图形管理工具
在各种版本的Linux系统中,几乎没有能让刘遄老师欣慰并推荐的图形化工具,但是firewall-config做到了。它是firewalld防火墙配置管理工具的GUI(图形用户界面)版本,几乎可以实现所有以命令行来执行的操作。
功能具体如下:
1:选择运行时(Runtime)模式或永久(Permanent)模式的配置。
2:可选的策略集合区域列表。
3:常用的系统服务列表。
4:当前正在使用的区域。
5:管理当前被选中区域中的服务。
6:管理当前被选中区域中的端口。
7:开启或关闭SNAT(源地址转换协议)技术。
8:设置端口转发策略。
9:控制请求icmp服务的流量。
10:管理防火墙的富规则。
11:管理网卡设备。
12:被选中区域的服务,若勾选了相应服务前面的复选框,则表示允许与之相关的流量。
13:firewall-config工具的运行状态。
SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet。该技术的应用非常广泛,甚至可以说我们每天都在使用,只不过没有察觉到罢了。比如,当我们通过家中的网关设备(比如无线路由器)访问本书配套站点www.linuxprobe.com时,就用到了SNAT技术。
在下图1的局域网中有多台PC,如果网关服务器没有应用SNAT技术,则互联网中的网站服务器在收到PC的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的IP地址,所以PC也就收不到响应数据包了。在下图2所示的局域网中,由于网关服务器应用了SNAT技术,所以互联网中的网站服务器会将响应数据包发给网关服务器,再由后者转发给局域网中的PC。
图1
图2
iptables命令:很麻烦。在图形界面Masquerading页签中勾选Masquerade zone复选框即可
服务的访问控制列表
TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。
TCP Wrappers服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。
TCP Wrappers服务的控制列表文件配置起来并不复杂,常用的参数如表所示。
在配置TCP Wrappers服务时需要遵循两个原则:
编写拒绝策略规则时,填写的是服务名称,而非协议名称;
建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。
实例:先编辑/etc/host.deny文件,拒绝访问本机sshd服务的所有流量;再编辑/etc/hosts.allow文件,允许指定网段访问本机sshd服务。
vim /etc/hosts.deny #编辑/etc/hosts.deny文件
sshd:* #禁止所有流量访问本机sshd服务
ssh 192.168.10.10 #尝试访问本机sshd服务,发现就算是本机自身也不能访问本机sshd服务
vim /etc/hosts.allow #编辑/etc/hosts.allow文件
sshd:192.168.10.0/24 #允许指定网段访问本机sshd服务
ssh 192.168.10.10 #尝试访问本机sshd服务,发现可以了
实验操作
先配置虚拟机网卡的IP地址,查询可否ping通。
ping命令可以行通之后使用host.deny 禁用
sshd服务名称 ,编辑时在下一行编辑并删除前面的#号使命令可以执行
使用ping 命令查询是否可以访问
在使用vim hosts.allow
设置11频段的ip可以访问,在尝试访问虚拟机ip
试验成功!
创建网络会话
配置网络服务
配置网卡的4种方法:
修改网卡配置文件/etc/sysconfig/network-scripts/ifcfg-enoXXXXXXXX,配置完重启网卡服务;
nmtui(旧版UI界面)
nm-connection-editor(新版UI界面)
Linux系统右上角电脑图标,打开并做相应编辑。
配置网络会话
RHEL和CentOS系统默认使用NetworkManager来提供网络服务,这是一种动态管理网络配置的守护进程,能够让网络设备保持连接状态。可以使用nmcli命令来管理Network Manager服务。nmcli是一款基于命令行的网络配置工具,功能丰富,参数众多。
RHEL7支持网络会话:将网卡配置文件保存成模版实现快速切换。该技术旨在不同的使用环境下实现网络配置信息的快速切换。
用nmcli命令可以按照“connection add con-name type ifname”的格式来创建网络会话。
具体参数意义:
con-name:网络会话名称
type:网络类型
ifname:网卡名称
autoconnect :网络会话默认是否自动激活,yes是no否
ip4:ip地址及子网掩码
gw4:网关
add/delete:添加/删除
up/down:启用/禁用
实例:创建一个指定ip地址和网关的网络回话company(第2行,要指明ip地址和网关)和一个自动获取ip地址的网络回话house(第3行,想从外部dhcp自动获得ip地址,不需要手动指定,因此部分参数无需配置)。
nmcli connection show #查看已有的网络会话,DEVICE一列有值的那行说明那个会话在启用
nmcli connection add con-name company ifname eno16777756 autoconnect no type ethernet ip4 192.168.10.10/30 gw4 192.168.10.1
nmcli connection add con-name house type ethernet ifname eno16777756
nmcli connection show #查到刚创建的会话也在这里头了
nmcli connection up house #启用网络会话house
nmcli connection show #可以看到名为house的网络会话DEVICE列有显示对应的网卡名称
nmcli connection down house #关闭网络会话house
nmcli connection show #可以看到此时所有网络回话DEVICE列均没有值,说明没有任何会话在启用状态
nmcli connection delete house #删除网络会话house
nmcli connection show #查看创建的所有网络会话,剩下原有的eno16777756和company
实验操作:
配置名称:company home
[root@lizhiqiang Desktop]# nmcli connection add con-name company ifname eno16777736 autoconnect no type ethernet ip4 192.168.11.10/30 gw4 192.168.11.1
Connection 'company' (55b2e939-2fc9-41c1-9ca5-c2b1ebd44bf8) successfully added.
