防火墙

tcp_wrappers是一个用来分析TCP/IP封包的软件，类似的IP封包软件还有iptables。一般Linux默认安装了tcp_wrappers。作为一个安全的系统，Linux本身有两层安全防火墙，通过IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观地监视系统的运行状况，阻挡网络中的一些恶意攻击，保护整个系统的正常运行，免遭攻击和破坏。如果通过了第一层防护，那么下一层就是tcp_wrappers了。通过tcp_wrappers可以实现对系统中提供的某些服务的开放与关闭、允许与禁止，从而更有小弟高正系统安全运行。 来源： CSDN 作者： datuzijean 链接： https://blog.csdn.net/datuzijean/article/details/104118163

准备篇： 一、配置防火墙，开启80端口、3306端口 CentOS 7 默认使用的是firewall作为防火墙，这里改为iptables防火墙。 1、关闭firewall： systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 yum install iptables-services #安装 vi /etc/sysconfig/iptables #编辑防火墙配置文件 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m

sudo systemctl stop firewalld 临时关闭 sudo systemctl disable firewalld ，然后reboot 永久关闭 sudo systemctl status firewalld 查看防火墙状态。 来源： https://www.cnblogs.com/python99/p/12242637.html

GRE概述： 通用路由封装（GRE: Generic Routing Encapsulation）是通用路由封装协议，可以对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在IPV4网络中传输。 简单来说就是，将原数据包进行封装，添加上GRE包头及公网包头，使原报文的 源IP地址及目的IP地址变为公网IP地址，使其能够被运营商的公网路由识别并进行传输。属于VPN 技术的一种，可对不同协议的报文进行完全透明的封装，不改变原报文的任何结构与数据。经常用于路由协议（如OSPF,RIP,BGP等）传输、模拟专线直连等场景。 GRE封装过程： 1、 Router A 连接Group 1 的接口收到X 协议报文后，首先交由X 协议处理 2、X 协议检查报文头中的目的地址域来确定如何路由此包 3、 若报文的目的地址要经过Tunnel 才能到达，则设备将此报文发给相应的Tunnel 接口 4、 Tunnel 口收到此报文后进行GRE 封装，在封装IP 报文头后，设备根据此IP 包的目的地址及路由表对报文进行转发，从相应的网络接口发送出去。 华三F100系列防火墙配置命令： -----创建隧道接口 interface Tunnel1 mode gre ---创建隧道接口1，模式为GRE description to-jz　　---备注信息 ip address 192.168.1.1 255

首先你要有一个xshell和一个装有ubuntu系统的虚拟机或者真实的主机。 Ubuntu默认不安装openssh服务器，所以若要使用ssh远程登录Ubuntu主机，首先需要安装ssh服务器。 首先，判断Ubuntu是否安装了ssh服务： 1、输入：#ps -e | grep ssh 如果服务已经启动，则可以看到“sshd”，否则表示没有安装服务，或没有开机启动 2、安装ssh服务，输入命令：#sudo apt-get install openssh-server 3、启动服务:#/etc/init.d/ssh start 4、本机测试是否能够成功登录：#ssh -l 用户名 本机ip 5、用远程工具进行远程连接，若拒接访问，则关闭防火墙或允许22端口。 一般完成上面的步骤就可以连上了。 桥接模式可以使路由器使用DHCP的方式分配IP，如果你的电脑所处的网络拓扑中没有路由器的话也是ping不通的。如果有路由器，因为防火墙导致无法连接，可以使用 sudo ufw disabled 命令禁用防火墙。 或者在防火墙开启的情况下开放22端口命令是 sudo ufw allow 22 来源： https://www.cnblogs.com/tjyo/p/5992065.html

