Linux认证 > 红帽认证 > 红帽认证辅导 > 文章内容

RHCE学习笔记:防火墙(上)

2016-3-4编辑:ljnbset

简单的说,配置文件有两个 /etc/hosts.allow 和 /etc/hosts.deny

从名字都猜的出来,放在allow里面的设定默认就是允许的; 放在deny里面默认就是拒绝的;如果两者的设定都不满足或者都没配置,那服务默认也是允许的。

基本格式是

daemon1,daemon2, daemon3.. : client1, client2, client3.. : option1, option2,..

如果觉得麻烦,在任何一个文件里面,明确的表明 allow 或者 deny也是可以的。比如,我可以在hosts.allow 文件里面做以下定义,拒绝来自172.0.10.223的ssh请求

测试看看,果然被拒绝了。

把deny去掉或者改成 allow也行

再试试看,又可以连接了

不过不是所有的服务都可以用tcp wrapper来实现的,只有连接了libwrap模块的daemon才可以。

比如 httpd就没有

但是sshd就可以

接下来看看重头戏,firewalld的使用。从RHEL7里面,默认的防火墙不再是iptables,而是firewalld,尽管他的底层还是iptables。

firewalld的一个最大的优点是任何改动实时生效,因为他只对变化的部分做了修改;而iptables是重新创建所有的rule,因此会断掉当前的连接。

下面主要学习一下图形界面和命令行界面的使用。

系统自带了一堆防火墙软件,他们可能会彼此冲突,因此把不用的都mask掉吧

firewalld里面图形界面可以用frewall-config 打开,命令行可以通过 firewall-cmd来实现。

首先看看图形界面

里面有很多选项,我们把每一个功能都过一遍。

首先看看左边的一列Zone。 zone 本意是区域的意思,这些不同的Zone可以理解为不同的“安检通道”,每个“安检通道”预先定义了一系列的不同的安全策略。一个网卡只能绑定到一个“安检通道”,即一个Zone里面。

每个zone右边对应了一堆功能,分别是服务,端口,伪装,端口转发,ICMP过滤,富规则,端口和源。

服务选项里面,勾上的表示允许的服务。不同的zone默认勾上的服务是不同的。

比如说 dmz 默认只允许 ssh 服务访问;home允许更多的服务例如samba-client,dhcpv6等等,而trusted 允许所有的服务访问,即使这个服务没有勾选上。

下面看看命令行如何处理Zone

我们可以获取(get)所有zone 的信息,但是不能自己创建一个新的zone,图形工具也没有选项可以创建

可以利用tab来获取哪些命令,get有很多,但是set只有一个

查看一下zone 的选项

看看默人的zone是啥

我们可以手动改成home

修改完之后home zone就被自动加粗加黑了

下面看看如何修改服务

服务自己对应了1个或者多个相关的端口,这些都是预定义好的。如果开放了某个服务,那么对应的所有端口都会打开。

命令行查看一下有哪些服务

图形界面下配置服务很简单,直接勾选就是了

例如目前我是可以远程的访问172.0.10.206的http服务的。这个是我前面做KickStart的时候配置的服务。

这个时候在172.0.10.206上 http服务是勾选的,如果我去掉他

那么远端的服务器就无法访问了

那么命令行里如何判断一个服务是否打开了呢,可以使用query命令,query命令很多,查询服务用 query-service就行了

no就表示服务关掉了

把这个服务加上,确认成功

打开图形界面看看,已经勾上了

但是如果把左上角的 Configuration从 runtime改成 permanent,发现还是没有勾上,这表明这个服务只是暂时生效,重启就没了

确认一下区别

配置的时候加上 --permanent就永久生效了

RHCE学习笔记:Postfix

热点推荐

登录注册
触屏版电脑版网站地图