防火墙基础01

系统安全保护
SElinux强制访问控制体系
SELinux运行模式：
enforcing（强制）
permissive（宽松）
disabled（彻底禁用）
任何模式切换到disabled（彻底禁用），都必须经历重启系统
查看当前SELinux状态

getenforce

切换运行模式：
.临时 ：setenforce 0
.永久 ：/etc/selinux/config
SELINUX=permissive

别名：
alisa
~/.bashrc 影响指定用户
/etc/.bashrc 影响所有用户

防火墙策略管理
虚拟机server构建web服务：提供一个页面内容
httpd nginx tomcat
服务器server上

yum -y install httpd
rpm -q httpd
systemctl restart httpd
systemctl enable httpd
firefox 172.25.0.11  本机测试访问

书写页面文件
网页文件存放位置：/var/www/html
网页文件名称：index.html

<marquee><font color=red><h1>nsd阳光

虚拟机server构建FTP服务：文件传输
vsftpd
默认共享路径：/var/ftp/

yun info vsftpd
yum -y install vsftpd
systemctl restart vsftpd
systemctl enable vsftpd
firefox ftp://172.25.0.11   本机测试

防火墙：严格过滤入站，允许出站
硬件防火墙
软件防火墙：本机防护
firewalld
工具：firewall-cmd 、firewall-config
public：仅允许访问本机的sshd、dhcp、ping服务
trusted：允许任何访问
block：阻塞任何来访请求（明确拒绝）
drop：丢弃任何来访的数据包（直接丢弃、不给客户端回应，节省资源）
数据包： 源IP地址 目标IP地址 数据
防火墙匹配原装：匹配即停止
1.查看数据包中源IP地址，然后查询所有区域中规则，哪一个区域中有源IP地址的惠泽，则进去哪个区域
2.进如默认区域（public）
查看防火墙默认区域

firewall-cmd --get-default-zone

修改防火墙默认区域

firewall-cmd --set-default-zone=block
ping 172.25.0.11

firewall-cmd --zone=public --list-all         --查看public下的所有规则

互联网常见协议：
http：超文本传输协议 默认端口 80
https：安全的超文本传输协议 443
FTP：文件传输协议 21
TFTP：简单的文件传输协议 69
telnet：远程管理 协议 23
DNS：域名解析协议 53
snmp：简单的网络管理协议 161
smtp：邮件协议（发邮件） 25
pop3：邮件协议（收邮件） 110
添加协议

firewall-cmd --zone=public --add-service=ftp 
```********************************************
永久配置
```powershell
firewall-cmd --permannet  --zone=public --add-service=http
firewall-cmd --reload   重新加载

单独拒绝：将虚拟机desktop的源IP地址，写入区域block
虚拟机server：

firewall-cmd --zone=block --add-source=172.25.0.10
firewall-cmd --zone=block --list-all

实现本机的端口映射
端口：协议或程序的编号
数据包：源IP地址 目标IP地址 数据 目标端口
客户端：172.25.0.11:5423->172.25.0.11:80
虚拟机server

firewall-cmd --permannet --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
firewall-cmd --reload 
firewall-cmd --zone=public --list-all

使用LDNP认证，实现网络用户认证，达到几种管理（classroom）

yum -y install sssd
rpm -q sssd
yum -y install authconfig-gtk 控制软件
 

家目录漫游：LDAP服务器上的普通户用家目录共享

mkdir /haha
showmount -e classroom.example.com  --列出共享
mount classroom.example.com :/home/guests  /haha
mkdir /home/guests
mount classrooom.example.com:/home/guests  
/home/guests

交换分区
规划分区

fdisk /deb/vdb
lsblk

交换空间（虚拟内存）
利用硬盘上的空间，当做内存使用，缓解内存不足
直接利用硬盘分区空间，充当交换空间
1查看交换空间的组成

swapon -s

2格式化交换分区

mkswap /dev/vdb
lsblk /dev/vdb

3启用交换分区

swapon /dev/vdb

4停用

swapoff  /dev/vdb

5开机自动启用交换分区

vim /etc/fstab
/dev/vdb1  swap swap defaults 0 0
/dev/vdb2  swap swap defaults 0 0
swapom -a  检测交换分区

虚拟机 server desktop 防火墙允许所有

firewall-cmd --set-default-zone=trusted

iscsi网络磁盘
（server）划分主分区
backstore后端存储（/dev/vdb1）
target磁盘组(木箱）
lun逻辑单元（放入的过程）

服务端server
划分新分区

fdisk /dev/vdb1
lsblk
yum -y install targetcli
targetcli
ls      交互界面

1 生成及指定后端存储

backstores/block  create name=nsd dev=/dev/vdb1

2生成target磁盘组
iqn.yyyy-mm.倒序域名:自定义标识

iscsi create iqn.2020-06.example.com:server
ls

3进行lun关联

iscsi create iqn.2020-06.example.com:server/tpg1/lun create /backstores/block/nsd
ls

4设置ACL验证，设置客户端声称的名字，符合iqn规范

iscsi  iqn.2020-06.example.com:server/tpg1/acls create iqn.2020-06.example.com:abc

5指定本机提供服务的IP地址及端口（默认端口3260）

iscsi  iqn.2020-06.example.com:server/tpg1/acls create ip_address=172.25.0.11
exit
systemctl restart target
systemctl enable target 

客户端虚拟机desktop
iscsi-initiator-utils
补全：没有安装，Yum必须具备缓存，利用yum repolist指令进行生成缓存

yum -y install iscsi-initiator-utils

设置客户端声称的名字

vim /etc/iscsi-initiatorname.iscsi
iqn.2020-06.example.com:abc
systemctl restart iscsid

发现共享存储

iscsiadm -mode discoverydb --type sendtargets --portal 172.25.0.11 --discover
man    iscsiadm   mam帮助

加载使用共享存储

lsblk
systemctl restart iscsi
systemctl enable iscsi