《linux就该这么学》第十节课：第8章iptables和firewalld

        网卡配置：

物理机：192.168.10.1/24

服务器：192.168.10.10/24

客户端：192.168.10.20/24

        1、vim  /etc/sysconfig/network-scripts/ifcfg-eno16777728

        2、nmtui（5和6中是setup）

        3、nm-connection-editor

        4、右上角点击

linux中一切都是文件

配置服务就是更改服务的配置文件

想获取服务最新配置需要重启服务

第八章

8.1、防火墙管理工具

RHEL7中firewalld取代了iptables，但是在RHEL7中两款防火墙工具都可以使用。

8.2、iptables

  策略与规则连

iptables的策略条目成为规则，多条规则组成一个规则链，规则链按照数据包的位置不同分类：

PREROUTING：进行路由选择前处理数据包

INPUT：处理流入的数据包

OUTPUT：处理流出的数据包

FORWARD：处理转发的数据包

POSTROUTING：进行路由选择后处理数据包

而针对数据包处理的动作相应的有：

ACCEPT：允许流量通过

REJECT：拒绝流量通过

LOG：记录日志信息

DROP：拒绝流量通过

iptables中命令参数

iptables中有“四表五链”的概念，但这里不用了解这些概念。

  iptables可根据原地址目标地址等信息由上至下依次匹配，一旦匹配会立即作出相应动作并跳出匹配列表。因此需把优先级高的策略放到前面。

-P           //设置默认策略

-F           //清空规则链

-L           //查看规则链

-A           //在规则链的末尾加入新规则

-I num     // 在规则链的头部加入新规则

  -D num   // 删除某一条规则

-s           //匹配来源地址IP/MASK，加叹号“!”表示除这个IP外

-d           //匹配目标地址

-i            //网卡名称 匹配从这块网卡流入的数据

  -o          // 网卡名称 匹配从这块网卡流出的数据

-p          // 匹配协议，如TCP、UDP、ICMP

--dport num         //匹配目标端口号

--sport num         //匹配来源端口号

  -j          //动作匹配

8.3、firewalld

firewalld拥有给予cli和gui两种管理方式。

firewall加入了区域概念，也就是防火墙策略模板，方便在不同的场合快速切换。常见的区域有一下几种：

trusted       //允许所有的数据包

home         //拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许流量

internal      // 等同于home区域

work          //拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许流量

public        // 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量

external     // 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量

dmz           //拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量

block         //拒绝流入的流量，除非与流出的流量相关

drop          //拒绝流入的流量，除非与流出的流量相关

终端管理工具

firewalld的命令行是效率非常高的工作方式，CLI管理的命令行为：firewall-cmd，参数一般为长格式：

  --get-default-zone                              //查询默认的区域名称

  --set-default-zone=<区域名称>        //设置默认的区域，使其永久生效

--get-zones                                         //显示可用的区域

--get-services                                    //显示预先定义的服务

  --get-active-zones                           //显示当前正在使用的区域与网卡名称

--add-source=                                    //将源自此IP或子网的流量导向指定的区域

--remove-source=                            //不再将源自此IP或子网的流量导向某个指定区域

--add-interface=<网卡名称>            //将源自该网卡的所有流量都导向某个指定区域

--change-interface=<网卡名称>      //将某个网卡与区域进行关联

    --list-all                                               //显示当前区域的网卡配置参数、资源、端口以及服务等信息

--list-all-zones                                   //显示所有区域的网卡配置参数、资源、端口以及服务等信息

--add-service=<服务名>                 // 设置默认区域允许该服务的流量

--add-port=<端口号/协议>              //设置默认区域允许该端口的流量

--remove-service=<服务名>           //设置默认区域不再允许该服务的流量

--remove-port=<端口号/协议>        //设置默认区域不再允许该端口的流量

--reload                                          //让“永久生效”的配置规则立即生效，并覆盖当前的配置规则

--panic-on                                      //开启应急状况模式

--panic-off                                      //关闭应急状况模式

--permanent                                   //若要是永久生效就加此参数

firewall-cmd的永久生效模式需要重启才可以生效，想要立即生效，需要手动执行firewall-cmd   --reload  命令。

另外还有一些其他实用的参数命令：

--get-zone-of-interface=<网卡名称>      //查询当前网卡所在区域

--zone                                                   //用于设置或查询区域

--list-                                                     //后面跟服务，端口等等，列出相关的查询

流量转发命令：firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

        例如：firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10

firewalld中富规则是表示更详细，更细致的策略配置，可针对服务，端口等诸多信息更有针对性的策略配置，优先级也最高。

例：firewall-cmd  --permanent  --zone=public  --add-rich-rule="rule  family="ipv4" source address="192.168.10.10/24" service name="ssh" reject"

fileewalld的图形化管理工具：

1：选择运行时（Runtime）模式或永久（Permanent）模式的配置。

2：可选的策略集合区域列表。

3：常用的系统服务列表。

4：当前正在使用的区域。

5：管理当前被选中区域中的服务。

6：管理当前被选中区域中的端口。

7：开启或关闭SNAT（源地址转换协议）技术。

8：设置端口转发策略。

9：控制请求icmp服务的流量。

10：管理防火墙的富规则。

11：管理网卡设备。

12：被选中区域的服务，若勾选了相应服务前面的复选框，则表示允许与之相关的流量。

13：firewall-config工具的运行状态。

 

（借鉴请改动）

复习：nmtui、firewall-cmd

预习:第八章，第九章