虚拟机Liunx系统配置防火墙

1.查询安全记录文件

[root@centos ~]# more /var/log/secure | greppasswd

2.用户登录密码强制性设置参数在文件

“/etc/login.defs”

3.精简开机自启服务

[root@centos ~]# chkconfig --list

一般建议只开启“crond”、“network”、“rsyslog”、“sshd”四个服务。

4.SELinux是以牺牲系统服务和驱动程序的兼容性来提高系统安全性。在SELinux没有设置为“permissive”或“disabled”的情况下，有些应用程序运行时可能会被拒绝，导致无法正常运行的情况。

关闭SElinux保证系统服务和驱动程序的兼容性

（1）查看SELinux的运行状态的命令

[root@centos ~]# getenforce

如图Enforcing表示已启用，

（2）修改SELinux的运行状态

修改SELinux的运行状态有两种方式：修改后临时生效和修改后永久生效。

修改后临时生效

setenforce命令可以临时修改SELinux的运行状态为“Enforcing”或“Permissive”，修改后立即生效，但重启系统后将恢复为默认状态。命令如下：

[root@centos ~]# setenforce 0      #设置为“Permissive”

[root@centos ~]# setenforce 1      #设置为“Enforcing”

修改后永久生效

若要修改后永久生效，需修改SELinux的配置文件“/etc/selinux/config”，将文件中“SELINUX”项的修改为相应的值即可（如关闭SELinux，则设置为“disabled”）

注意，修改后需要重启系统方可生效。

5.设置防火墙规则

（1）查看防火墙默认规则

设置防火墙规则之前，可以先查看防火墙默认规则。

[root@centos ~]# iptables -L -n

目前防火墙设置了“INPUT”、“FORWARD”和“OUTPUT”三个链的基本规则。

因默认规则太过简单，在重置防火墙规则前，可以清空防火墙规则，命令如下：

[root@centos ~]# iptables -F      #清除预设表filter中的所有规则链的规则

[root@centos ~]# iptables -X      #清除预设表filter中使用者自定链中的规则

保存设置后，重启iptables服务，命令如下：

[root@centos ~]# service iptables save      #保存iptables配置

[root@centos ~]# service iptables restart   #重启iptables服务

重启服务后通过“iptables -L -n”命令再次查看，发现默认规则均删除。

（2）配置防火墙Filter表规则

因防火墙规Filter表则均保存在文件“/etc/sysconfig/iptables”中，如图3-57所示，若要配置、修改防火墙Filter表规则，可以在文件中操作，也可以通过iptables命令直接操作。此处均以iptables命令操作为例。

（3）配置防火墙NAT表规则

因大部分服务器与外网连接时，均采用NAT方式，以节省IPv4地址资源并隐藏本机内网IP地址防止外网攻击，所以在配置防火墙时，也需要对NAT表规则进行配置。

查看NAT表规则

在配置NAT表规则之前，可以查看默认的NAT表规则，命令如下，效果如图3-58所示：

[root@centos ~]# iptables -t nat -L

局域网共享上网

若有两台服务器，一台为双网卡并连接了内外网，另一台为单网卡并连接了内网。通过连接了内外网的服务器的NAT表规则设置，可以实现局域网共享上网。

这里我就暂时不学习了

（4）配置规则生效

防火墙各项规则配置完毕后，应保存后重启服务，命令如下，

[root@centos ~]# service iptables save              #保存配置

[root@centos ~]# service iptables restart           #重启服务