2018.11.30 第十節課 沖鴨 🦆🦆🦆🦆🦆🦆
第十課 IPtables 與 Firewalld 防火墻
這節課學習的是相當輕松,網絡是強項。
--------------------------------------------------------------
本節課核心
1.Linux系統中的一切都是文件。
2.配置一個服務就是在修改其配置文件。
3.要想讓新的配置送文件立即生效,重啟對應的服務。
-----------------------------------------------------------------------------
四種配置網卡方法
1.vim /etc/sysconfig/network-scripts/ifcfg-
2.nmtui
3.nm-connection-editor
4.圖形化界面配置
---------------------------------------------------------------------------------------------------------------------------
8.2.1 策略與規則鏈
8.2.2iptables 基本的命令參數
表8-1 iptables中常用的參數以及作用
參數 | 作用 |
-P | 設置默認策略 |
-F | 清空規則鏈 |
-L | 查看規則鏈 |
-A | 在規則鏈的末尾加入新規則 |
-I num | 在規則鏈的頭部加入新規則 |
-D num | 刪除某一條規則 |
-s | 匹配來源地址IP/MASK,加嘆號“!”表示除這個IP外 |
-d | 匹配目標地址 |
-i 網卡名稱 | 匹配從這塊網卡流入的數據 |
-o 網卡名稱 | 匹配從這塊網卡流出的數據 |
-p | 匹配協議,如TCP、UDP、ICMP |
--dport num | 匹配目標端口號 |
--sport num | 匹配來源端口號 |
---------------------------------------------------------------------------------------------------------------------------------、
一大波高能幹貨命令即將上線
在iptables命令後添加-L參數查看已有的防火墻規則鏈:
iptables -L
--------------------------------------------------------------------------
向INPUT鏈中添加允許ICMP流量進入的策略規則:
iptables -I INPUT -p icmp -j ACCEPT
------------
刪除INPUT規則鏈中剛剛加入的那條策略(允許ICMP流量),並把默認策略設置為允許:
--------------------------------------
8.3 Firewalld
表8-2 firewalld中常用的區域名稱及策略規則
區域 | 默認規則策略 |
trusted | 允許所有的數據包 |
home | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、mdns、ipp-client、amba-client與dhcpv6-client服務相關,則允許流量 |
internal | 等同於home區域 |
work | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、ipp-client與dhcpv6-client服務相關,則允許流量 |
public | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、dhcpv6-client服務相關,則允許流量 |
external | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量 |
dmz | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量 |
block | 拒絕流入的流量,除非與流出的流量相關 |
drop | 拒絕流入的流量,除非與流出的流量相關 |
表8-3 firewall-cmd命令中使用的參數以及作用
參數 | 作用 |
--get-default-zone | 查詢默認的區域名稱 |
--set-default-zone=<區域名稱> | 設置默認的區域,使其永久生效 |
--get-zones | 顯示可用的區域 |
--get-services | 顯示預先定義的服務 |
--get-active-zones | 顯示當前正在使用的區域與網卡名稱 |
--add-source= | 將源自此IP或子網的流量導向指定的區域 |
--remove-source= | 不再將源自此IP或子網的流量導向某個指定區域 |
--add-interface=<網卡名稱> | 將源自該網卡的所有流量都導向某個指定區域 |
--change-interface=<網卡名稱> | 將某個網卡與區域進行關聯 |
--list-all | 顯示當前區域的網卡配置參數、資源、端口以及服務等信息 |
--list-all-zones | 顯示所有區域的網卡配置參數、資源、端口以及服務等信息 |
--add-service=<服務名> | 設置默認區域允許該服務的流量 |
--add-port=<端口號/協議> | 設置默認區域允許該端口的流量 |
--remove-service=<服務名> | 設置默認區域不再允許該服務的流量 |
--remove-port=<端口號/協議> | 設置默認區域不再允許該端口的流量 |
--reload | 讓“永久生效”的配置規則立即生效,並覆蓋當前的配置規則 |
--panic-on | 開啟應急狀況模式 |
--panic-off | 關閉應急狀況模式 |
------------------------------
Firewalld 的兩種模式
1.Runtime
即時生效,重啟服務器後失效。
2.Permanent (永久生效)
firewall-cmd --reload
-------------------------------------------------------
----------------------------
周五上一天班了,有點疲憊,就簡單這麽多吧。
馬上要考試了,加油加油!!!!沖鴨??????????????????????????
2018.11.30 第十節課 沖鴨 🦆🦆🦆🦆🦆🦆