accept

iptables**** 注意：1、iptables 默认：ACCEPT 2、注意方向 [root@10 /]# iptables -nvL OUTPUT --line //查看out方向的规则 [root@10 /]# iptables -L OUTPUT [root@10 /]# iptables -L INPUT INPUT 方向 [root@10 /]# iptables -L OUTPUT [root@10 /]# iptables -L OUTPUT --line [root@10 /]# iptables -D OUTPUT 1 [root@10 /]# iptables -A INPUT -s 192.168.10.20 -j DROP [root@10 /]# iptables -vnL INPUT --line [root@10 ~]# iptables -t filter -I OUTPUT -s 192.168.10.10 -j ACCEPT [root@10 ~]# iptables -t filter -I OUTPUT -d 192.168.10.10 -j ACCEPT //插入语句 -s原地址 -j 动作 //在out方向做 -s 192.168.10.112 to 192.168.10.10 来源： 51CTO 作者： AnydLJQ 链接：

目录 iptables 1 Firewall：隔离工具 1.1 Packets Filter Firewall 2 iptables/netfilter 2.1 netfilter 2.1 iptables 3 netfilter 3.1 hooks function 4 iptables 4.1 CHAINS：<钩子> 5 报文流向 6 tables 6.1 filter 6.2 nat 6.3 mangle 6.4 raw 6.5 优先级次序（由高而低） 6.6 功能<-->钩子 7 iptables规则的组成部分 7.1 匹配条件 7.2 处理动作： target 8 安装： 8.1 netfilter 8.2 iptables 8.3 程序包： 9 iptables命令 9.1 规则 9.2 匹配条件 9.3 处理动作 9.4 添加规则时需要考量的问题 10 iptabls命令的使用格式 10.1 规则管理格式 11 COMMANDS 链管理 规则 查看 计数器 匹配条件 基本匹配条件： 扩展匹配条件： 显式扩展 12 保存和载入规则 12.1 CentOS 6 12.2 CentOS 7开机自动生效规则 13 规则优化的思路 14 iptables/netfilter网络防火墙 15 NAT 15.1 target: 16 自定义链： 16.1 引用自定义链：

虽说阿里云推出了云盾服务，但是自己再加一层防火墙总归是更安全些，下面是我在阿里云vps上配置防火墙的过程，目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的规则 一、检查iptables服务状态 首先检查iptables服务的状态 [root@woxplife ~]# service iptables status iptables: Firewall is not running. 说明iptables服务是有安装的，但是没有启动服务。 如果没有安装的话可以直接yum安装 yum install -y iptables 启动iptables [root@woxplife ~]# service iptables start iptables: Applying firewall rules: [ OK ] 看一下当前iptables的配置情况 [root@woxplife ~]# iptables -L -n 二、清除默认的防火墙规则 #首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。 #这个一定要先做，不然清空后可能会悲剧 iptables -P INPUT ACCEPT #清空默认所有规则 iptables -F #清空自定义的所有规则 iptables -X #计数器置0 iptables -Z 三、配置规则

基于底层的tcp,udp编程,高层的应用层，http编程 底层的效率高，tcp可以保证数据库安全，效率高 socket（插座），网络编程，是点对点，每一个就是一个孔，中间链接起来，socket简单来讲就是端到端的编程，端对端，建立一个网络通讯的通道，从socket到scoket，从一个插座到另一个插座，建立一个数据通讯的通道 python也提高了socket.py的模块，是低级的网络编程接口，统一的socket编程接口，所有操作系统通用 进程间通讯IPC，远程调用RPC，最底层还需要socket开始 socket掌握TCP有链接协议,UDP无链接协议即可 UDP协议好处是短小，效率高，不保证数据发送出去有没有人收到 tcp和UDP编程都是端到端 所谓的C/S编程就是server，和client如何通讯 早期的QQ聊天是需要你选择服务器才可以使用的，只不过现在屏蔽了 client和server是用功能来分，其实是双向的，数据可以来回，一般把功能强大的，都链接指向的称为server，与它链接的称为client TCP的server端比较麻烦，首先需要创建socket对象， 路由管的是IP，到达应用层区分才靠端口。路由到通讯的主机，询问，这个IP上面的对应的端口，比如IP地址对应的TCP 8000是否有进程占用。 资源是分给进程的，所以线程是共享这个资源。 一个应用程序要用网络

