Linux学习笔记11
day11
1.网卡配置
首先电脑中对VMnet1进行设置(ipv4-IP/子网掩码)
然后在虚拟机设置(仅主机模式)编辑(网络编辑器-关闭DHCP)
最后再进行配置,四种方法如下:
①vim /etc/sysconfig/network-scripts/ifcfg-eno1677728
②nmtui
③nm-connection-editor
④右上角网络设置
配置完需要重启网卡服务:systemctl restart network
2.防火墙
①iptables
| 参数 | 作用 |
|---|---|
| -P | 设置默认策略 |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I num | 在规则链的头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址IP/MASK,加“!”表示出这个IP外 |
| -d | 匹配目标地址 |
| -i 网卡名称 | 匹配从这块网卡流入的数据 |
| -o 网卡名称 | 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如TCP/UDP/IMCP |
| –dport num | 匹配目标端口号 |
| –sport num | 匹配来源端口号 |
eg:向INPUT链中添加允许ICMP流量进入的策略规则(指定IP):
iptables-I INPUT -s 192.168.10.1 -p icmp -j ACCEPT
删除第一条规则链:
iptables-D INPUT 1
将INPUT规则链设置为只允许指定网段的主机访问本机的22端口:
iptables -I INPUT -s 192.168.10.0/24 -p tvp --fport 22 -j ACCEPT
②firewalld:firewall-cmd(命令行界面)
firewalld运行模式
runtime:当前生效,重启后失效
permanent:当前不生效,重启后生效
(firewall-cmd–reload命令使永久生效表中的规则立即生效)
eg:把firewalld服务中eno16777728网卡的默认区域修改为external,并在系统重启后生效。分别查看当前与永久模式下的区域名称:
firewall-cmd --permanent --zone=external --change-interface=eno16777728
firewall-cmd --get-zone-of-interface=eno16777728
firewall-cmd --permanent --get-zone-of-interface=eno16777728
查询public区域是否允许请求HTTPS协议的流量:
firewall-cmd --zone=public --query-service=https
把firewalld服务中请求HTTPS协议的流量设置为永久允许,并立即生效:
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
把原本访问本机888端口的流量转发到22端口,要且求当前和长期均有效:
格式:firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
在firewalld服务中配置一条富规则,使其拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务(22端口):
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“192.168.10.0/24” service name=“ssh” reject”
③firewalld:firewall-config(图形化界面)
④TCP Wrappers
/etc/host.allow(允许控制列表文件)
/etc/host.deny(拒绝控制列表文件)
先匹配允许列表,允许里有则放行,允许里没有拒绝里有则拒绝,允许里没有拒绝里也没有则也放行交由其他防火墙处理