selinux-firewalld

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

SElinux

SELinux(Security-Enhanced Linux)是一个Linux内核的安全模块,其提供了访问控制安全策略机制。

了解更多:https://zh.wikipedia.org/wiki/%E5%AE%89%E5%85%A8%E5%A2%9E%E5%BC%BA%E5%BC%8FLinux

由于SElinux学习成本高,而且开启后可能会造成未知影响,所以我建议大家可以在安装完系统后直接关闭。

  • 临时关闭
setenforce 0
  • 永久关闭
vim /etc/selinux/config 
#将SELINUX=enforcing改为SELINUX=disabled
  • 查看selinux状态
getenforce

iptables, firewalld, netfilter三者关系

netfilter为Linux内核的一个模块,可以针对进出的数据包进行处理,用来实现防火墙功能。iptables工具/命令为netfilter模块自带,我们可以使用iptables命令实现规则的管理。

CentOS6在netfilter基础之上安装了iptables服务,该服务帮我们管理iptables规则。

CentOS7在netfilter基础之上安装了firewalld服务,该服务帮我们管理iptables规则。

netfilter的5表5链

  • filter表

    三个链:INPUT、FORWARD、OUTPUT

    作用:过滤数据包

  • Nat表

    三个链:PREROUTING、POSTROUTING、OUTPUT

    作用:用于网络地址转换(IP、端口)

  • Mangle表

    五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

    作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS

  • Raw表

    两个链:OUTPUT、PREROUTING

    作用:决定数据包是否被状态跟踪机制处理

  • Security表

    三个链:INPUT、OUTPUT和FORWARD

    作用:Security表在centos6中并没有,用于强制访问控制(MAC)的网络规则

  • netfilter的5个链

    PREROUTING:数据包进入路由表之前

    INPUT:通过路由表后目的地为本机

    FORWARD:通过路由表后,目的地不为本机

    OUTPUT:由本机产生,向外发出

    POSTROUTING:发送到网卡接口之前

转载于:https://my.oschina.net/u/3954059/blog/3037830

你可能感兴趣的:(操作系统,python)