文档章节

RHEL7.0 防火墙入门

潘金莲子羹
 潘金莲子羹
发布于 2014/11/14 22:55
字数 1548
阅读 151
收藏 0
点赞 0
评论 0

最近手痒,翻出来新出的(其实已经下载了很长时间的)RHEL7.0鼓捣了一下。

7.0有啥更新,自己问度娘了。

我今天要扯扯的是防火墙的部分,没办法,谁叫他常用来着。当然,如果你从来就是disabled,那绕行,省着浪费时间。

安装

如果系统您老人家是下一步、下一步安装的话,恭喜你,你是最小化安装的滴,没桌面环境(我刚开始也是没注意),当然,防火墙也是默认安上了,只是没有图形的配置工具filewall-cofig。

如果干脆安装的时候就没选,也没关系,请yum来帮忙。


安装firewalld

yum install firewalld
yum install firewall-config    这是桌面下的配置工具


这就行了,就是这么任性。

禁用

问题来了,你就是不想学,非得要用iptables

那也没问题。

首先停用

systemctl disable firewalld
systemctl stop firewalld
然后安装iptables服务

yum install iptables-services
启用iptables

systemctl start iptables
systemctl start ip6tables
systemctl enable iptables
systemctl enable ip6tables


关于systemctl(新的管理系统的工具集),有时间再吐槽。

好了,iptables回来了,当然我还是希望你别这么做,其实firewall的底层还是基于iptables的。

如下图

再罗嗦两句,如果要启用,那你就

systemctl start firewalld
systemctl enable firewalld

如果想看看到底是啥状态,那就

[root@localhost zones]# systemctl is-active firewalld
active

或者


[root@localhost zones]# systemctl status firewalld   这里就能看到systemctl工具牛B的地方了。

firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
   Active: active (running) since Mon 2014-11-03 01:57:52 CST; 1 weeks 1 days ago
 Main PID: 1845 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─1845 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Nov 03 01:57:51 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Nov 03 01:57:52 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.

或者

[root@localhost zones]# firewall-cmd --state
running

配置方式

有3种:

1、命令行方式

firewall-cmd,只要你装的firewall软件包,就已经集成了此工具,推荐方式。

2、图形方式

firewall-config,这个就不多说了,安装了桌面环境默认就有了。

3、直接编辑配置文件。

新的firewall的配置都是以xml文件的形式存在。

系统模板文件保存在/usr/lib/firewalld目录

[root@localhost firewalld]# ls
icmptypes  services  zones   三个目录

[root@localhost services]# ls  下面是一堆内置的配置
amanda-client.xml      ipp-client.xml   mysql.xml       rpc-bind.xml
bacula-client.xml      ipp.xml          nfs.xml         samba-client.xml
bacula.xml             ipsec.xml        ntp.xml         samba.xml
dhcpv6-client.xml      kerberos.xml     openvpn.xml     smtp.xml
dhcpv6.xml             kpasswd.xml      pmcd.xml        ssh.xml
dhcp.xml               ldaps.xml        pmproxy.xml     telnet.xml
dns.xml                ldap.xml         pmwebapis.xml   tftp-client.xml
ftp.xml                libvirt-tls.xml  pmwebapi.xml    tftp.xml
high-availability.xml  libvirt.xml      pop3s.xml       transmission-client.xml
https.xml              mdns.xml         postgresql.xml  vnc-server.xml
http.xml               mountd.xml       proxy-dhcp.xml  wbem-https.xml
imaps.xml              ms-wbt.xml       radius.xml

用户创建或是系统修改的配置保存在/etc/firewalld/目录下面。如果你发现这个目录下面啥也没有,不要惊讶,你使用的是默认设置。

[root@localhost firewalld]# ls    .conf那个文件是主配置文件
firewalld.conf  icmptypes  lockdown-whitelist.xml  services  zones

[root@localhost services]# ls  看到了没,下面毛线都没有
[root@localhost services]# 

[root@localhost zones]# ls 这个目录就有东东,因为我把ipv6客户端的连接给默认禁用了。忘了说了,系统默认安装完成,只开了ssh与ipv6连接
public.xml  public.xml.old
cat /etc/firewalld/firewalld.conf  主配置文件是这个样子滴


# firewalld config file

# default zone
# The default zone used if an empty zone string is used.
# Default: public
DefaultZone=public         这块是默认区域,下面马上说这块。

# Minimal mark
# Marks up to this minimum are free for use for example in the direct 
# interface. If more free marks are needed, increase the minimum
# Default: 100
MinimalMark=100

# Clean up on exit
# If set to no or false the firewall configuration will not get cleaned up
# on exit or stop of firewalld
# Default: yes
CleanupOnExit=yes

# Lockdown
# If set to enabled, firewall changes with the D-Bus interface will be limited
# to applications that are listed in the lockdown whitelist.
# The lockdown whitelist file is lockdown-whitelist.xml
# Default: no
Lockdown=no

