码迷,mamicode.com
首页 > 其他好文 > 详细

RHCE 学习笔记(31) - 防火墙 (上)

时间:2015-01-22 15:43:38      阅读:304      评论:0      收藏:0      [点我收藏+]

标签:rhel7   rh254   firewall   

这一节内容比较多,主要是学习firewalld的使用和配置。


学习firewalld之前,先简单的看看另外一个工具 tcp wrapper。这个是一个基于主机的访问控制系统,他一般作为防火墙的一个补充和加强。一些简单的服务访问控制,通过tcp wrapper很容易就实现了。


技术分享



红帽有个官方文档可以查看详细的解释和实例

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html


简单的说,配置文件有两个 /etc/hosts.allow 和 /etc/hosts.deny 


从名字都猜的出来,放在allow里面的设定默认就是允许的; 放在deny里面默认就是拒绝的;如果两者的设定都不满足或者都没配置,那服务默认也是允许的。


基本格式是 

daemon1,daemon2, daemon3.. : client1, client2, client3.. : option1, option2,..


如果觉得麻烦,在任何一个文件里面,明确的表明 allow 或者 deny也是可以的。比如,我可以在hosts.allow 文件里面做以下定义,拒绝来自172.0.10.223的ssh请求


技术分享


测试看看,果然被拒绝了。

技术分享


把deny去掉或者改成 allow也行

技术分享


再试试看,又可以连接了

技术分享


不过不是所有的服务都可以用tcp wrapper来实现的,只有连接了libwrap模块的daemon才可以。


比如 httpd就没有


技术分享


但是sshd就可以

技术分享






接下来看看重头戏,firewalld的使用。从RHEL7里面,默认的防火墙不再是iptables,而是firewalld,尽管他的底层还是iptables。


他们的区别和关系可以参考

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html


firewalld的一个最大的优点是任何改动实时生效,因为他只对变化的部分做了修改;而iptables是重新创建所有的rule,因此会断掉当前的连接。


技术分享

下面主要学习一下图形界面和命令行界面的使用。


系统自带了一堆防火墙软件,他们可能会彼此冲突,因此把不用的都mask掉吧

技术分享

技术分享



firewalld里面图形界面可以用frewall-config 打开,命令行可以通过 firewall-cmd来实现。


首先看看图形界面

技术分享


里面有很多选项,我们把每一个功能都过一遍。


首先看看左边的一列Zone。 zone 本意是区域的意思,这些不同的Zone可以理解为不同的“安检通道”,每个“安检通道”预先定义了一系列的不同的安全策略。一个网卡只能绑定到一个“安检通道”,即一个Zone里面。


每个zone右边对应了一堆功能,分别是服务,端口,伪装,端口转发,ICMP过滤,富规则,端口和源。


服务选项里面,勾上的表示允许的服务。不同的zone默认勾上的服务是不同的。

比如说 dmz 默认只允许 ssh 服务访问;home允许更多的服务例如samba-client,dhcpv6等等,而trusted 允许所有的服务访问,即使这个服务没有勾选上。



技术分享


下面看看命令行如何处理Zone


我们可以获取(get)所有zone 的信息,但是不能自己创建一个新的zone,图形工具也没有选项可以创建


可以利用tab来获取哪些命令,get有很多,但是set只有一个


技术分享


查看一下zone 的选项

技术分享


看看默人的zone是啥

技术分享


我们可以手动改成home

技术分享


修改完之后home zone就被自动加粗加黑了

技术分享



下面看看如何修改服务


服务自己对应了1个或者多个相关的端口,这些都是预定义好的。如果开放了某个服务,那么对应的所有端口都会打开。


技术分享


命令行查看一下有哪些服务


技术分享



图形界面下配置服务很简单,直接勾选就是了


例如目前我是可以远程的访问172.0.10.206的http服务的。这个是我前面做KickStart的时候配置的服务。


技术分享


这个时候在172.0.10.206上 http服务是勾选的,如果我去掉他

技术分享


那么远端的服务器就无法访问了

技术分享




那么命令行里如何判断一个服务是否打开了呢,可以使用query命令,query命令很多,查询服务用 query-service就行了 


no就表示服务关掉了 

技术分享


把这个服务加上,确认成功

技术分享


打开图形界面看看,已经勾上了

技术分享


但是如果把左上角的 Configuration从 runtime改成 permanent,发现还是没有勾上,这表明这个服务只是暂时生效,重启就没了


技术分享


确认一下区别

技术分享


配置的时候加上 --permanent就永久生效了

技术分享


本文出自 “麻婆豆腐” 博客,请务必保留此出处http://beanxyz.blog.51cto.com/5570417/1606990

RHCE 学习笔记(31) - 防火墙 (上)

标签:rhel7   rh254   firewall   

原文地址:http://beanxyz.blog.51cto.com/5570417/1606990

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!