[网络协议]主机名设置及防火墙应用实例

• 设置主机名

服务器的主机名可以包含字母（a-z，A-Z），数字（0-9），连字符（-），点（.），但必须以字母或数字结尾，建议在分配主机名时使用描述性名称，以便于识别服务器/服务。同一网络中不能重名。

在设置主机名之前，请先检查现有主机名：

注明：

-s，-short - 用于打印短主机名。

-f，-fqdn，-long - 用于打印长主机名（FQDN）。

方法1：使用hostnamectl更改主机名

sudo hostnamectl set-hostname 主机名 --static

此设置将自动更新/etc/hostname文件：

可以使用hostnamectl命令设置三类主机名：

Transient hostname - 这是由内核管理的动态主机名，可以在运行时由DHCP或mDNS服务器更改，使用-transient标志设置临时主机名一般与static同名。

Pretty hostname - 顾名思义，这是一个用户友好的UTF8主机名，用于表示计算机的用户，使用-pretty标志来设置它。

Static hostname - 存储在/etc/hostname中以供在运行时使用。

设置Pretty hostname：

sudo hostnamectl set-hostname wlb.com --pretty

设置Transient hostname - 通常与静态主机名相同：

sudo hostnamectl set-hostname wlb.com --transient

确认你的设置：

$ hostnamectl

要将新主机名映射到IP地址，请编辑/etc/hosts文件并将旧主机名替换为新主机名：

$ sudo vim /etc/hosts

方法2：# nmtui

??????????????? 选择 Set system hostname

??????????????? 在hostname框中输入主机名

??????????????? OK确定

??????????????? 提示set hostname to ‘主机名 ‘,OK确定

??????????????? QUIT

重新启动systemd-hostnamed服务，以使更改生效：

#systemctl restart systemd-hostnamed

方法3：使用nmcli命令

nmcli是用于控制NetworkManager的命令行工具，也可用于更改系统的主机名。

nmcli g hostname 显示主机名

nmcli g hostname 设置的主机名 ???

重启服务systemctl restart systemd-hostnamed

• ntp服务

同步时间管理的服务 ?服务名： ntpd服务

Ntpd服务默认未启动

一次性同步（手动）：# ntpdate ?服务器域名或IP地址

查看时间服务器域名或IP地址的网站：www.ntp.org.cn

通过服务自动同步：需启动NTP服务

#systemctl start ntpd? 开启ntpd服务

备注：ntpd服务开启时，ntpdate不能使用

• 防火墙服务 firewall

作用：防范网络攻击，不是防火的

防火墙是一种用于监视和过滤传入和传出网络流量的工具,防洪墙有硬件防火墙和软件防火前之分，linux上的防火墙为软件防火墙，防火墙正确配置很重要。

权限条件：root用户或特权身份登录

firewall-cmd? 命令行程序管理和配置firewalld，centos8中nftables替代了iptables作为firewalld守护程序默认防护墙后端。

区域信任级别：

?????????? drop 删除所有传入连接，没有任何通知，仅允许传出连接

????? block 拒绝所有传入连接，并带有一条icmp-host-prohibited消息IPv4和一条icmp6-adm-prohibited关于IPv6消息，仅允许传出连接。

