第10课

贴一张有道云笔记链接:http://note.youdao.com/noteshare?id=be06b971d90b58b22d552738cc476a5b

 

 

配置防火墙

  1. iptables:RHEL5、6、7.0、7.1,之后的版本就没有了
  2. firewalld - firewall-cmd
  3. firewall-config(考试推荐用这个)
  4. tcp_wrappers

(四选一)

 

 

配置网卡

  1. vim编辑文件
  2. nmtui(nmtui) ➡ setup(5/6)
  3. nm-connection-editor基于图形化界面的配置工具
  4. 图形化界面:设置

注意重启服务,以及设置开机自启动

 

配置网卡实验(vim):

ifconfig

查看网卡配置信息

vim /etc/sysconfig/network-scripts/ifcfg-eno16777728

实验前对真机设置:

虚拟机网络模式设置为仅主机模式

点开win10网络适配器设置-网络连接-双击VMnet1-属性-双击Internet协议版本4(TCP/IPv4)-设置(设置如下图)-确认

VMnet1:仅主机模式

VMnet8:nat模式

开始:

vim /etc/sysconfig/network-scripts/ifcfg-eno16777728

IPADDR0=192.168.10.20

打开win-cmd:ping 192.168.10.20 -t

ping 不通

systemctl restart network

再ping就通了

 

这两个选项表示ONBOOT=yes

 

 

 

 

防火墙

forward不处理,转发给防火墙或其他服务器处理

  1. iptables工作不考
  2. firewall-cmd
  3. firewall-config
  4. tcp_wrappers

(四选一)

防火墙规则:

  • 防火墙策略从上往下做匹配的
  • 一旦有一条匹配到了则执行规则不会再往下匹配

匹配到了有四个做法:

  • 允许 ACCEPT
  • 拒绝DROP(无反馈,丢包)
  • 拒绝REJECT(有反馈)
  • 日志LOG

考试一定要使用REJECT

 

iptables配置防火墙

ipatables -L显示所有的规则

ipatables查看是否有ipatables

iptables -F清空当前所有防火墙规则

iptables -D仅删除某一条防火墙规则

ipatables -I插入(优先级最高)

ipatables -A插入(优先级最低)

iptables -I INPUT -p icmp -j REJECT

INPUT输入

-p协议号码

-j动作,相当于数学题的“解”

iptables -D INPUT 1

删除第一条输入的规则

看不到规则第几条,只能去数

ipatables -I INPUT -p icmp -j DROP

没有反馈,显示请求超时

 

telnet、ftp、http不安全(用的明文传输),putty不能保存,ssh最好用,xshell要找免费版本(或者破解版)

真网站netsarang.com——假网站xshellcn.com

ssh能不能链接成功来看自己设置防火墙规则是否生效

 

示例

iptables -I INPUT -p tcp --dport=22 -j REJECT

拒绝所有22端口的流量

iptables -I INPUT -p tcp --dport=22 -s 192.168.10.1 -j ACCEPT

-s来源地址

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=22 -j ACCEPT

对ip段设置

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=1000:2000 -j ACCEPT

对端口号段进行设置,用冒号间隔,对于不连续的端口,用逗号间隔

 

 

firewalld-cmd配置防火墙

firewall-cmd

firewall-config

zone 区域 理解为模版的意思 public

 

示例

firewall-cmd --(按两下tab键)

列举出来所有可以使用的操作

firewall-cmd --get-default-zone

public

firewall-cmd --set-default-zone=dmz

切换区域

 

两个模式:

runtime当前生效模式,重启实效(配置界面默认是runtime)

permanent当前不生效,而重启后生效(firewall-cmd --permanent查询才是在permanent模式下)

示例:

    • firewall-cmd --reload重启防火墙(配置完了以后都需要重启一下)
    • firewall-cmd --panic-on紧急模式开启,断开所有的网络连接。off是关闭
    • firewall-cmd --zone=public --query-service=ssh查询ssh服务是否被允许
    • firewall-cmd --permanent --zone=public --add-service=http加入http服务,使其被允许 。 permanent使其重启后生效
    • firewall-cmd --zone=public --remove-service=https移除https服务,使其不被允许
    • firewall-cmd --zone=public --add-port=8000-9000/tcp对端口号段进行配置
    • firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10所有访问888端口号都可以实现访问22端口号的效果

 

rich rule富规则(副规则)

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.1" service name="ssh" reject"当一个主机是192.168.10.1访问本地ssh协议将其拒绝

 

firewalld-config配置防火墙

如何知道某个端口对应的是什么服务

cat /etc/services | grep 8080

红帽tcp和udp判两遍

options-reload

 

tcp_wrappers

OSI数据链路层

OSI应用层:基于服务名称

/etc/hosts.allow天使文件:白名单

/etc/hosts.deny恶魔文件:黑名单

实验恶魔文件:

vim /etc/hosts.deny

sshd:192.168.10.(官方推荐)

sshd:192.168.10.0/24(255.255.255.0)也可以这么写

不用重启,立即生效

实验天使文件:

vim /etc/hosts.allow

sshd:192.168.10.1

不用重启,立即生效

 

复习:

网卡

nmtui

nm-connection-editor

防火墙

iptables/firewall-cmd

firewall-config(考试推荐)

预习:

第九章节

 

 

RHN ID:Tanswc

展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 数字20 设计师: CSDN官方博客
应支付0元
点击重新获取
扫码支付

支付成功即可阅读