运行环境： kali工具msf ip：192.168.2.136 windows server2008 ip：192.168.2.132 已经拿到目标服务器权限，开始后渗透 是administrator权限，为了后渗透方便我们需要把目标的服务器的杀毒，防火墙，以及一些防护软件给关闭了。 目标服务器防火墙开着，我们要使用我们得到的shell给它关闭 关闭windows防火墙需要管理员或system权限 我们使用上边netsh advfirewall set allprofiles state off命令来关闭 再看下服务器 然后再关闭windefebd服务 命令 net stop windefend 来源： CSDN 作者： JohelLiang 链接： https://blog.csdn.net/qq_34965596/article/details/104081425

防火墙技术和系统安全防护和优化 一、防火墙技术 ， 其最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 二、防火墙种类编辑 从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。 三、 web应用防火墙 WEB应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构，保障用户核心应用与业务持续稳定的运行。 WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看，WAF是一种防火墙的功能模块

在主动模式下，FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，然后开放N+1号端口进行监听，并向服务器发出PORT N+1命令。服务器接收到命令后，会用其本地的FTP数据端口（通常是 20）来连接客户端指定的端口N+1，进行数据传输。 在被动模式下，FTP库户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，同时会开启N+1号端口。然后向服务器发送PASV命令，通 知服务器自己处于被动模式。服务器收到命令后，会开放一个大于1024的端口P进行监听，然后用PORT P命令通知客户端，自己的数据端口是P。客户端收到命令后，会通过N+1号端口连接服务器的端口P，然后在两个端口之间进行数据传输。 总的来说，主动模式的FTP是指服务器主动连接客户端的数据端口，被动模式的FTP是指服务器被动地等待客户端连接自己的数据端口。 被动模式的FTP通常用在处于防火墙之后的FTP客户访问外界FTp服务器的情况，因为在这种情况下，防火墙通常配置为不允许外界访问防火墙之后主机，而 只允许由防火墙之后的主机发起的连接请求通过。因此，在这种情况下不能使用主动模式的FTP传输，而被动模式的FTP可以良好的工作。 来源： https://www.cnblogs.com/luckk/p/3829088.html

如下是具有双网卡的Linux服务器，数据入口网卡是eth0，数据出口网卡是eth1： 而Linux**防火墙**的工作区域为下图中的绿色阴影部分(防火墙的概念这里不赘述)： Linux系统中防火墙功能的两大角色：iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具，netfilter则是防火墙功能的具体实现，是内核空间的功能模块。所谓的iptables“控制”防火墙，就是用户利用iptables将防火墙规则设置给内核的netfilter功能模块，这中间涉及“四表五链”： “四表五链”其实是对用户设置规则的管理，是看待用户设置的规则的两个维度。举个例子，看图中深蓝色箭头的数据流向，数据包要到达用户层，需要经过PREROUTING链(路由前链)，INPUT链(输入链)，在这个链路中存放着用户设置的规则，这些规则根据功能不同又会被分组存放在RAW表、Mangle表和NAT表中。当数据包抵达PREROUTING链时，netfilter程序会依次从RAW表、Mangle表和NAT表中取出针对PREROUTING链的用户规则并执行相应操作；同理，INPUT链上的规则也会被分组存放在Mangle表和Filter表中，netfilter程序会依次从这两个表中取出针对INPUT链设置的用户规则并执行相应操作。（特别强调，转发的数据包不经过 OUTPUT

1、修改redis.conf文件，在bind 127.0.0.1 后面添加本机地址（若为阿里云服务器，请填写内网IP，不要写外网IP） 2、查看防火墙是否开放6379端口： firewall-cmd --zone=public --list-ports 如果结果中有 6379/TCP则直接跳至第4步。 3、若没有则执行如下命令添加开放端口：6379 firewall-cmd --zone=public --add-port=6379/tcp --permanent 然后重启防火墙： firewall-cmd --reload 再执行第2步查看是否开启成功 4、在阿里云里调整安全组规则，将6379端口打开 来源： https://www.cnblogs.com/xshan/p/12237644.html