第10课

贴一张有道云笔记链接：http://note.youdao.com/noteshare?id=be06b971d90b58b22d552738cc476a5b

 

 

配置防火墙

1. iptables：RHEL5、6、7.0、7.1，之后的版本就没有了
2. firewalld - firewall-cmd
3. firewall-config（考试推荐用这个）
4. tcp_wrappers

（四选一）

 

 

配置网卡

1. vim编辑文件
2. nmtui(nmtui) ➡ setup(5/6)
3. nm-connection-editor基于图形化界面的配置工具
4. 图形化界面：设置

注意重启服务，以及设置开机自启动

 

配置网卡实验(vim)：

ifconfig

查看网卡配置信息

vim /etc/sysconfig/network-scripts/ifcfg-eno16777728

实验前对真机设置：

虚拟机网络模式设置为仅主机模式

点开win10网络适配器设置-网络连接-双击VMnet1-属性-双击Internet协议版本4（TCP／IPv4）-设置（设置如下图）-确认

VMnet1：仅主机模式

VMnet8：nat模式

开始：

vim /etc/sysconfig/network-scripts/ifcfg-eno16777728

IPADDR0=192.168.10.20

打开win-cmd：ping 192.168.10.20 -t

ping 不通

systemctl restart network

再ping就通了

 

这两个选项表示ONBOOT=yes

 

 

 

 

防火墙

forward不处理，转发给防火墙或其他服务器处理

1. iptables工作不考
2. firewall-cmd
3. firewall-config
4. tcp_wrappers

（四选一）

防火墙规则：

• 防火墙策略从上往下做匹配的
• 一旦有一条匹配到了则执行规则不会再往下匹配

匹配到了有四个做法：

• 允许 ACCEPT
• 拒绝DROP（无反馈，丢包）
• 拒绝REJECT（有反馈）
• 日志LOG

考试一定要使用REJECT

 

iptables配置防火墙

ipatables -L显示所有的规则

ipatables查看是否有ipatables

iptables -F清空当前所有防火墙规则

iptables -D仅删除某一条防火墙规则

ipatables -I插入（优先级最高）

ipatables -A插入（优先级最低）

iptables -I INPUT -p icmp -j REJECT

INPUT输入

-p协议号码

-j动作，相当于数学题的“解”

iptables -D INPUT 1

删除第一条输入的规则

看不到规则第几条，只能去数

ipatables -I INPUT -p icmp -j DROP

没有反馈，显示请求超时

 

telnet、ftp、http不安全（用的明文传输），putty不能保存，ssh最好用，xshell要找免费版本（或者破解版）

真网站netsarang.com——假网站xshellcn.com

ssh能不能链接成功来看自己设置防火墙规则是否生效

 

示例

iptables -I INPUT -p tcp --dport=22 -j REJECT

拒绝所有22端口的流量

iptables -I INPUT -p tcp --dport=22 -s 192.168.10.1 -j ACCEPT

-s来源地址

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=22 -j ACCEPT

对ip段设置

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=1000:2000 -j ACCEPT

对端口号段进行设置，用冒号间隔，对于不连续的端口，用逗号间隔

 

 

firewalld-cmd配置防火墙

firewall-cmd

firewall-config

zone 区域 理解为模版的意思 public

 

示例

firewall-cmd --（按两下tab键）

列举出来所有可以使用的操作

firewall-cmd --get-default-zone

public

firewall-cmd --set-default-zone=dmz

切换区域

 

两个模式：

runtime当前生效模式，重启实效（配置界面默认是runtime）

permanent当前不生效，而重启后生效（firewall-cmd --permanent查询才是在permanent模式下）

示例：

• • firewall-cmd --reload重启防火墙（配置完了以后都需要重启一下）
  • firewall-cmd --panic-on紧急模式开启，断开所有的网络连接。off是关闭
  • firewall-cmd --zone=public --query-service=ssh查询ssh服务是否被允许
  • firewall-cmd --permanent --zone=public --add-service=http加入http服务，使其被允许 。 permanent使其重启后生效
  • firewall-cmd --zone=public --remove-service=https移除https服务，使其不被允许
  • firewall-cmd --zone=public --add-port=8000-9000/tcp对端口号段进行配置
  • firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10所有访问888端口号都可以实现访问22端口号的效果

 

rich rule富规则（副规则）

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.1" service name="ssh" reject"当一个主机是192.168.10.1访问本地ssh协议将其拒绝

 

firewalld-config配置防火墙

如何知道某个端口对应的是什么服务

cat ／etc/services | grep 8080

红帽tcp和udp判两遍

options-reload

 

tcp_wrappers

OSI数据链路层

OSI应用层：基于服务名称

/etc/hosts.allow天使文件：白名单

/etc/hosts.deny恶魔文件：黑名单

实验恶魔文件：

vim /etc/hosts.deny

sshd:192.168.10.(官方推荐)

sshd:192.168.10.0/24(255.255.255.0)也可以这么写

不用重启，立即生效

实验天使文件：

vim /etc/hosts.allow

sshd:192.168.10.1

不用重启，立即生效

 

复习：

网卡

nmtui

nm-connection-editor

防火墙

iptables/firewall-cmd

firewall-config（考试推荐）

预习：

第九章节

 

 

RHN ID：Tanswc