https://blog.csdn.net/Xt991124/article/details/122416826
- Firewall
Systemctl start firewalld
查询开放端口列表:--list-port
firewall-cmd --list-ports
查询指定端口是否开放:--query-port
firewall-cmd --query-port=9001/tcp
开放指定端口:--add-port
firewall-cmd --add-port=9002/tcp --permanent
开放指定范围端口:
firewall-cmd --add-port=9001-9005/tcp --permanent
移除指定端口:--remove-port
firewall-cmd --remove-port=9001/tcp --permanent
重新加载:
firewall-cmd --reload
- Iptables
路由信息表,
4个表:filter、nat、mangle、raw
filter :包过滤,用于防火墙规则。含INPUT、OUTPUT、FORWARD三个规则链
nat :地址转换,用于网关路由器。3个规则链PREROUTING、POSTROUTING、OUTPUT
mangle :数据包修改(QOS),用于实现服务质量。5个链
raw :高级功能,如:网址过滤。
5个链:input、output、prerouting、postrouting、forward
INPUT链 :处理输入数据包。
OUTPUT链 :处理输出数据包。
FORWARD链 :处理转发数据包。
PREROUTING链 :用于目标地址转换(DNAT)。
POSTOUTING链 :用于源地址转换(SNAT)。
动作包括:
ACCEPT :接收数据包。 DROP :丢弃数据包。
REDIRECT :重定向、映射、透明代理。
SNAT :源地址转换。 DNAT :目标地址转换。
MASQUERADE :IP伪装(NAT),用于ADSL。
LOG :日志记录。
SEMARK : 添加SEMARK标记以供网域内强制访问控制(MAC)
参数:
-L:查看链上的规则、-F:清空指定链上的规则、
-A:指定链末尾新加规则、-D:删除某条规则、
-p:指定协议、-s:源ip、-i:网卡、-t:指定表
--sport:源端口、--dport:目标端口、-j:动作
如: iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
- Selinux:
1.enforcing:(开启) 1强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。
2. permissive:(临时关闭) 0宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。
3. disabled:(禁用) 关闭 SELinux。
disabled 切换到 enforcing 或者 permissive 的话,需要重启系统。反过来也一样。
enforcing 和 permissive 模式可以通过 setenforce 1|0 命令快速切换。
# 关闭selinux
sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久
setenforce 0 # 临时 查看:getenforce
或sed -i ‘s/\(SELINUX=\)[a-z].*/\1disabled/’ /etc/selinux/config