00:00
大家好。欢迎大家继续收看上硅谷的Linux云端视频,我是汪洋老师。之前的课程中呢,我们已经给大家去介绍了我们的防火墙的一些规则,匹配顺序啊,包括我们的书写规则,对吧,那这节课我们继续往后看,也是它的备份以及还原操作。那首先备份和还原了我们的IP tables,相关的命令已经给我们对应的工具了,一个叫IP tables save,一个叫IPS story。This story。那我们依次把它给演示一下。首先我们先看一下备份吧。那现在我们先把防火墙给开启,因为这是又是一个还原的环境了,对吧,开启防火墙。那ipw里默认会有一些规则对吧,我们把它给清空。那ipws杠大家我们看到这里面已经没有了,对吧,都已经没有了,好,那现在我要写一条规则,比如IP tables杠,TT。别了,我们就在filter表里写吧,杠大a input链杠PTCP协议杠杠de portt,八零端口杠JIPT,对吧?好,那这样的话,这是不是就写了一条规则了?
01:09
如果我想让它保存到本机的话,那是不是就是service IP save数据化保存对吧?那你不管是怎样重启我们的IP服务,还是重启我们当前的操作系统,这套规则都不会失效,肯定是没有问题的,对吧?如果这里我想把它导出,并且导入到其他相关机器的话,那我这里应该怎么办呢?我们可以借助命令对吧?第一个叫IP tables save。加一个我们的重新项,把它改写到1.ip看一下。cut1.ip,我们可以看到这条规则的文件和我们之前在我们的ecr的S下的IP文件是不是长得非常类似,或者你可以理解为是一样。只不过前面给了一个标题对吧?是用ipws的C命令导出的,仅此而已。那我们现在把我们的规则给清空,那现在没有规则对吧,如果我想还原的话,用的就是IPS杠,This story。
02:08
好。注意注意把这个重定向给改过来,对吧,还原的。那IP杠大,我们可以看到这条规则是不是就被还原了,这就是我们官方的。备份以及还原操作需要大家注意一下。那还要给大家介绍的是什么呢?介绍的就是我们的。怎么把圣27给他改到我们的?IP上对吧。我们先把圣安七打开。
03:07
我们去连接一下我们的幺幺。也就是我们现在升27对吧,我们可以cut一下ETC下的red。7.6对吧,好,那我们现在默认的防火墙是我们的。我们可以看到对吧,那如果我想把它改成我们的IP10的话,第一步c controlt stop fair。第二部c control disable,这是我们的关闭以及永久关闭,对吧,甚至你可以RPM。杠一杠杠,No Dis,我们把这个fair给卸了。用到。好,卸载完成以后呢,我们接下来去安装我们的IP tap的工具命令,命令工具它叫IP,这里的多一个S,需要注意一下。
04:15
安装完成以后,C control start appps。System control enable IP tables。然后我们ipw杠大,我们可以看到这些默认规则,是不是熟悉的规则又回来了,那我们可以把它清空,比如ipw的杠大,A input-PTCP杠杠deportt,八零杠p p t ipws杠大,我们可以看到诶。书写成功了对吧,如果想持续化保存还是IPC。那我们再去重启我们的防火墙。那我们再去看。还是有的,对吧,这就是我们的持久化保存防火墙的方式,以及怎么把我们的深度I7改成我们的IP的规则,没问题吧,这样的话是不是已经改更改过来了。
05:08
其实你会发现,这些我们的防火墙规则书写起来还是比较麻烦的,对吧?甚至你有可能把自己给挤掉。假设你现在把这个默认规则给它改成我们的什么,比如我们现在改一下IP杠大p input。Job。你会发现,诶,为什么,我为什么断了,原因是什么?22端口是不是不在八零里,那肯定被拒绝了呀。如果你这个服务器在远程的话。如果是云服务器,你需要登录到云控制台,对吧,那如果是一些什么IDC厂商的话,并且是在美国的那些ID厂的话,你是不是只能等到他上班了,这是非常严重的一件事情。那本期还好,我故意给大家演示的对吧,那我们再还原回去。那所以最好的方案应该是怎样的呢?我们先调试好在一台虚拟机里,比如我开一台虚拟机,把我的需求给调试好,调试好以后我把它改成我们的。
06:11
脚本。我在这端再去运行脚本,让他批量化的帮我们去添加防火墙,这个脚本呢,是我之前在工作中使用到的一个脚本,可以到时候发给大家对吧,共享给大家,大家可以使用这个脚本去做。给大家简单介绍一下脚本,首先把我们的当前呢,我们的命令呢,是吧,系统的变量给改过来,对吧?有些人是不是经常改一些变量,可以造成我们的脚本不能正常使用,第二个简测是不是我们的圣度安置系列。然后呢?获取SSH的端口,因为我们在生态环境中,如果是公网服务器的话,不一定使用的S22,直接暴露给公网的,不一定使用的是二二端口,然后DNS获取DNS对吧。变设定了一个变量ipt就等于是下的IPS。Delete,也就是删除我们的所有的电脑规则。
07:02
Flash刷新。然后呢?设置默认策略,Input是job job output。Accept放行,我来的accept。对我们的添加第一条规则了,对吧,第一条规则了start拉和拉,也就是我们有相关联的,和我们的有数据传输的放行。看到了吗?Output,有相关联的放行好,这里是个非常重,非常有特殊的这么一条规则,这是另一个模块,叫connection limit。也就是我们的连接限制在我们的时之内,对吧,时之内。也就意味着这条规则是什么含义呢?就是当单个IP的连接数在十个,最大为十个,超过十个就会怎么办?把多余的给拒绝掉,这可以比较简单的防御我们的DOS攻击。DOS攻击。那当然正常情况下建议这条规则大家不要去添加,万一你们公司是一个网络游戏的话,那在一个网吧里,它基本上使用的是不是同一个公网带宽啊,对吧,在这种情况下可能会被拒绝,需要大家注意一下,这个根据你的生态环境。
08:09
需不需要去添加,并不是固定的,需要大家特殊注意哈,好。底下是不是放行一些我们的对应的端口号,当然你需要什么端口放行什么端口,对吧?这个脚本是需要大家自己去改的,需要大家注意一下,好,放行默认端口,放行S的端口,放行P的对吧?放行DNS的保存规则,重启我们的IP服务,这就是一个简单的脚本,我们看一下能不能生效。接下来我们看下能不能生效对吧,首先VM。1.ips,我们随便写个名字,打开以后我去把它复制过来。张过来保存退出,然后拜洗1.ipboss。IP刚大家我们可以看到规则是不是都已经生效了,对吧,这就是我们在我在生态环境中比较常用的一个脚本。大家呢,也可以根据这个脚本稍微的更改,进行我们的对应的操作,对吧?好,建议大家使用这种方式去配置我们的防火墙,尤其是。
09:07
放在我们的网络中的,或者放在我们线上的这么一些服务器,我建议大家一条一条的去添加,需要大家注意一下。那这个呢,就是我们的一个防火墙的课程。需要大家注意一下,好好的把它给吸收一下,非常非常重要,它也是我们的难点,对吧,还是比较。难理解的。那这节课呢,我们就先讲到这里,下节课我们再见。
我来说两句