四种方法配置网卡
1、编辑配置文件
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=eno16777736 //网卡名
UUID=65ac1fd4-82e8-4944-bebd-bdb661aff60d
ONBOOT=yes //自启
IPADDR0=192.168.10.10 //IP地址
PREFIX0=24 //掩码
HWADDR=00:0C:29:EF:C6:BC
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
2、nmtui配置网卡
[root@localhost ~]# nmtui //RHEL7
[root@localhost ~]# setup //RHEL5/6
3、nm-connection-editor配置网卡
[root@localhost ~]# nm-connection-editor
4、图形界面直接配置
防火墙的作用
1、在进行路由选择前处理数据包(PREROUTING);
2、处理流入的数据包(INPUT);
3、处理流出的数据包(OUTPUT);
4、处理转发的数据包(FORWARD);
5、在进行路由选择后处理数据包(POSTROUTING)。
iptables防火墙配置管理工具
ACCEPT 允许
REJECT 拒绝
DROP 丢包
LOG 日志
参数 | 作用 |
-L | 显示已有策略 |
-F | 清空所有策略 |
-P | 设置默认策略 |
例:
iptables -P INPUT DROP
//设置默认策略访问丢包
iptables -I INPUT -s 192.168.10.1 -p icmp -j ACCEPT
//允许192.168.10.1对主机的ping
//-I 加入一条优先策略
//-s 来源地址
//-p 协议
iptables -I INPUT -s 192.168.10.1 -p tcp --dport 22 -j ACCEPT
//放行192.168.10.1对主机的SSH服务的访问
//-I 加入一条优先策略
//-s 来源地址
//-p 协议
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 80 -j DROP
//禁止外部对192.168.10.0 80端口号的访问
//-I 加入一条优先策略
//-s 来源地址
//-p 协议
service iptables save
//保存iptables状态
firewalld
[root@localhost ~]# firewall-cmd --get-default-zone
public
//查询默认区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=eno16777736
public
//查询网卡默认区域
紧急模式
[root@localhost ~]#firewall-cmd --panic-on
//开启紧急模式
[root@localhost ~]#firewall-cmd --panic-off
//关闭紧急模式
查询public区域是否允许请求SSH和HTTPS协议的流量:
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https
no
把firewalld服务中请求HTTPS协议的流量设置为永久允许,并立即生效:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --reload
success
把firewalld服务中请求HTTP协议的流量设置为永久拒绝,并立即生效:
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http
success
[root@linuxprobe ~]# firewall-cmd --reload
success
把在firewalld服务中访问8080和8081端口的流量策略设置为允许,但仅限当前生效:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports
8080-8081/tcp
把原本访问本机888端口的流量转发到22端口,要且求当前和长期均有效:
流量转发命令格式为firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success
在客户端使用ssh命令尝试访问192.168.10.10主机的888端口:
[root@client A ~]# ssh -p 888 192.168.10.10
The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.
root@192.168.10.10's password:此处输入远程root管理员的密码
Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10
firewalld中的富规则表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。比如,我们可以在firewalld服务中配置一条富规则,使其拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务(22端口):
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success
在客户端使用ssh命令尝试访问192.168.10.10主机的ssh服务(22端口):
[root@client A ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.
图形管理工具
**1:**选择运行时(Runtime)模式或永久(Permanent)模式的配置。
2:可选的策略集合区域列表。
3:常用的系统服务列表。
4:当前正在使用的区域。
5:管理当前被选中区域中的服务。
6:管理当前被选中区域中的端口。
7:开启或关闭SNAT(源地址转换协议)技术。
8:设置端口转发策略。
9:控制请求icmp服务的流量。
10:管理防火墙的富规则。
11:管理网卡设备。
12:被选中区域的服务,若勾选了相应服务前面的复选框,则表示允许与之相关的流量。
13:firewall-config工具的运行状态。
服务的访问控制列表
[root@linuxprobe ~]# vim /etc/hosts.deny
#
# hosts.deny This file contains access rules which are used to
# deny connections to network services that either use
# the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# The rules in this file can also be set up in
# /etc/hosts.allow with a 'deny' option instead.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
sshd:*
[root@linuxprobe ~]# ssh 192.168.10.10
ssh_exchange_identification: read: Connection reset by peer
[root@linuxprobe ~]# vim /etc/hosts.allow
#
# hosts.allow This file contains access rules which are used to
# allow or deny connections to network services that
# either use the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
sshd:192.168.10.
[root@linuxprobe ~]# ssh 192.168.10.10
The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
root@192.168.10.10's password:
Last login: Wed May 4 07:56:29 2017
[root@linuxprobe ~]#
1.在RHEL 7系统中,iptables是否已经被firewalld服务彻底取代?
**答:**没有,iptables和firewalld服务均可用于RHEL 7系统。
2.请简述防火墙策略规则中DROP和REJECT的不同之处。
**答:**DROP的动作是丢包,不响应;REJECT是拒绝请求,同时向发送方回送拒绝信息。
3.如何把iptables服务的INPUT规则链默认策略设置为DROP?
**答:**执行命令iptables -P INPUT DROP即可。
4.怎样编写一条防火墙策略规则,使得iptables服务可以禁止源自192.168.10.0/24网段的流量访问本机的sshd服务(22端口)?
**答:**执行命令iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j REJECT即可。
5.请简述firewalld中区域的作用。
**答:**可以依据不同的工作场景来调用不同的firewalld区域,实现大量防火墙策略规则的快速切换。
6.如何在firewalld中把默认的区域设置为dmz?
**答:**执行命令firewall-cmd --set-default-zone=dmz即可。
7.如何让firewalld中以永久(Permanent)模式配置的防火墙策略规则立即生效?
**答:**执行命令firewall-cmd --reload。
8.使用SNAT技术的目的是什么?
**答:**SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet(互联网)。
9. TCP Wrappers服务分别有允许策略配置文件和拒绝策略配置文件,请问匹配顺序是怎么样的?
**答:**TCP Wrappers会先依次匹配允许策略配置文件,然后再依次匹配拒绝策略配置文件,如果都没有匹配到,则默认放行流量。