは、このテーブルの使用率は高くありません。 (V) システムファイアウォールをオフにする システムのファイアウォール機能も iptables を使用して実装されているため、ユーザーがシステムの iptables の上にルールを設定すると競合が発生する可能性があります。そのため、iptables を学習する前に、システムのファイアウォール機能をオフにすることをお勧めします。 (VI) iptablesコマンドの形式 #iptables [-t テーブル] -コマンドマッチング操作 注意: iptables では、すべてのオプションとパラメータで大文字と小文字が区別されます。 1. テーブルオプション テーブル オプションは、コマンドが適用される iptables 組み込みテーブルを指定するために使用されます。 iptables の組み込みテーブルには、フィルター テーブル、nat テーブル、および mangle テーブルが含まれます。 2. コマンドオプション コマンド オプションは、ルールの挿入、ルールの削除、ルールの追加など、iptables の実行モードを指定するために使用されます。 -P または --policy はデフォルトのポリシーを定義します 3. マッチングオプション 一致オプションは、送信元アドレス、宛先アドレス、トランスポート プロトコル (TCP、UDP、ICMP など)、ポート番号 (80、21、110 など) など、ルールに一致するために必要なパケットの特性を指定します。 4. アクションオプション アクション オプションは、パケットがルールに一致した場合に実行するアクション (受け入れ、破棄など) を指定します。 ACCEPT データパケットを受け入れる (VII) iptablesコマンドの使用 1. iptablesルールを確認する 初期の iptables にはルールはありませんが、インストール中にファイアウォールを自動的にインストールすることを選択した場合は、システムにデフォルトのルールが存在します。まず、デフォルトのファイアウォール ルールを表示できます。 #iptables [-t テーブル名] 2. デフォルトポリシーを定義する データパケットがチェーン内のどのルールにも一致しない場合、iptablesはチェーンのデフォルトポリシーに従ってデータパケットを処理します。デフォルトポリシーは次のように定義されます。 #iptables [-t テーブル名] 3. ルールの追加、挿入、削除、置換 #iptables [-t テーブル名] チェーン名 [ルール番号] [-i | o ネットワークカード] [-p プロトコルタイプ] [-s 送信元 IP | 送信元サブネット] [--sport 送信元ポート番号] [-d ターゲット IP | ターゲットサブネット] [--dport ターゲットポート番号] 4. 明確なルールとカウンター 新しいルールを作成するときは、新しいルールに影響を与えないように、既存のルールまたは古いルールをクリアする必要があることがよくあります。ルールが多数あり、1 つずつ削除するのが面倒な場合は、clear rule パラメータを使用してすべてのルールをすばやく削除できます。 5. ファイアウォールルールを記録して復元する ファイアウォール ルールの記録と復元コマンドを使用すると、既存のファイアウォール メカニズムをコピーし、必要に応じて直接復元できます。 要約する 上記は、編集者が紹介した Linux サービスでファイアウォールを有効にする 2 つの方法です。皆様のお役に立てれば幸いです。ご質問がある場合は、メッセージを残していただければ、編集者がすぐに返信いたします。また、123WORDPRESS.COM ウェブサイトをサポートしてくださっている皆様にも感謝申し上げます。 以下もご興味があるかもしれません:
|
>>: MySQL の count()、group by、order by の詳細な説明
<br />このページはUTF8エンコードを使用しており、ヘッダーとフッターはテンプレー...
1. 最初の方法は、ローカルのTomcatを起動してJSPを表示することです。 tomcatのweb...
序文元のプロジェクトは、パブリックネットワークgitlabに配置されていました。セキュリティ上の理由...
序文RabbitMQ を使用する場合、一定期間クライアントと RabbitMQ サーバーの間でトラフ...
目次 <テンプレート> <ul class="コンテナ">...
序文注: テストデータベースのバージョンはMySQL 8.0ですテストデータ: テーブルzqs(id...
優先度両方のケースで同じ条件を設定すると、異なる結果セットが生成される可能性があるのは、優先順位のた...
<br />海外メディアの報道によると、マイクロソフトはソフトウェアの相互運用性への取り...
注意: スコープアニメーションは使用できません。 ! ! ! GIF経由 <テンプレート>...
Docker システムの学習チュートリアルでは、Dockerfile を使用して Docker イメ...
MySQL では、1 つの列に複数のインデックスを作成できます。意図的であるかどうかにかかわらず、M...
MacBookにpython3.7.0をインストールする詳細な手順は、参考までに記録されています。具...
目次1. プロジェクト環境: 2: DNSサーバーの設定i: 前方解析を構成する: ii: 逆解像度...
1. はじめにtable_cache は非常に重要な MySQL パフォーマンス パラメータであり、...
まず、次の質問について考えてみましょう。このような膨大な量のデータをデータベースに挿入するには、通常...