标签：iptables zone -- cmd public firewall learning tenth day

配置yum仓库源：

1.光盘默认指向rhel8镜像文件，识别为/dev/cdrom

2.创建目录/media/cdrom ，并挂载/dev/cdrom ，注意他的文件系统格式为iso9660

3.配置/etc/yum.repos.d/下面新建一个以.repo结尾的文件再编辑

     [haha]

     name=rhel8_BaseOS

     baseurl=file:///media/cdrom/BaseOS 安装系统使用

     enabled=1

    gpgcheck=0

    [heihei]

    name=rhel8_AppsStream

    baseurl=file:///media/cdrom/AppStream 软件包

    enabled=1

     gpgcheck=0

注：rhel5/6/7只需写出/media/cdrom这个根目录就行，rhel8需要写出BaseOS和

AppStream这俩具体位置

防火墙：

iptables:

   允许：ACCEPT 拒绝：DROP 不会有回应，直接丢弃，并不能知道是否在线

   拒绝：REJECT 会得到回应，明确拒绝了你 日志：LOG

   IPtables: 策略从上到下依次匹配，上面优先级高

   iptables -L 查看规则链 ； iptables -F 清空所有规则链 ；-P 表名 策略 :设置表策略

   -I 表 在规则链头部插入，存放优先级高的 ； -A 表 在规则链尾部添加

   -D 表名 数字 ：删除第几条规则 -p 跟协议

    iptables -I INPUT -p tcp --dport 22 -j ACCEPT 允许ssh

     iptables -I INPUT -p icmp -j ACCEPT 允许ping

    iptables -D INPUT 2 删除第二条规则

    service iptables save 保存配置，重启就不会丢失

Firewalld：默认是runtime

   runtime:当前生效，而重启后失效

   permanent: 当前不生效，而重启后生效，可以firewall-cmd --reload重启服务使当前生效

   查询某一端口号：firewalld-cmd --zone=public --query-port=80/tcp

   列举允许的所有端口 ： firewalld-cmd --zone=public --list-ports

   添加某一端口：firewalld-cmd --zone=public --add-port=80/tcp

   查询某一服务：firewalld-cmd --zone=public --query-service=ssh

  列举允许的所有服务: firewall-cmd --zone=public --list-services

  移除某一服务： firewall-cmd --zone=public --remove-service=**

   永久开启某一服务：firewalld-cmd --permanent --zone=public --add-service=**

    查询重启后的状态（=永久）：firewalld-cmd --permanent --zone=public --query-service=**

扩展：设置到36000端口的tcp包转发到主机192.168.159.128的22端口

firewall-cmd --permanent --zone=public --add-forward-port=port=36000:proto=tcp:toport=22:toaddr=192.168.159.128

注： 重启或者reload后生效

富（复）规则：拒绝来自192.168.159.1的ssh服务

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.159.1" service name="ssh" reject"

注：重启或者reload后生效

总结：firewall与iptables的不同：

        iptables是以规则组成，规则具有优先级（自上而下）

       firewall是针对服务，服务开启（add）即允许，服务(remove)即--list-services显示所有服务里面没有即拒绝。只有“富规则”里可添加某一规则，产生优先级!!!!!!!!!!!

扩展一：以网页形式配置主机各种东西（网络、存储、账户等）

yum install cockpit

systemctl restart cockpit

systemctl enable cockpit.socket

物理机打开浏览器输入：虚拟机ip:9090 账户为虚拟机账户，即可实现

扩展二：rhel5/6/7里面：/etc/hosts.allow天使文件 /etc/hosts.deny恶魔文件

可以直接编辑这两个文件达到允许/拒绝某服务访问

如：allow:添加一行 sshd :192.168.159.1 允许.1主机访问sshd服务

deny:添加一行 sshd :192.168.159.0/24 不允许159.0 网段访问sshd服务

结果：除了.1主机可访问sshd服务，该网段其余主机不可访问

标签：iptables,zone,--,cmd,public,firewall,learning,tenth,day
来源： https://blog.csdn.net/weixin_46724470/article/details/119064074

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。