使用四表的时候必须要小写
四表>>
raw 追踪数据包
mangle 对数据包打标记
nat 地址转换
filter 数据包过滤
使用五链时必须大写
五链>>
PREROUTING 在路由之前
INPUT 数据包进入时
FORWARD 数据包经过时
OUTPUT
iptables
动作>>
-L 查看防火墙规则
-F 清空表的规则
-I 插入规则(如果不指定插入那个链第几条默认是插入第一条 在链名后加入序号指定位置)
-R 修改规则
-D 删除指定表的规则
-P 修改默认策略 DROP ACCEPT
-A 添加规则
匹配条件>>
-t 指定查看表
-p 指定协议 tcp udp icmp 在/etc/services 和/etc/protocols查看协议对应的端口
-s 源ip地址或网段
-d 目的ip地址或者网段
-j 目标动作 REJECT拒绝 DROP丢弃 ACCEPT允许 (在删除自定义链的时候是指定自定义的名称)
--line 显示规则的序号
--dport 目的端口
--sport 源端口
李洋访问我,我是李阳的目标,李阳是源
我访问李阳,李阳是我的目的,我是源
扩展匹配>>
-m 后面+扩展匹配
-m multiport 多端口
-m iprange 多ip地址
目标动作>>
ACCEPT 允许数据包通过(默认策略)
DROP 直接丢弃数据包,不给任何回应
REJECT 拒绝数据包,必要时会给数据发送端一个响应
SNAT 源地址转换,可以解决內网用户用一个公网IP上网问题 一般都是在POSTROUTING链上
DNAT 目标地址转换 一般都是在PREROUTING链上
REDIRECT 做端口映射(扩展)--to-destination 加ip:端口
iptables语法>>
iptables -t 表名 动作 链名 匹配动作 -j 目标动作
os模型
应用层 数据 产生数据(http,telnet,https,oicq(qq协议))
表示层 数据格式
会话层 会话的建立和维护
传输层 tcp/udp 数据+tcp
网络层 路由选路 数据+tcp+ip(s,d)
数据链路层 mac地址烧在网卡上 数据+tcp+ip+mac(s,d)
物理层 比特流
dhcp 默认端口是68
https 默认端口是443
dns 默认端口是53
dstat 全能的系统监控工具
简单内存调优
释放page cache
echo 1 > /proc/sys/vm/drop_caches
释放文件节点inodes缓存和目录缓存dentries
echo 2 > /proc/sys/vm/drop_caches
释放page cache dentries inodes缓存
echo 3 > /proc/sys/vm/drop_caches
vmstat 查看处理器中的数据:
swpd 表示切换到内存交换区的内存数量
free 表示当前空间的物理内存数量
buff 表示buffers cache的内存数量,一般对块设备的读写才缓存
cache 表示page cached的内存数量
文件上传:
低:上传任意文件,图片 木马/公共webshell(中国菜刀 进行文件管理,连接数据库,网站扫描,网站爬取)
中:mime类型限制(image/jpeg)正常的图片类型 如果想上传木马 就要用到brupsuite(kali中):可以进行代理,拦截,网站爬取,漏扫。这里用到的是代理和拦截功能。
高:进行文件后缀的限制之能将图片夹杂这木马上传服务器
文件包含:
本地文件包含LFI(Local File Inclusion) 当被包含的文件在服务器本地时,就形成本地文件包含 远程文件包含RFI(Remote File Inclusion) 当被包含的文件在第三方服务器时,叫做远程文件包含 前提是这两个服务器可以互相通信ping通安全:
最后编辑于 :
©著作权归作者所有,转载或内容合作请联系作者
- 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
- 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
- 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
