使用四表的时候必须要小写
四表>>
raw 追踪数据包
mangle 对数据包打标记
nat 地址转换
filter 数据包过滤
使用五链时必须大写
五链>>
PREROUTING 在路由之前
INPUT 数据包进入时
FORWARD 数据包经过时
OUTPUT
iptables
动作>>
-L 查看防火墙规则
-F 清空表的规则
-I 插入规则(如果不指定插入那个链第几条默认是插入第一条 在链名后加入序号指定位置)
-R 修改规则
-D 删除指定表的规则
-P 修改默认策略 DROP ACCEPT
-A 添加规则
匹配条件>>
-t 指定查看表
-p 指定协议 tcp udp icmp 在/etc/services 和/etc/protocols查看协议对应的端口
-s 源ip地址或网段
-d 目的ip地址或者网段
-j 目标动作 REJECT拒绝 DROP丢弃 ACCEPT允许 (在删除自定义链的时候是指定自定义的名称)
--line 显示规则的序号
--dport 目的端口
--sport 源端口
李洋访问我,我是李阳的目标,李阳是源
我访问李阳,李阳是我的目的,我是源
扩展匹配>>
-m 后面+扩展匹配
-m multiport 多端口
-m iprange 多ip地址
目标动作>>
ACCEPT 允许数据包通过(默认策略)
DROP 直接丢弃数据包,不给任何回应
REJECT 拒绝数据包,必要时会给数据发送端一个响应
SNAT 源地址转换,可以解决內网用户用一个公网IP上网问题 一般都是在POSTROUTING链上
DNAT 目标地址转换 一般都是在PREROUTING链上
REDIRECT 做端口映射(扩展)--to-destination 加ip:端口
iptables语法>>
iptables -t 表名 动作 链名 匹配动作 -j 目标动作
os模型
应用层 数据 产生数据(http,telnet,https,oicq(qq协议))
表示层 数据格式
会话层 会话的建立和维护
传输层 tcp/udp 数据+tcp
网络层 路由选路 数据+tcp+ip(s,d)
数据链路层 mac地址烧在网卡上 数据+tcp+ip+mac(s,d)
物理层 比特流
dhcp 默认端口是68
https 默认端口是443
dns 默认端口是53
dstat 全能的系统监控工具
简单内存调优
释放page cache
echo 1 > /proc/sys/vm/drop_caches
释放文件节点inodes缓存和目录缓存dentries
echo 2 > /proc/sys/vm/drop_caches
释放page cache dentries inodes缓存
echo 3 > /proc/sys/vm/drop_caches
vmstat 查看处理器中的数据:
swpd 表示切换到内存交换区的内存数量
free 表示当前空间的物理内存数量
buff 表示buffers cache的内存数量,一般对块设备的读写才缓存
cache 表示page cached的内存数量
文件上传:
低:上传任意文件,图片 木马/公共webshell(中国菜刀 进行文件管理,连接数据库,网站扫描,网站爬取)
中:mime类型限制(image/jpeg)正常的图片类型 如果想上传木马 就要用到brupsuite(kali中):可以进行代理,拦截,网站爬取,漏扫。这里用到的是代理和拦截功能。
高:进行文件后缀的限制之能将图片夹杂这木马上传服务器
文件包含:
本地文件包含LFI(Local File Inclusion) 当被包含的文件在服务器本地时,就形成本地文件包含 远程文件包含RFI(Remote File Inclusion) 当被包含的文件在第三方服务器时,叫做远程文件包含 前提是这两个服务器可以互相通信ping通安全:
最后编辑于 :
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