一、缓存清空   浏览器默认支持缓存，在录制之前没有清空缓存，有可能某次访问直接从浏览器缓存中读取，而不会真的将请求发送给服务器，这样就不会录制到任何数据包。   这时需要清空缓存。 二、Overview 1、界面展示 2、字段含义介绍   （1）Display URL ：表示请求的地址   （2）Started At ：表示发送请求的时刻，为本地时间   （3）Connection Reuse ： 表示与服务器建立了连接，显示本地链接地址和端口号。   （3）HTTP Request ： 表示通过浏览器发出的请求。   （4）HTTP Response ：服务器返回的头和内容信息。 三、Time Chart 1、界面展示   主要以直观的方式——线条，显示各部分耗时情况 2、字段含义介绍   （1）Blocked（阻塞）：阻塞时间包括任何预处理时间（比如缓存查找）和等待网络连接的时间。浏览器显示一定数量的并发网络连接，如果已经达到极限后则后续请求需排队。   （2）DNS Lookup（DNS寻址）：DNS解析一个主机名得到一个IP地址所耗费的时   （3）Connect（连接）：连接是创建一个TCP连接到Web服务器（或代理）所需要的时间。   （4）Send（发送请求）：是指发送HTTP请求消息到服务器所需时间。   （5）Wait（等待服务器响应时间）

问题 Linux系统防火墙防止DOS攻击 解决方案 用Linux系统防火墙功能抵御网络攻击 虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS等。 通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长。比较彻底 的解决方法是添置硬件防火墙。不过，硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。 1. 抵御SYN SYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际 建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问。 Linux内核提供了若干SYN相关的配置，用命令： sysctl -a | grep syn 看到： net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 0 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5 tcp_max_syn_backlog是SYN队列的长度，tcp_syncookies是一个开关，是否打开SYN Cookie 功能，该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN 的重试次数。

动机： 在软件构建过程中，由于需求的改变，某些类层次结构中常常需要增加新的行为(方法),如果直接在基类中做这样的更改，将会给子类带来很繁重的变更负担，甚至破坏原有设计。 如何在不更改类层次结构的前提下，在运行时根据需要透明地为类层次结构上的各个类动态添加新的操作，从而避免上述问题？ 适用性： 1.一个对象结构包含很多类对象，它们有不同的接口，而你想对这些对象实施一些依赖于其具体类的操作。 2.需要对一个对象结构中的对象进行很多不同的并且不相关的操作，而你想避免让这些操作"污染"这些对象的类。Visitor使得你可以将相关的操作集中起来定义在一个类中。当该对象结构被很多应用共享时，用Visitor模式让每个应用仅包含需要用到的操作。 3.定义对象结构的类很少改变，但经常需要在结构上定义新的操作。改变对象结构类需要重定义对所有访问者的接口，这可能需要很大的代价。如果对象结构类经常改变，那么可能还是在这些类中定义这些操作较好。 该模式适用于某种操作是固定的，但是会存在不同的访问者，访问者的模式都是固定的（即方法都是来源统一的接口），只不过内部实现的方式与逻辑不同，但是访问的那一方基本固定。 （访问者需要访问Visit对象）（被访问者需要接收Accept访问者） 　　//访问者接口 interface IVistor { void Vist(Element element); } /

1. HTTP协议 1.1 特点 1.支持客户/服务器模式。 2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。 3.灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。 4.无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。 5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。 1.2 请求部分 http请求由三部分组成，分别是：请求行、请求头、请求体 1.2.1 请求行 请求行以一个方法符号开头，以空格分开，后面跟着请求的URI和协议的版本，格式如下：Method Request-URI HTTP-Version CRLF 1. Method表示请求方法； 2. Request-URI是一个统一资源标识符； 3. HTTP-Version表示请求的HTTP协议版本； 4. CRLF表示回车和换行（除了作为结尾的CRLF外

# Flush all policy iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z iptables -S INPUT #查看链策略，默认是filter表 # Enable ip forward echo "1" > /proc/sys/net/ipv4/ip_forward # module modprobe ip_conntrack_ftp modprobe ip_conntrack_tftp modprobe ip_nat_ftp modprobe ip_nat_tftp # # Default policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT # Enable lo interface iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # DNS lookup iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p udp -

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> netfilter/iptables 简述历史 kernel 2.0.x IPfwadm kernel 2.2.x IPchains kernel 2.4.x Netfilter kernel 3.13.x NFtables iptables基础 netfilter/iptables 分别是内核态模块和用户态工具，管理员通过iptables给netfilter变更规则 netfilter/iptables 预设的表和链 内置了五个表,分别是 filter, nat, mangle, raw, security 分别对应的内核模块是 /lib/modules/x.x.x/kernel/net/ipv4/netfilter/ 目录下的 <pre> iptable_filter.ko iptable_nat.ko iptable_mangle.ko iptable_raw.ko iptable_security.ko </pre> 预设了五个chain 分别是 POSTROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 可以用通过 iptable -t table_name -L 来查看,详见 man iptables iptables 的启用与停用 以 默认的filter为例