《Linux就该这么学》RHEL 7 - Chapter 8 - 防火墙配置

文字概述

网络配置

• IP地址主要有以下三种方法
  • vim /etc/sysconfig/network-scripts/ifcfg-enoXXXXXXXX （你的网卡名称）
  • setup (RHEL 5 / 6); nmtui (RHEL 7)
  • nmconnection-editor GUI界面
  • 直接在系统桌面点击右上角进入设置

防火墙配置

• iptables

iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：

在进行路由选择前处理数据包（PREROUTING）
处理流入的数据包（INPUT）
处理流出的数据包（OUTPUT）
处理转发的数据包（FORWARD）
在进行路由选择后处理数据包（POSTROUTING）

• 参数及作用

  • -P 设置默认策略
  • -F 清空规则链
  • -L 查看规则链
  • -A 在规则链的末尾加入新规则
  • -I num 在规则链的头部加入新规则
  • -D num 删除某一条规则
  • -s 匹配来源地址IP/MASK，加叹号“!”表示除这个IP外
  • -d 匹配目标地址
  • -i 网卡名称 匹配从这块网卡流入的数据
  • -o 网卡名称 匹配从这块网卡流出的数据
  • -p 匹配协议，如TCP、UDP、ICMP
  • --dport num 匹配目标端口号
  • --sport num 匹配来源端口号

• firewalld

• firewalld中常用的区域名称及策略规则

  • trusted 允许所有的数据包
  • public 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量
  • drop 拒绝流入的流量，除非与流出的流量相关

• firewall-cmd

  • 包含两种模式：
    • [--Permanent]（当前不生效，重启服务或服务器后永久生效）
    • [--Runtime]（仅当前生效，重启服务或服务器后失效）

• firewall-config - GUI设置界面

• 访问控制表

  • /etc/hosts.allow - 天使文件（放行）
  • /etc/hosts.deny - 恶魔文件（阻止）
    • 使用方法（格式）： :
    • 若两者不存在的IP地址，默认放行

图片笔记

Chapter 8