十一 防火牆

2022-08-17 09:42:10 字數 2689 閱讀 3667

防火牆的種類

包過濾防火牆 linux

**型防火牆 windows isa

狀態檢測防火牆 asa硬體路由器

混合防火牆 商用防火牆(nokia f5)

rhel7中存在的防火牆種類

firewalld

iptables

ebtables

相互衝突的

firewalld配置方法和iptables不同,但是底層呼叫的是iptables命令

systemctl mask iptables

systemctl mask ebtables

一、iptables

1、filter:

主要用於過濾,是系統預設的表

內建三個鏈:

input:作用於進入本機的包;

output:作用於本機送出的包;

forward:作用於哪些和本機無關的包,**包;

2、nat:

主要用處是網路位址轉換

內建三個鏈:

prerouting:包剛剛到達防火牆時改變它的目的位址;

output:改變本地的包的目的位址;

postrouting:包就要離開防火牆之前改變其源位址;

3、mangle:

主要用於給資料報打標記,然後根據標記去操作哪些包。

4、iptables基本語法:

iptables -t nat -nvl 檢視規則(預設filter表)

iptables -f 清除規則

iptables -z 把包以及流量計數器置零

-a 增加規則

-d 刪除規則

-i 插入規則

-p 指定協議

-p 預設策略

--dport 跟-p一起使用,指定目標埠

--sport 跟-p一起使用,指定源埠

-s 指定源ip(可以是乙個ip段)

-d 指定目的ip(可以是乙個ip段)

-j 後跟動作,其中accept表示允許包,drop表示丟掉包,reject表示拒絕包;

-i 指定網絡卡(不常用,但有時候能用到);

例:iptables -nvl --line-numbers 檢視規則序號

iptables -i input -p icmp --icmp-type 8 -j drop

這個8指的是能在本機ping通其他機器,而其他機器不能ping通本機

iptables -i input -s 2.2.2.2 -p tcp --dport 80 -j drop

把來自2.2.2.2,並且是tcp協議到本機的80埠的資料報丟掉

iptables -d input -s 1.1.1.1 -j drop

來自1.1.1.1的所有資料報都丟掉

5、nat表的應用

二、selinux

selinux會給每個檔案分配乙個標籤。

ls -z 檢視檔案/目錄的selinux標籤

ps auxz 檢視程序的selinux標籤

標籤不匹配,即使有許可權,也不能訪問。

只通過許可權訪問的叫dac

許可權+selinux,叫mac強制訪問方式。

標籤學名叫做selinux上下文。(context)

selinux開啟後,每個檔案都有上下文。

selinux是否開啟?

getenforce

sestatus

修改selinux下次啟動模式

vim /etc/sysconfig/selinux /selinux/config

disabled 關閉selinux

permissive 警告,不滿足上下文的要求,依然可以訪問

enforcing 強制,不滿足上下文,拒絕

setenforce 0|1

mv 不修改selinux上下文

cp 繼承目標目錄的selinux上下文

修改selinux上下文

chcon -r -t selinux上下文 檔案/目錄

-r 遞迴到子目錄

-t 上下文的型別

restorecon -r 檔案/目錄 繼承當前目錄的上下文

上下文的快速模仿?

chcon -r --reference=/var/www/html index.html

selinux 布林值

是針對服務的開關(附加開關)

如果selinux布林開關關閉了,即使服務允許,最終是拒絕的。

檢視selinux 布林開關

getsebool -a 檢視所有服務的開關

setsebool -p 需要修改的seliux服務布林開關 on|off

圖形化管理selinux

yum whatprovides system-config-selinux

yum install policycoreutils-gui

system-config-selinux

selinux錯誤

setroubleshootd

命令列檢視selinux衝突

cat /var/log/audit/audit.log | grep sealert

cat /var/log/messages | grep sealert

sealert -l 2065d1c2-42a7-4ca1-a952-a2a16f7d4cb7

Linux學習十一 防火牆

selinux執行模式的切換 命令 說明setenforce 1 0 切換防火牆 getenforce 檢視模式selinux執行模式 系統服務 管理工具 防火牆常見區域 區域 預設的保護規則集 防火牆判定原則 進入預設區域 預設情況下為public 配置規則的位置 相關命令 命令說明 firewa...

實驗一防火牆的使用

將hr的優先順序設為12 將sales的優先順序設為10 將it的優先順序設為8 將server1,server2的優先順序設為14 低優先順序向高優先順序為inbound,高到低位outbound 1 pc1和pc2之間不能訪問 開啟hr和sales之間的防火牆 防火牆機制是優先順序高的訪問低的可...

linux運維開發(一) 防火牆

解決問題 linux是系統部署常用的系統,但是經常由於我們忘記防火牆的存在導致訪問失敗,為了解決這個問題,我們需要對防火牆進行關閉操作,對於常見的系統我們提供了以下幾種解決方式 暴力解決 整體關閉 systemctl stop firewalld systemctl disable firewall...