????? public 用于不受信任的公共区域。你不信任网络上的其他计算机，但是可以允许选择的传入连接。public为默认区域。

external 用于在系统充当网关或路由器时启用NAT伪装的外部网络。仅允许选择的传入连接。

internal 当系统充当网关或路由器时，用于内部网络。网络上的其它系统通常是受信任的。仅允许选择的传入连接。

dmz 用于非军事区域中访问网络其余部分的计算机。仅允许选择的传入连接。

work 用于工作机。网络上的其他计算机通常是受信任的，仅允许选择的传入连接。

home 用于家用机器。网络上的其它计算机通常是受信任的，仅允许选择的传入连接。

trusted 接受所有网络的连接，信任网络中的所有计算机。

centos8默认已经安装firewalld服务，若没有安装，则执行：

#sudo dnf install firewalld

（1）查看状态

?????????????????? # firewall-cmd --state??? 通过防火墙查看状态

????????????? systemctl status firewalld?? 系统服务管理查看状态

（2）开启与停止防火墙

???????? #systemctl start firewalld?? 开启

???????? #systemctl stop firewalld?? 停止

（3）配置防火墙添加端口规则

??# firewall-cmd --add-port =80/tcp --permanent

??# firewall-cmd --add-port=433/tcp --permanent

以上是放行80和443端口，常用于web服务，https必须开启443端口，--permanent 参数表示规则永久生效。

如果放行端口是连续的，可以指定范围：

#firewall-cmd --add-port=8080-8888/tcp --permanent

（4）防火墙删除端口规则

#firewall-cmd --remove-port=80/tcp --permanent

#firewall-cmd --remove-port=443/tcp --permanent

#firewall-cmd --remove-port=8080-8888 --permanent

(5)重载操作（防火墙设置后需要重载才能生效）

#firewall-cmd --reload

(6)查看防火墙配置的规则

#firewall-cmd --list-all

(7)防火墙在系统重启后还可用（开机自启）

#systemctl enable firewalld

#systemctl enable firewalld --now

(8)取消防火墙开机自启动

#systemctl disable firewalld

(9)查询指定端口是否开放

#firewall-cmd --query-port=8080/tcp

(10)查看所有打开的端口

#firewall-cmd --list-ports

(11)查看所有允许的服务

#firewall-cmd --list-services

(12)获取所有支持的服务

#firewall-cmd --get-services

打开/usr/lib/firewalld/services目录中的相关.xml文件，可以看到每个服务的更多信息。

(13)查看所有区域信息

#firewall-cmd --list-all-zones

(14)查看活动区域信息

#firewall-cmd --get-active-zones

(15)设置public为默认区域

#firewall-cmd --set-default-zone=public

(16)查看默认区域信息

#firewall-cmd --get-default-zone

(17)将接口eth0加入区域public

#firewall-cmd --zone=public --add-interface=eth0

(18)从区域public中删除接口eth0

#firewall-cmd --zone=public --remove-interface=eth0

(19)修改接口eth0所属区域为default

#firewall-cmd --zone=default --change-interface=eth0

(20)查看接口eth0所属区域

#firewall-cmd --get-zone-of-interface=eth0

(21)永久添加8080端口例外（区域public）

#firewall-cmd --zone=public --add-port=8080/tcp --permanent

(22)永久删除8080端口例外（区域public)

#firewall-cmd --zone=public --remove-port=8080/tcp --permanet

(23)永久增加65001-65010例外（区域public）

#firewall-cmd --zone=public --add-port=65001-65010/tcp --permanet

(24)特定IP范围 添加、查看、删除规则

#firewall-cmd --zone=public --add-source=192.168.1.10

#firewall-cmd --zone=public --list-source

#firewall-cmd --zone=public --remove-source=192.168.1.10

(25)将规则添加到永久设置中

???? #firewall-cmd --runtime-to-permanet

(26)转发端口

???? 从一个端口转到另一个端口

#firewall-cmd --zone=external --add-masquerade?? 对外部区域启用伪装

例1：将流量从80端口转发到同一服务器上的8080端口

#firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080

例2：将流量从80端口转发到198.168.100.21的服务器上

#firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=198.168.100.21

例3：将流量从80端口转发到198.168.100.21的服务器上的8080端口

#firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=198.168.100.21

(27)查看防火墙帮助

#firewall-cmd --help

(28)防火墙白名单

???? #firewall-cmd --permanet --add-rich-rule="rule family="ipv4" source address ="8.8.8.8" port protocol="tcp" port="80" accept"

(29)防火墙黑名单

#firewall-cmd --add-rich-rule="rule family="ipv4" source address="8.8.8.8" port protocol="tcp" port="80" reject" --permanet

(30)查看黑白名单

???? #firewall-cmd --list-rich-rules

（31）删除黑白名单

#firewall-cmd --permanet --remove-rich-rule="******" --permanet

???????? //******是完整规则内容，可以通过查看获取，--permanet可以不用添加

例：#firewall-cmd --permanet --remove-rich-rule="rule family="ipve" source address="8.8.8.8" port port="80" protocol="tcp" accept"

（32）获取可用的区域

#firewall-cmd --get-zones

(33)指定区域目标

4个选项：default、 ACCEPT 、REJECT、 DROP

#firewall-cmd --zone=public --set-target=DROP

（34）允许公共区域中添加、删除http服务

#firewall-cmd --zone=public --add-service=http? --permanet(不加相当于 --runtime)

//? 修改默认区域可以省略 --zone

验证使用： #firewall-cmd --zone=public --list-services

?删除：

???????? #firewall-cmd --zone=public --remove-services=http --permanet

(35)创建一个新的firewalld服务

???? 默认服务在 /usr/lib/firewalld/services目录中，将原服务复制到/etc/firewalld/services目录

???????? # cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/plexmediaserver.xml

打开新的plexmediaserver.xml，在<short>和<description>更改简称和描述，更改port.

为 UDP端口为1900和tcp端口为32400

更改后重载防火墙后，可以使用在区域中使用plexmediaserver服务

备注：端口对应的协议可以是tcp、udp、sctp、dccp