目錄

安全技術

防火墻

按保護范圍劃分:

按實現(xiàn)方式劃分:

按網(wǎng)絡協(xié)議劃分.

數(shù)據(jù)包

四表五鏈

規(guī)則鏈

默認包括5種規(guī)則鏈

規(guī)則表

默認包括4個規(guī)則表

四表

查詢

格式：

規(guī)則

面試題

NFS常見故障解決方法

---

安全技術

入侵檢測系統(tǒng) (Intrusion Detection Systems) : 特點是不阻斷任何網(wǎng)絡訪問，量化、定位來自內(nèi)外網(wǎng)絡的威脅情況，主要以提供報警和事后監(jiān)督為主入侵檢測系統(tǒng) 提供有針對性的指導措施和安全決策依據(jù),類 似于監(jiān)控系統(tǒng)一般用旁路部署 (默默的看著你) 方式

入侵防御系統(tǒng) (Intrusion Prevention System) : 以透明模式工作，分析數(shù)據(jù)包的內(nèi)容如: 溢出攻擊、拒絕服務攻擊、木馬、蠕蟲、系統(tǒng)漏洞等進行準確的分析判斷，在判定為攻擊行為后立即予以 阻斷，主動而有效保護網(wǎng)絡的安全，一般采用在線部署方式。 (必經(jīng)之路)

防火墻 ( FireWall ) :隔離功能，工作在網(wǎng)絡或主機邊緣，對過出網(wǎng)絡或主機的數(shù)據(jù)包基于一定的規(guī)則檢查，并在匹配某規(guī)則時由規(guī)則定義的行為進行理的一組功能的組件，基本上的實現(xiàn)都是默 認情況下關閉所有通過型訪問，只開放允許訪問的策略,會將希望外網(wǎng)訪問的主機放在DMZ（demilitarizeozone)網(wǎng)絡中

防水墻 廣泛意義上的防水墻: 防水墻 (waterwa11) ，與防火墻相對，是一種防止內(nèi)部信息泄漏的安全產(chǎn)品。網(wǎng)絡、外設接口、存儲介質(zhì)和打印機構(gòu)成信息泄漏的全部途徑。防水墻針對這四種泄密途徑，在事前、事 中、事后進行全面防:。其與防病毒產(chǎn)品、外部安全產(chǎn)品一起構(gòu)成完整的網(wǎng)絡安全體系。

防火墻

按保護范圍劃分:

主機防火墻: 服務范圍為當前一臺主機

網(wǎng)絡防火墻: 服務范圍為防火墻一側(cè)的局域網(wǎng)

按實現(xiàn)方式劃分:

硬件防火墻:在專用硬件級別實現(xiàn)部分功能的防火墻;另一個部分功能基于軟件實現(xiàn)

軟件防火墻: 運行于通用硬件平臺之上的防火墻的應用軟件，Windows 防火墻ISA --> Forefront

按網(wǎng)絡協(xié)議劃分.

網(wǎng)絡層防火墻: OSI模型下四層，又稱為包過濾防火墻 協(xié)議 端口號 ip mac

應用層防火墻/代理服務器: proxy 代理網(wǎng)關，OSI模型七層

數(shù)據(jù)包

mac頭部 IP頭部 協(xié)議/端口 七層協(xié)議（http） 真實數(shù)據(jù) 校驗位

收包 拆包 檢查沒問題 裝包

收包 拆包 檢查有問題 隔離或者丟棄

四表五鏈

網(wǎng)卡------內(nèi)核（netfilter）

pre-routing:路由選擇前

post-routing:路由選擇后

input: 進入入本機

output: 出本機

forward:轉(zhuǎn)發(fā)

