icmp

1、iptables -L 查看filter表的iptables规则，包括所有的链。 filter表包含INPUT、OUTPUT、FORWARD三个规则链 。 说明：-L是--list的简写，作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明： 表名一共有三个：filter,nat,mangle，如果没有指定表名，则默认查看filter表的规则 列表（就相当于第一条命令）。 举例：iptables -L -t filter 3、iptables -L [-t 表名] [链名] 这里多了个链名，就是规则链的名称。 说明： iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五个规则链 。 举例：iptables -L INPUT 注意： 链名必须大写 。在Linux系统上，命令的大小写很敏感。 4、iptables -n -L 说明：以数字形式显示规则。如果没有-n，规则中可能会出现anywhere，有了-n，它会变成0.0.0.0/0 5、iptables -nv -L 说明：你也可以使用“iptables -L -nv”来查看，这个列表看起来更详细，对技术人员更友好，呵呵。 如果想删除iptables规则我们可以如下操作 删除用-D参数 删除之前添加的规则（iptables -A

Iptables防火墙规则使用梳理 iptables是组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中，经常会设置iptables防火墙规则，用来加固服务安全。以下对iptables的规则使用做了总结性梳理： iptables首先需要了解的： 1） 规则概念 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。 当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行(accept),拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作是添加,修改和删除等规则。 其中： 匹配（match）：符合指定的条件，比如指定的 IP 地址和端口。 丢弃（drop）：当一个包到达时，简单地丢弃，不做其它任何处理。 接受（accept）：和丢弃相反，接受这个包，让这个包通过。 拒绝（reject）：和丢弃相似，但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定

iptables是组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中，经常会设置iptables防火墙规则，用来加固服务安全。以下对iptables的规则使用做了总结性梳理： iptables首先需要了解的： 1）规则概念 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。 当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行(accept),拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作是添加,修改和删除等规则。 其中： 匹配（match）：符合指定的条件，比如指定的 IP 地址和端口。 丢弃（drop）：当一个包到达时，简单地丢弃，不做其它任何处理。 接受（accept）：和丢弃相反，接受这个包，让这个包通过。 拒绝（reject）：和丢弃相似，但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定，也可以自动产生。 目标（target）

（一）简述： Zabbix在监控网络的时候需要查看ping包的丢失率和响应时间，而zabbix模块也有改模块，名称为： Template Network ICMP Ping。监控项如下图： 如果没有安装fping的话，使用该模块的服务端或代理端日志会出现如下报错：/usr/sbin/fping: [2] No such file or directory。解决的方法就是在服务端或代理端安装fping。 （二）fping安装 1，下载fping并源码安装 [root@HTD-CATIT install]# wget http://www.fping.org/dist/fping-4.0.tar.gz [root@HTD-CATIT install]# tar xf fping-4.0.tar.gz [root@HTD-CATIT install]# cd fping-4.0 [root@HTD-CATIT fping-4.0]# ./configure --prefix=/usr/local/fping/ [root@HTD-CATIT fping-4.0]# make && make install 2，修改fping权限 [root@HTD-CATIT fping-4.0]# chown root:zabbix /usr/local/fping/sbin/fping [root

1.1 企业中安全优化配置原则 尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务. 大并发的情况，不能开iptables,影响性能，利用硬件防火墙提升架构安全 1.1.1 生产中iptables的实际应用 主要应用方向 1、主机防火墙（filter表的INPUT链）。 2、局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。 3、端口及IP映射(nat表的PREROUTING链)，硬防的NAT功能。 4、IP一对一映射。 其他说明： ①iptables是基于内核的防火墙，功能非常强大，基于数据包的过滤！特别是可以在一台非常低的硬件配置下跑的非常好。 　　注： iptables主要工作在OSI七层的2.3.4层。七层的控制可以使用squid代理+iptables。 ②iptabes：生产中根据具体情况，一般，内网关闭，外网打开。大并发的情况不能开iptables，影响性能，iptables是要消耗CPU的，所以大并发的情况下，我们使用硬件防火墙的各方面做的很仔细。selinux：生产中也是关闭的。可以做ids的入侵检测。 ③实际生产中尽可能不给服务器配置外网IP。可以通过代理转发。比如，nagios就不需要外网。 ④并发不是很大的情况下，再外网的IP环境，开防火墙。

wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件，可以截取各种网络数据包，并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括： 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。过滤器包含两种类型，一种是抓包过滤器，就是抓取前设置过滤规则。另外一种是显示过滤器，就是在数据包分析时进行过滤数据使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。具体规则和实例可以查看正文。 Wireshark软件安装 软件下载路径： wireshark官网 。按照系统版本选择下载，下载完成后，按照软件提示一路Next安装。 说明：如果你是Win10系统，安装完成后，选择抓包但是不显示网卡，下载win10pcap兼容性安装包。下载路径： win10pcap兼容性安装包 Wireshark 开始抓包示例 先介绍一个使用wireshark工具抓取ping命令操作的示例，让读者可以先上手操作感受一下抓包的具体过程。 1、打开wireshark 2.6.5，主界面如下： 2、选择菜单栏上Capture -> Option，勾选WLAN网卡

目录 测试环境 VMware虚拟机安装 CentOS安装 CentOS设置 CentOS测试 测试环境 操作系统：Windows 10, 64-bit 虚拟机： VMware® Workstation 14 Pro（版本号：14.0.0 build-6661328） Linux镜像版本： CentOS-7-x86_64-DVD-1804.iso VMware虚拟机安装 1、按照软件提示界面安装软件，安装过程就不做说明了； 附上软件注册机： https://github.com/PengShuaixin/ToolsLibrary/tree/master/Vmware 2、打开软件----编辑----虚拟网络编辑器 这里可能无法设置，点一下“更改设置”获取管理员权限即可，如图： 3、在这里我们将虚拟机路由网关设置成192.168.33.1，按下图设置： 先将子网IP设置成192.168.33.0，子网掩码：255.255.255.0，然后设置“NAT设置” NET设置参数如下： 4、打开控制面板----网络和 Internet----网络连接，设置VMnet8的IPv4协议； CentOS安装 1、新建一个虚拟机，选择自定义安装，根据提示根据自己的实际情况选择配置； 这里选择自己镜像文件的路径， 根据自己的喜好命名虚拟机、选择虚拟机文件路径

本次是一个 Firewalld 的基础操作实例，利用 Firewalld 图形操作界面进行访问控制操作。 实验拓扑 需求分析 首先拓扑涉及到两个区域，这里使用 work 和 public 区域，分别做相应的规则。 1. work 区域禁止 icmp ，允许 192.168.100.101 访问 SSH 服务，同时允许访问 Apache 服务。 2. public 区域禁止 icmp ，禁止 SSH 服务，允许访问 Apache 服务。 分析方法：基于 Firewalld 的数据处理流程，可参考 上一篇博客 。 操作过程 基础准备 server 安装 Apache 服务，默认已存在 SSH 服务。 [root@server ~]# yum install -y httpd [root@server ~]# echo "This is test page , all host can access" > /var/www/html/index.html [root@server ~]# systemctl start httpd.service 默认不关闭防火墙的情况下，可以 ping 、 ssh ，不可以访问 apache 。 [root@host01 ~]# ping -c4 192.168.100.100 PING 192.168.100.100 (192.168.100.100

https://blog.51cto.com/youdong/1963416 选择模式4，并且layer选择3+4，交换机要配置LAG 一． 传统的bond方式 （1）bond几种主要模式介绍 ü mode 0 load balancing (round-robin)模式 ，需要交换机端支持，支持多端口负载均衡，支持端口冗余，slave接口的mac相同 ü mode 1 active-backup模式，最大支持两个端口，一主一备，同一时间只有一块网卡工作，不支持抢占 ü mode 4 采用IEEE802.3ad方式的动态协商机制聚合端口，需要交换机开启lacp,并且配置为主动（active）模式 ü mode5和mode6 类似mode1的主备模式，不常用 （2） bond配置 ü 需要关闭NetworkManager服务 [root@docker ~]# systemctl stop NetworkManager [root@docker ~]# systemctl disable NetworkManager ü 查看内核是否加载bounding [root@docker ~]# lsmod|grep bonding bonding 141566 0 如果没有加载bonding可以通过以下命令加载 modprobe --first-time bonding ü