9.1 配置网卡:
第一种方法:通过配置文件的修改来配置网卡
网卡位置:/etc/systemconfig/network-scripts/ifcfg-ens
Nmcli connection reload ens 重启网卡
Nmcli connection up ens 加载网卡
第二种方法
RHEL5/6 setup
RHEL7/8 nmtui
点击Edit a connection
然后选择编辑的网卡之后选择Edit
添加地址之后一路向下选择ok然后quit退出
Nmcli connection up ens 加载网卡
第三种方法:
Nm-connetcion-editor 图形化网卡编辑
第四种方法:通过桌面的设置里配置
8.1 防火墙管理工具 作用:在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。就像家里安装的防盗门一样,目的是保护亲人和财产安全,
8.2 Iptables
Iptables原理:第三十一期课程第十一节课第34分钟
防火墙的状态分别有:
Accept 允许
Reject 拒绝
Drop 丢包
Log 日志
8.2.1 策略与规则链
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)。
8.2.2 基本的命令参数
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如TCP、UDP、ICMP
–dport num 匹配目标端口号
–sport num 匹配来源端口号
Iptables -L 查看策略
Iptables -F 清空策略
Iptables -P INPUT drop 默认拒绝所有的策略
Iptables save 保留防火墙策略
8.3 Firewalld
8.3.1 终端管理工具
–get-default-zone
查询默认的区域名称
–set-default-zone=<区域名称>
设置默认的区域,使其永久生效
–get-zones
显示可用的区域
–get-services
显示预先定义的服务
–get-active-zones
显示当前正在使用的区域与网卡名称
–add-source=
将源自此IP或子网的流量导向指定的区域
–remove-source=
不再将源自此IP或子网的流量导向某个指定区域
–add-interface=<网卡名称>
将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称>
将某个网卡与区域进行关联
–list-all
显示当前区域的网卡配置参数、资源、端口以及服务等信息
–list-all-zones
显示所有区域的网卡配置参数、资源、端口以及服务等信息
–add-service=<服务名>
设置默认区域允许该服务的流量
–add-port=<端口号/协议>
设置默认区域允许该端口的流量
–remove-service=<服务名>
设置默认区域不再允许该服务的流量
–remove-port=<端口号/协议>
设置默认区域不再允许该端口的流量
–reload
让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
–panic-on
开启应急状况模式
–panic-off
关闭应急状况模式
Firewall-cmd 命令行操作
Firewall-config 图形化操作
Runtime:当前生效,重启后失效;
Permanent:当前不生效,重启后才生效。
Firewall-cmd --panic-on 紧急模式切断所有服务
Firewall-cmd --panic-off 关闭紧急模式
防火墙添加服务:
Firewall-cmd --permanent --zone=public --add-service=http
(添加http服务到public模块,保存方式为重启后生效)
Firewall=cmd --reload 重启防火墙服务
防火墙添加完服务后查询不到:
如果添加完服务后查询的时候发现是no,先看firewall-cmd后有没有保存方式,如果保存方式没有添加保存位置仍想要生效,那么就需要执行:
firewall-cmd --zone=public --query-service=http
防火墙移除服务:
Firewall -cmd --permanent --zone=public --remove-service=http
(怎么添加的怎么删除,就service前面的参数变更)
Firewall-cmd --reload 重启防火墙服务
Firewall -cmd --zone=public --add-port=1000-2000/tcp 添加端口号服务
Firewall -cmd --zone=public --list-ports 查看允许的端口号
防火墙端口转发:
Firewall-cmd --zone=public --permanent --add-forward-port=port=888:proto=tcp:top
ort=22Ltoaddr=主机地址
然后firewall-cmd --reload重启服务
8.3.2 图形管理工具
防火墙的复(富)操作:
富规则也叫复规则。表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。
Firewall-cmd --permanent --zone=public --add-rich-rule=”rule family=”ipv4” soutce address=”192.168.18.27” service name=”ssh” reject”
针对192.168.18.27进行ssh的服务进行阻拦
端口号所对应的服务(服务所对应的端口号):
Grep 22 /etc/services
8.4 服务的访问控制列表
TCP Wrappers是RHEL 6/7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作,当前8版本中已经被Firewalld正式替代。(tcp wrappers已被cockpit取代)