[root@lizhiqiang Desktop]# nmcli connection add con-name home ifname eno16777736 type ethernet
Connection 'home' (d2cfbbaa-fb76-408d-ad06-ac19f3802562) successfully added.
[root@lizhiqiang Desktop]# nmcli connection up home
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/4)
改桥接模式并切换home网卡,查看网页是否可以访问
成功访问网页
删除网卡并查看
[root@lizhiqiang Desktop]# nmcli connection delete company
[root@lizhiqiang Desktop]# nmcli connection delete home
[root@lizhiqiang Desktop]# nmcli connection show
NAME UUID TYPE DEVICE
eno16777736 1965aeaf-47d6-4043-8dd8-1929fc6a20c4 802-3-ethernet
试验成功!
绑定两块网卡
网卡绑定技术:对2块以上网卡实施绑定技术,在正常工作中网卡会共同传输数据,网络传输速度更快;当其中一块网卡出现故障,另一块网卡会立即自动顶替,保证网络传输不间断。
实例:按如下步骤对两块网卡实施网卡绑定技术。
1.确保有2块以上网卡设备
2.配置网卡设备的绑定参数,这些原本独立的网卡设备要被配置成从属网卡(SLAVE,从属网卡不能有自己的ip地址信息),以支持网卡绑定。随后创建主网卡配置文件,编辑ip地址等网卡参数
3.让Linux内核支持网卡绑定驱动。常见网卡绑定驱动的模式:
mode0(平衡负载模式):平时两块网卡均工作,且自动备援,但需要在与服务器本地网卡相连的交换机设备上进行端口聚合来支持绑定技术。
mode1(自动备援模式):平时只有一块网卡工作,在它故障后自动替换为另外的网卡。
mode6(平衡负载模式):平时两块网卡均工作,且自动备援,无须交换机设备提供辅助支持。
4.重启网络服务后网卡绑定操作即完成
cd /etc/sysconfig/network-scripts/ #切换到网卡配置文件所在目录
vim ifcfg-eno16777756 #修改网卡eno16777756配置参数
TYPE=Ethernet #网卡类型为以太网
BOOTPROTO=none #地址分配模式为默认
DEVICE=eno16777756 #网卡设备名称为eno16777756
ONBOOT=yes #是否启用网卡(yes启用no禁用)
USERCTL=no #不允许用户通过命令行控制
MASTER=bond0 #主网卡设备名称(与主网卡绑定)
SLAVE=yes #是否为从属网卡(yes是no否)
vim ifcfg-eno33554972 #修改网卡eno33554972配置参数(没有配置文件就创建)
TYPE=Ethernet
BOOTPROTO=none
DEVICE=eno33554972
ONBOOT=yes
USERCTL=no
MASTER=bond0
SLAVE=yes
vim ifcfg-bond0 #创建主网卡bond0的配置文件,编辑配置参数
TYPE=Ethernet
BOOTPROTO=none
DEVICE=bond0
ONBOOT=yes
USERCTL=no
IPADDR=192.168.11.13 #ip地址
PREFIX=24 #子网掩码,相当于255.255.255.0
DNS=192.168.11.1 #DNS地址
NM_CONTROLLED=no #NM(Network Manager)让网卡保证能够运行并对网卡进行基本管理。网卡绑定是高级操作,必须让网卡不再受NM控制!
vim /etc/modprobe.d/bond.conf #创建一个用于网卡绑定的驱动文件,使绑定后的主网卡bond0支持绑定技术
alias bond0 bonding #让bond0网卡设备支持绑定技术
options bond0 miimon=100 mode=6 #定义网卡以mode6模式绑定,且出现故障时自动切换的时间为100毫秒
systemctl restart network #重启网卡服务
实验操作
先添加新的网卡改为主机模式,
[root@lizhiqiang Desktop]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736
[root@lizhiqiang Desktop]# vim /etc/sysconfig/network-scripts/ifcfg-eno33554992
[root@lizhiqiang Desktop]# vim /etc/sysconfig/network-scripts/ifcfg-bond0
[root@lizhiqiang Desktop]# vim /etc/modprobe.d/bond.conf
[root@lizhiqiang Desktop]# systemctl restart network
编辑内容依次如下
操作完毕后重启服务,并删除副网卡测试实验是否成功
如果只有一次超时或者时间过长说明mode6 成功
1839
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
