Day11-1 日常运维 2

标签：centos   inux   日常   ice   zone   nvl   移除   lte   tab   

linux的防火墙-netfilter
setenforce 0 临时关闭selinux
/etc/selinux/config 配置文件
getenforce 查看防火墙状态
netfilter centos6前的防火墙名；firewalld centos7防火墙名
关闭firewalld

yum install -y iptables-services
启用netfilter iptables

netfilter的5个表
filter 用于过滤包，其中有三个链：INPUT(输入) FORWARD(转发) OUTPUT(输出)
nat 用于网络地址转换，即NAT表，有三个链：PREROUTONG(进入路由表前，经过此链后判断是否是给主机的包，是则给到input，否则给到forward) OUTPUT(同上) POSTROUTING(接受forward和output给出的包，输出)
managle 用于给数据包做标记（少用到）
raw 不追踪某些数据包（少用到）
security 用于强制访问控制的网络规则

13. iptables语法
    iptables -nvL view the rule of iptables
    
    /etc/sysconfig/iptables 规则保存路径
    service iptables save 保存规则
    -F 清空规则
    -t 指定表
    -Z 把计数器清零
    -A 增加规则（排在后面）
    -s 指定来源ip
    -p 指定协议
    --sport 来源端口
    -d 指定目标ip
    --dport 目标端口
    -j 后接操作
    iptables -A INPUT -s [ipadd] -p tcp --sport 1234 -d [ipadd] --dport 80 -j DROP
    -I(大小的i) 插入规则（排在前面，在前面的先执行）
    -D 删除规则
    iptables -nvL --line-number
    
    iptables -D INPUT 5 删除line number为5的INPUT表里的规则
    -i 指定网卡
    -P 指定默认操作
    

iptables 规则备份和恢复
service iptables save 会把规则保存到/etc/sysconfig/iptables
iptables-save > [filename] 将iptables备份到某个文件
iptables-restore > [filename] 将备份还原

14. firewalld
    firewalld 默认有9个zone（自带规则集）
    默认zone为public
    查看zone
    
    
    以下9个zone
    drop（丢弃）：任何接受的网络数据包都被丢弃，没有任何恢复，仅能有发送出去的网络连接（数据包不能进来，但是可以出去）
    block（限制）：任何接受的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。（和drop相比，比较宽松一些，主要是为了针对icmp）
    piblic（公共）：在公共区域内使用，不能相信网络内其他计算机不会对你造成危害，只能接受经过选取的连接。
    external（外部）：特别是为路由器启用了伪装功能的外部网，你不能信任来自网络的其他计算，不能相信他们不会对你造成伤害，只能接受经过选择的连接。
    dmz（非军事区）：用于你的非军事区内的电脑，此区域可公开访问，可以有限的进入你的内部网络，仅仅接受经过选择的连接。
    work（工作）：用于工作区，你可以基本信任网络内的其他电脑不会对你造成危害，仅仅接收经过选择的连接。
    home（家庭）：用于内部网络，你可以基本上信任网络内其他电脑不会对你造成危害，仅仅接收经过选择的连接。
    internal（内部）：用于内部网络，你可以基本上信任网络内其他电脑不会对你造成危害，仅仅接收经过选择的连接。
    trusted（信任）：可接受所有的网络连接。
    firewall-cmd --set-default-zone=[zonename] 设定默认zone
    firewall-cmd --get-zone-of-interface=ens33 查指定网卡ens33
    firewall-cmd --zone=[zonename] --add-interface=lo 给指定网卡lo设置zone
    firewall-cmd --zone=[zonename] --change-interface=lo针对网卡lo更改zone
    firewall-cmd --zone=[zonename] --remove-interface=lo 针对网卡lo删除zone
    firewall-cmd --get-active-zones 查看系统所有网卡所在的zone

service 相当于端口，从属于zone，即以zone的方式定义特定端口的安全等级
firewall-cdm --get-services 查看所有service
firewall-cdm --list-services 查看当前zone下有哪些service
firewall-cdm --zone=[zonename] --add-service=http 把http增加到某个zone下
firewall-cdm --zone=[zonename] --remove-service=http 把http从某个zone下移除
/usr/lib/firewalld/zones zone的配置文件模板
firewall-cdm --zone=[zonename] --add-service=http --permanent 更改配置文件，之后会在/etc/firewalldzones下生成配置文件
firewall-cdm --reload 重新加载

Day11-1 日常运维 2

标签：centos   inux   日常   ice   zone   nvl   移除   lte   tab   

原文地址：http://blog.51cto.com/13582610/2067897