# IPv6_rpfilter
# Performs a reverse path filter test on a packet for IPv6. If a reply to the
# packet would be sent via the same interface that the packet arrived on, the 
# packet will match and be accepted, otherwise dropped.
# The rp_filter for IPv4 is controlled using sysctl.
# Default: yes
IPv6_rpfilter=yes

啥是区域(zone)

zone这概念windows7开始也有,没发现的,自己找找。

比如你可以指定,从网卡A来的访问,一律都不响应;从网卡B来的访问,只返回ping请求。。。

说白了,就是内置的一些规则配置文件,用来给懒人们用的。

系统默认的zone有9个(从不信任到信任的顺序排序),列表如下:

drop

出去行,进来不行,即使你手工开放了访问,也不行。


block

和上面差不多,虽然也是拒绝访问,但至少告诉人家一声(返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文)。当然,仅仅由系统初始化的网络连接才行。


public(默认)

这是默认的,看上一节的配置文件。

要是用了这个配置,就是告诉人家,你们都是坏人,只有我说你是好人,才是好人。


external

官方文档说这个是用在路由器等启用伪装的外部网络。


dmz

这个区域是说,你相信你们这群人中,还是有几个好人的,但都得听我指挥哈。


work

这个区域是说,我相信你们大多数人都是好同志哈,一号取款机不用密码,连过来吧。


home

和上面的类似


internal

和上面的类似


trusted

啥也不管,谁想进,想出都成。


你要问我细节上有啥区域,真没详细研究过,我只是觉得,相信所有人都是坏人吧,不需要开放的,一率不开放。


配置zone

查看zone设置

要想什么,当前是用的啥子zone,2招

查看/etc/firewalld/firewalld.conf配置文件里面的DefaultZone设置项,见上面的内容

或者用下面的命令

[root@localhost zones]# firewall-cmd --get-default-zone  这种命令,喜欢啊,好记
public

当然还可以用图形工具firewall-config,我推荐还是用firewall-cmd,那样显示啥牛B啊,嘿嘿

修改zone设置

2种方式,或者说3种,图形不再费话了(以下说的都是命令哈)。

第1种,还是改那个配置文件。

第2种,下面这样

[root@localhost zones]# firewall-cmd --set-default-zone=work
success
[root@localhost zones]# firewall-cmd --get-default-zone
work

服务与端口

这可能是我们配防火墙做的最多的事啦。

那,下回再说吧。。。

待续

© 著作权归作者所有

共有 人打赏支持
潘金莲子羹

潘金莲子羹

粉丝 4
博文 34
码字总数 29198
作品 0
沈阳
部门经理
RedHat Enterprise Linux 7简介

我这里列举一部分程序员可能比较感兴趣的地方,主要还是我感兴趣的方面。 1. 系统架构 RedHat Enterprise Linux 7.0 支持更多的CPU,内核和内存。只有64位硬件支持RedHat Enterprise Linux 7...

柳哥 ⋅ 2015/05/07 ⋅ 0

网络装机和kickstart自动处理

PXE(preboot execute environment,预启动执行环境)是由Intel公司开发的最新技术,工作于Client/Server的网络模式,支持工作站通过网络从远端服务器下载映像,并由此支持通过网络启动操作系统...

技术小白JDY ⋅ 2017/12/13 ⋅ 0

Linux忘记root密码解决办法

如果丢失了root口令,那么可以让机器启动进入单用户状态来设置,可重新修改root密码。这样可以方便用户的使用,但同样又有一定的安全隐患,可以使用Grub加密来杜绝安全隐患,本节先介绍忘记密...

日久不生情 ⋅ 2017/11/07 ⋅ 0

Linux系统的pxe自动化运维部署

一、配置虚拟机自动安装 1、根据yum源配置博客:http://13132323.blog.51cto.com/13122323/1951991 首先安装自动应答脚本制作工具yum install system-config-kickstart –y,然后关闭主机的防...

飞天喜欢yu ⋅ 2017/07/29 ⋅ 0

配置本地yum源以及第3方软件仓库的搭建

一Linux rpm安装软件 注意:rpm 安装软件不能很好的解决不同rpm之间的依赖关系,而下面的yum可以很好的解决安装不同安装包之间的依赖关系。 二、Linux yum安装软件 虽然yum可以很好的解决rpm...

wx59e701214b276 ⋅ 2017/11/02 ⋅ 0

Nginx 反向代理 分配方式 防攻击真实Ip

用了这么久的Nginx,现在想做一个Nginx初级入门问题指导。 Nginx用于服务器负载均衡,反向代理。 1. Nginx反向代理局域网服务器,必须将服务器软件防火墙端口开放。 (此处注意区别 硬件防火...

