贴一张有道云笔记链接:http://note.youdao.com/noteshare?id=be06b971d90b58b22d552738cc476a5b
配置防火墙
- iptables:RHEL5、6、7.0、7.1,之后的版本就没有了
- firewalld - firewall-cmd
- firewall-config(考试推荐用这个)
- tcp_wrappers
(四选一)
配置网卡
- vim编辑文件
- nmtui(nmtui) ➡ setup(5/6)
- nm-connection-editor基于图形化界面的配置工具
- 图形化界面:设置
注意重启服务,以及设置开机自启动
配置网卡实验(vim):
ifconfig
查看网卡配置信息
vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
实验前对真机设置:
虚拟机网络模式设置为仅主机模式
点开win10网络适配器设置-网络连接-双击VMnet1-属性-双击Internet协议版本4(TCP/IPv4)-设置(设置如下图)-确认
VMnet1:仅主机模式
VMnet8:nat模式
开始:
vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
IPADDR0=192.168.10.20
打开win-cmd:ping 192.168.10.20 -t
ping 不通
systemctl restart network
再ping就通了
这两个选项表示ONBOOT=yes
防火墙
forward不处理,转发给防火墙或其他服务器处理
- iptables工作不考
- firewall-cmd
- firewall-config
- tcp_wrappers
(四选一)
防火墙规则:
- 防火墙策略从上往下做匹配的
- 一旦有一条匹配到了则执行规则不会再往下匹配
匹配到了有四个做法:
- 允许 ACCEPT
- 拒绝DROP(无反馈,丢包)
- 拒绝REJECT(有反馈)
- 日志LOG
考试一定要使用REJECT
iptables配置防火墙
ipatables -L显示所有的规则
ipatables查看是否有ipatables
iptables -F清空当前所有防火墙规则
iptables -D仅删除某一条防火墙规则
ipatables -I插入(优先级最高)
ipatables -A插入(优先级最低)
iptables -I INPUT -p icmp -j REJECT
INPUT输入
-p协议号码
-j动作,相当于数学题的“解”
iptables -D INPUT 1
删除第一条输入的规则
看不到规则第几条,只能去数
ipatables -I INPUT -p icmp -j DROP
没有反馈,显示请求超时
telnet、ftp、http不安全(用的明文传输),putty不能保存,ssh最好用,xshell要找免费版本(或者破解版)
真网站netsarang.com——假网站xshellcn.com
ssh能不能链接成功来看自己设置防火墙规则是否生效
示例
iptables -I INPUT -p tcp --dport=22 -j REJECT
拒绝所有22端口的流量
iptables -I INPUT -p tcp --dport=22 -s 192.168.10.1 -j ACCEPT
-s来源地址
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=22 -j ACCEPT
对ip段设置
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=1000:2000 -j ACCEPT
对端口号段进行设置,用冒号间隔,对于不连续的端口,用逗号间隔
firewalld-cmd配置防火墙
firewall-cmd
firewall-config
zone 区域 理解为模版的意思 public
示例
firewall-cmd --(按两下tab键)
列举出来所有可以使用的操作
firewall-cmd --get-default-zone
public
firewall-cmd --set-default-zone=dmz
切换区域
两个模式:
runtime当前生效模式,重启实效(配置界面默认是runtime)
permanent当前不生效,而重启后生效(firewall-cmd --permanent查询才是在permanent模式下)
示例:
-
- firewall-cmd --reload重启防火墙(配置完了以后都需要重启一下)
- firewall-cmd --panic-on紧急模式开启,断开所有的网络连接。off是关闭
- firewall-cmd --zone=public --query-service=ssh查询ssh服务是否被允许
- firewall-cmd --permanent --zone=public --add-service=http加入http服务,使其被允许 。 permanent使其重启后生效
- firewall-cmd --zone=public --remove-service=https移除https服务,使其不被允许
- firewall-cmd --zone=public --add-port=8000-9000/tcp对端口号段进行配置
- firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10所有访问888端口号都可以实现访问22端口号的效果
rich rule富规则(副规则)
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.1" service name="ssh" reject"当一个主机是192.168.10.1访问本地ssh协议将其拒绝
firewalld-config配置防火墙
如何知道某个端口对应的是什么服务
cat /etc/services | grep 8080
红帽tcp和udp判两遍
options-reload
tcp_wrappers
OSI数据链路层
OSI应用层:基于服务名称
/etc/hosts.allow天使文件:白名单
/etc/hosts.deny恶魔文件:黑名单
实验恶魔文件:
vim /etc/hosts.deny
sshd:192.168.10.(官方推荐)
sshd:192.168.10.0/24(255.255.255.0)也可以这么写
不用重启,立即生效
实验天使文件:
vim /etc/hosts.allow
sshd:192.168.10.1
不用重启,立即生效
复习:
网卡
nmtui
nm-connection-editor
防火墙
iptables/firewall-cmd
firewall-config(考试推荐)
预习:
第九章节
RHN ID:Tanswc