Linux安全检测及防护-PPT08-V1.0.ppt

* 两个方法各有优势，方法1速度快，方法2更灵活 * 黑名单、白名单应根据实际需要设置，并不是必需的内容 * 讲完此页以后，建议为学员演示黑名单的使用过程 * 注意区分两类防火墙脚本的侧重点 * * * * * * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */24 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 第八章 iptables防火墙（三） —— 理论部分 SNAT策略的原理及典型应用？ DNAT策略的原理及典型应用？ SNAT、DNAT规则分别用在哪个表、链中？ 课程回顾 学会备份及恢复iptables规则 学会编写简单的防火墙脚本 技能展示 本章结构 iptables防火墙(三) 规则的备份及还原 使用iptables服务 使用IP地址黑、白名单 防火墙脚本示例 规则的导出、导入 防火墙脚本的构成 使用防火墙脚本 导出（备份）规则 iptables-save工具 可结合重定向输出保存到指定文件 规则的备份及还原2-1 [root@localhost ~]# iptables-save -t nat # Generated by iptables-save v1.3.5 on Mon Jun 20 09:09:52 2011 *nat :PREROUTING ACCEPT [1425:168303] :POSTROUTING ACCEPT [281:19868] :OUTPUT ACCEPT [263:18788] -A PREROUTING -d 1 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination -A POSTROUTING -s / -o eth0 -j SNAT --to-source 1 COMMIT # Completed on Mon Jun 20 09:09:52 2011 [root@localhost ~]# iptables-save /opt/iprules_all.txt [root@localhost ~]# cat /opt/iprules_all.txt # Generated by iptables-save v1.3.5 on Mon Jun 20 09:09:52 2011 *nat :PREROUTING ACCEPT [1425:168303] :POSTROUTING ACCEPT [281:19868] :OUTPUT ACCEPT [263:18788] -A PREROUTING -d 1 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination -A POSTROUTING -s / -o eth0 -j SNAT --to-source 1 COMMIT …… 导入（还原）规则 iptables-restore工具 可结合重定向输入指定规则来源 规则的备份及还原2-2 [root@localhost ~]# iptables -F [root@localhost ~]# iptables-restore /opt/iprules_filter.txt [root@localhost ~]# iptables -nL FORWARD Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp -- /0 01 multiport dports 80 DROP tcp -- /0 00 multiport dports 80 DROP tcp -- /0 02 multiport dports 80 DROP tcp -- /0 59 multiport dports 80 …… iptables服务 脚本位置：/etc/init.d/iptables 规则文件位置：/etc/sysconfig/iptables 使用iptables系统服务 iptables-save导出的格式 [root@localhost ~]# service iptables start iptables：应用防火墙规则： [