防火墙和SELinux复习02

1.防火墙

　　防火墙主要起隔离作用，严格的过滤入站，允许出站。又分为硬件防火墙和软件防火墙，硬件防火墙主要保护一群机器，而软件防火墙主要保护本机。

　防火墙相关命令：systemctl status firewalld.service #查看防火墙当前状态

　　　　　　　　　systemctl start firewalld　　　　#启动防火墙

　　　　　　　　　systemctl stop firewalld　　　　#关闭防火墙

　　　　　　　　　systemctl enable firewalld          #开机自动启动

　　　　　　　　　systemct; disable firewalld　　 #开机自动关闭

　　　　　　　　防火墙有四个区域，当受到访问时根据匹配原则匹配到相应的区域。

匹配原则：  　　1.查看数据包中的源IP，查询区域中的规则，哪一个区域中有这个IP，就进入哪一个区域。匹配即停止。

　　　　　  　　2.若没有找到相应的规则，则进入当前默认的区域。

四个保护规则集：public：默认允许sshd dhcp ping 服务

　　　　　　　　trusted：允许任何访问

　　　　　　　　block：明确的拒绝访问

　　　　　　　　drop：丢弃所有来访的数据包

查询防火墙的默认区域：firewall-cmd --get-default-zone

修改默认区域：　　　　firewall-cmd --set-default-zone=publid

查看规则里的协议：　　firewall-cmd --zone=public --list-all

若要往默认规则里添加协议：firewall-cmd --zone=public --add-service=ftp

永久设置：firewall-cmd --permanent --zone=public --add-service=ftp

刷新防火墙：firewall-cmd --reload

若是要单独拒绝某个源IP地址，就把IP地址写入block     firewall-cmd --zone=block --add-source=源IP

删除即把add改为remove

实现本机的端口映射：如使得5444端口映射到80端口

　　　　　　　　firewall-cmd --permanent --zone=public --add-forward-port=port=5444:proto=tcp:topert=80:toaddr=192.168.142.139

验证：firefox 192.168.142.139 :5444 默认跳转到80端口，HTTP服务

端口的概念:协议或程序的编号

常见的端口：http : 80

　　　　　　httpd:443

　　　　　　ftp:21

　　　　　　TFTP: 69

　　　　　　telnet:23

　　　　　　DNS:53   #远程管理协议

　　　　　　snmp:161  #简单的网络管理协议　　　　

　　　　　　smtp :25  #邮件协议

　　　　　　pop3:110

二、SELinux安全机制：一套增强Linux系统安全的强制访问控制协议

运行模式： enforcing（强制）   　　permissive（宽松）　　　　disabled(彻底关闭)

临时修改：sentenforce 1(开启)       0（关闭）

查看：gentenforce

永久配置文件：/etc/selinux/config