規(guī)則鏈

規(guī)則的作用:對數(shù)據(jù)包進行過濾或處理

鏈的作用:容納各種防火墻規(guī)則

鏈的分類依據(jù):處理數(shù)據(jù)包的不同時機

默認包括5種規(guī)則鏈

INPUT:處理進入本機的數(shù)據(jù)包

OUTPUT:處理從本機出去的數(shù)據(jù)包

FORWARD:處理轉(zhuǎn)發(fā)數(shù)據(jù)包

POSTROUTING鏈: 在進行路由選擇后處理數(shù)據(jù)包

PREROUTING鏈:在進行路由選擇前處理數(shù)據(jù)包

規(guī)則表

表的作用:容納各種規(guī)則鏈

表的劃分依據(jù):防火墻規(guī)則的作用相似

默認包括4個規(guī)則表

raw表:確定是否對該數(shù)據(jù)包進行狀態(tài)跟蹤

mangle表:為數(shù)據(jù)包設置標記

nat表:修改數(shù)據(jù)包中的源、目標IP地址或端口

filter表: 確定是否放行該數(shù)據(jù)包(過濾）

表的作用是存放鏈

鏈決定了在什么地方控制流量

表中有鏈,鏈中有規(guī)則

四表

raw : 跟蹤數(shù)據(jù)包

mangle: 標記 優(yōu)先級

nat：地址轉(zhuǎn)換

filter:流量過濾 篩選數(shù)據(jù)包哪些可以通過 哪些不可以通過

五鏈

input:進入本機的流量

output:出本機的 流量

forward :轉(zhuǎn)發(fā)數(shù)據(jù)包

prerouting :路由判斷前

postrouting: 路由判斷后

查詢

iptables -vnL [-t 表名]

v 詳細

n 數(shù)字

L 防火墻列表

iptables [-t 表名] -vnL --line-num顯示行號

iptables [-t filter] l或A 鏈 (INPUT) 規(guī)則

格式：

iptables -t 指定表 子命令 指定鏈 規(guī)則

查看 規(guī)則 -vnL

查看iptables 的規(guī)則

iptables -vnL [-t 表名]

如果查看不是 filter表需要指明表

iptables -vnL -t nat

給規(guī)則加上序號： iptables [-t表名] -vnL --line-num

添加規(guī)則 A I

iptables -A INPUT -s 192.168.233.0/24 -j ACCEPT或DROP 或REJECTA 在末尾追加

-I 需要指明序號 -I INPUT 1 在INPUT鏈的規(guī)則第一條前添加，我就變成第一條了

iptables -l INPUT 2 -s 192.168.91.0/24 -j ACCEPT

刪除規(guī)則 D F

iptables [-t 表名] -F

iptables -D 鏈 規(guī)則序號

iptables -t filter -D INPUT 2：刪除filter表中INPUT鏈中的第二條規(guī)則

修改默認規(guī)則(默認是允許通過 黑名單)

iptables -P INPUT DROP

iptables -P INPUT ACCEPT

替換規(guī)則 R

iptables -R INPUT 1 -s 192.168.233.1 -j ACCEPT

跳轉(zhuǎn) -j

DROP 丟棄

REJECT 拒絕

ACCEPT 允許

LOG 日志 添加備注

SNAT 源地址 轉(zhuǎn)換

DNAT 目的地址轉(zhuǎn)換

規(guī)則

-s 源地址

-d 目的地址

--sport

--dport

-p tcp udp icmp

-i 進口網(wǎng)卡

-o 出口網(wǎng)卡

面試題

1.100可以訪問 101 所有服務

101不可以 訪問 100的所有服務

iptables -A INPUT -s 192.168.91.101 j REJET

iptables -A INPUT -s 192.168.91.101 -m state --state NEW |-j REIET

2.永久打開路由轉(zhuǎn)發(fā)功能

vim /etc/sysctl.conf

net.ipv4.ip_forward=1? ?#將此行寫入配置文件

3.

