第8章 iptables 与firewalld防火墙
8.0 四种设置网卡的方式
(1) 命令行模式:vim /etc/sysconfig/network-scripts/ifcfg-eno网卡号;
(2) 图形化界面:nmtui;
(3) 图形化界面:nm-connection-editor;
(4) 图形化界面:虚拟机界面右上角网络配置;
配置好后,注意:(1) onboot=yes一定要启用;(2) 要重启网络才启效:systemctl restart network。
8.1 防火墙管理工具:防火墙是依据策略对穿越防火墙自身的流量进行过渡,在公网与内网之间充当保护屏障。
(1) iptables--交由内核层面的netfilter网络过渡器来处理--防火墙管理工具---RHEL7以前的linux版本。
(2) firewalld--交由内核层面的nftables包过渡框架来处理--防水墙管理工具--RHEL7版本。
8.2 iptables
8.2.1 策略与规则链
防火墙的策略规则:通、堵两种;用于处理或过滤流量的策略条目为规则,多条规则组成规则链,规则链依据数据包处理位置的不同分要为5类:
(1) 路由选择前处理数据包:--PREROUTING
(2) 处理流入的数据包:--INPUT
(3) 处理流出的数据包:--OUTPUT
(4) 处理转发的数据包:--FORWARD
(5) 路由选择后处理数据包:--POSTROUTING
处理的动作分为4类:
(1) 允许:--ACCEPT--允许流量通过;
(2) 拒绝:--REJECT--拒绝流量通过,可让流量发送者清晰地看数据被拒绝的响应信息。注:考试时的拒绝要用REJECT。
(3) 拒绝:--DROP--拒绝流量通过,直接将流量丢弃而不响应。
(4) 日志:--LOG--记录日志信息。
注意:
(1) 防火墙策略规则匹配顺序是从上而下的,因此要把较严格、优先级较高的策略到前面,以免发生错误;
(2) 使用iptables配置的防火墙规则默认会在系统下一次重启时失效,如果想让配置的防火墙策略永久生效,要执行保存命令:service iptables save。
8.3 firewalld 防火墙管理工具:为RHEL默认的防火墙管理工具,有命令行和图形界面两种方式,两种策略配置的两种模式
(1) 运行时模式(Runtime)--当前生效模式--随着系统的重启会失效;
(2) 永久模式(permanent)--永久生效模式-当前不生效,系统重新启动后生效。如想立即生效,则要输入命令firewall-cmd --reload。
注:使用firewall-config图形化界面配置完界面后,无段进行二次确认,只要有修改的内容,它就会自动保存。
8.4 服务的访问控制列表
两处层面的防火墙:(1) 基于tcp/ip协议的流量过滤工具:iptables 、firewall;(2) 允许或禁止linux系统提供服务的防火墙:TCP Wrappers。其防火墙策略由2个控制列表文件控制,控制列表文件修改后立即生效。系统执行查检的顺序:
(1) 允许控制列表文件:--/etc/hosts.allow--如匹配的相应的策略则放行流量;
(2) 拒绝控制列表文件:--/etc/hosts.deny--若找到匹配项则拒绝该流量;
(3) 如果上述两个文件中的策略全都没有匹配到,则默认放行流量。
原文地址:https://blog.51cto.com/14265779/2400335