GoogleFan ⋅ 2015/10/13 ⋅ 1

玩转智能路由器-WRTnode开发板[使用技巧]

玩转智能路由器-WRTnode开发板,包括: 快速入门 网络基础知识:IP配置、网关、路由、防火墙、DHCP、DNS Web界面管理 SSH命令行管理 制作一个盒子 连接U盘和网线 使用Python 使用LUA 开发Web...

openthings ⋅ 2015/02/27 ⋅ 0

欢迎大家观看本人录制的51CTO精彩视频课程!

51CTO在近期推出了视频课程学习平台,各大知名讲师陆续发布精彩的IT教学视频,可供那些热爱于IT技术的同学们,而为无法去参加线下培训,提供了一个网络教育平台。 本人有幸被选为51CTO的认证...

nick_zp ⋅ 2013/07/25 ⋅ 0

【转】Linux/Unix笔记本

文章转自:http://www.cnblogs.com/ggjucheng/archive/2012/08/18/2645321.html#2566680 Linux/Unix   了解Linux     Linux入门——个人感想   初入Linux     Windows XP硬盘安装...

张玉涛 ⋅ 2012/11/30 ⋅ 0

RHEL7.0启动时end_request I/O error及piix4_smbus错误提示处理

  在VMWARE虚拟机下安装RHEL7.0,启动时有以下提示。经网上搜索,答复为floppy及piix4_smbus设备加载时找不到设备所致。   解决办法如下: floppy,在BIOS里禁用软驱,重启 piix4smbus,...

科技小能手 ⋅ 2017/11/12 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Sqoop

1.Sqoop: 《=》 SQL to Hadoop 背景 1)场景:数据在RDBMS中,我们如何使用Hive或者Hadoop来进行数据分析呢? 1) RDBMS ==> Hadoop(广义) 2) Hadoop ==> RDBMS 2)原来可以通过MapReduce I...

GordonNemo ⋅ 43分钟前 ⋅ 0

全量构建和增量构建的区别

1.全量构建每次更新时都需要更新整个数据集,增量构建只对需要更新的时间范围进行更新,所以计算量会较小。 2.全量构建查询时不需要合并不同Segment,增量构建查询时需要合并不同Segment的结...

无精疯 ⋅ 53分钟前 ⋅ 0

如何将S/4HANA系统存储的图片文件用Java程序保存到本地

我在S/4HANA的事务码MM02里为Material维护图片文件作为附件: 通过如下简单的ABAP代码即可将图片文件的二进制内容读取出来: REPORT zgos_api.DATA ls_appl_object TYPE gos_s_obj.DA...

JerryWang_SAP ⋅ 今天 ⋅ 0

云计算的选择悖论如何对待?

导读 人们都希望在工作和生活中有所选择。但心理学家的调查研究表明,在多种选项中进行选择并不一定会使人们更快乐,甚至不会产生更好的决策。心理学家Barry Schwartz称之为“选择悖论”。云...

问题终结者 ⋅ 今天 ⋅ 0

637. Average of Levels in Binary Tree - LeetCode

Question 637. Average of Levels in Binary Tree Solution 思路:定义一个map,层数作为key,value保存每层的元素个数和所有元素的和,遍历这个树,把map里面填值,遍历结束后,再遍历这个map,把每...

yysue ⋅ 今天 ⋅ 0

IDEA配置和使用

版本控制 svn IDEA版本控制工具不能使用 VCS-->Enable Version Control Integration File-->Settings-->Plugins 搜索Subversion,勾选SVN和Git插件 删除.idea文件夹重新生成项目 安装SVN客户......

bithup ⋅ 今天 ⋅ 0

PE格式第三讲扩展,VA,RVA,FA的概念

作者:IBinary 出处:http://www.cnblogs.com/iBinary/ 版权所有,欢迎保留原文链接进行转载:) 一丶VA概念 VA (virtual Address) 虚拟地址的意思 ,比如随便打开一个PE,找下它的虚拟地址 这边...

simpower ⋅ 今天 ⋅ 0

180623-SpringBoot之logback配置文件

SpringBoot配置logback 项目的日志配置属于比较常见的case了,之前接触和使用的都是Spring结合xml的方式,引入几个依赖,然后写个 logback.xml 配置文件即可,那么在SpringBoot中可以怎么做?...

小灰灰Blog ⋅ 今天 ⋅ 0

冒泡排序

原理:比较两个相邻的元素,将值大的元素交换至右端。 思路:依次比较相邻的两个数,将小数放在前面,大数放在后面。即在第一趟:首先比较第1个和第2个数,将小数放前,大数放后。然后比较第...

人觉非常君 ⋅ 今天 ⋅ 0

Vagrant setup

安装软件 brew cask install virtualboxbrew cask install vagrant 创建project mkdir -p mst/vmcd mst/vmvagrant init hashicorp/precise64vagrant up hashicorp/precise64是一个box......

遥借东风 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部