NFS常見故障解決方法

啟用了的iptables state 模塊 用戶 訪問有問題 查看 日志 table full drop pket,后來研究 發(fā)現(xiàn),有一個內(nèi)核選項的默認值 過低 netfilter/nf conntrack max 默認 65536把這個值 調(diào) 大一點

cat /proc/net/nf conntrack
啟用后會寫在這個文件中1smod |grep conn  內(nèi)核模塊可以看到，調(diào)用state狀態(tài)時可以看到cat /proc/sys/net/netfilter/nf_conntrack max 記錄的用戶數(shù)為 65536echo 1 > /proc/sys/net/netfilter/nf_conntrack max   修改最大記錄數(shù)
tail /var/Tog/messages   查看日志Nov 29 12:08:53 ocalhost kernel: nf_conntrack: table full, dropping packet
cat/proc/sys/net/netfilter/nf_conntrack_max  這個 參數(shù) 設置的 太小了

（1）The rpcbind failure error
故障現(xiàn)象：
nfs mount: server1:: RPC: Rpcbind failure
RPC: Timed Out
nfs mount: retrying: /mntpoint
故障原因：
第一，可能因為客戶機的hosts文件中存在錯誤的ip地址、主機名或節(jié)點名組合；
第二，服務器因為過載而暫時停止服務。
（2）The server not responding error
故障現(xiàn)象：
NFS server server2 not responding, still trying
故障原因：
第一，網(wǎng)絡不通，用ping命令檢測一下。
第二，服務器關機。
（3）The NFS client fails a reboot error
故障現(xiàn)象：
啟動客戶機后停住了，不斷顯示如下提示信息：
Setting default interface for multicast: add net 224.0.0.0: gateway:
client_node_name.
故障原因：
在etc/vfstab的mount選項中使用了fg而又無法成功mount服務器上的資源，改成bg或?qū)⒃撔凶⑨尩?#xff0c;直到服務器可用為止。
（4）The service not responding error
故障現(xiàn)象：
nfs mount: dbserver: NFS: Service not responding
nfs mount: retrying: /mntpoint
故障原因：
第一，當前級別不是級別3，用who -r查看，用init 3切換。
第二，NFS Server守護進程不存在，用ps -ef | grep nfs檢查，用/etc/init.d/nfs start啟動。
（5）The program not registered error
故障現(xiàn)象：
nfs mount: dbserver: RPC: Program not registered
nfs mount: retrying: /mntpoint
故障原因：
第一，當前級別不是級別3。
第二，mountd守護進程沒有啟動，用/etc/init.d/nfs腳本啟動NFS守護進程。
第三，看/etc/dfs/dfstab中的條目是否正常。
（6）The stale file handle error
故障現(xiàn)象：
stale NFS file handle
故障原因：
服務器上的共享資源移動位置了，在客戶端使用umount和mount重新掛接就可以了。
（7）The unknown host error
故障現(xiàn)象：
nfs mount: sserver1:: RPC: Unknown host
故障原因：
hosts文件中的內(nèi)容不正確。
（8）The mount point error
故障現(xiàn)象：
mount: mount-point /DS9 does not exist.
故障原因：
該掛接點在客戶機上不存在，注意檢查命令行或/etc/vfstab文件中相關條目的拼寫。
（9）The no such file error
故障現(xiàn)象：
No such file or directory.
故障原因：
該掛接點在服務器上不存在，注意檢查命令行或/etc/vfstab文件中相關條目的拼寫。
（10）No route to host
故障現(xiàn)象：
# mount 192.168.115.120:/opt/data /data -t nfs -o rw
mount: mount to NFS server ‘192.168.115.120’ failed: System Error: No route to host.
故障原因：
防火墻被打開，關閉防火墻。
這個原因很多人都忽視了，如果開啟了防火墻（包括iptables和硬件防火墻），NFS默認使用111端口，我們先要檢測是否打開了這個端口，還要檢查TCP_Wrappers的設定。
（11）Not owner
故障現(xiàn)象：
# mount -F nfs -o rw 192.168.115.120:/mnt/data /data
nfs mount: mount: /data: Not owner
故障原因：
這是Solaris 10版本掛載較低版本nfs時報的錯誤。
解決：
需要用-o vers=3參數(shù)
示例：
# mount -F nfs -o vers=3 192.168.115.120:/mnt/data /data
（12）RPC: Program not registered & retrying
故障現(xiàn)象：
nfs mount: 192.168.115.120: : RPC: Program not registered
nfs mount