配置ip方法
操作 把虚拟机的网卡vm1 ip 192.168.10.1 255.255.255.0
1
vim etc/sysconfig/network-scripts/ifcfg-eno16777728
2 nmtui 用这个比较习惯哈哈 记得打开网卡!!!!!
改完ip记得systemctl restart network
vim etc/sysconfig/network-scripts/ifcfg-eno16777728里的ONBOOT 记得改成yes!!!
四个方法配置防火墙 iptables工具
由外到内 input
由内到外 ouput
forward 转发第三方服务器处理
路由前
路由后
动作 : 允许 拒绝(并回复) 拒绝(悄悄地拒绝) 日志
accept reject Drop log
参数 | 作用 |
-P | 设置默认策略 |
-F | 清空规则链 |
-L | 查看规则链 |
-A | 在规则链的末尾加入新规则 |
-I num | 在规则链的头部加入新规则 |
-D num | 删除某一条规则 |
-s | 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 |
-d | 匹配目标地址 |
-i 网卡名称 | 匹配从这块网卡流入的数据 |
-o 网卡名称 | 匹配从这块网卡流出的数据 |
-p | 匹配协议,如TCP、UDP、ICMP |
--dport num | 匹配目标端口号 |
--sport num | 匹配来源端口号 |
iptables -L 显示当前所有的策略
iptables -F 清空所有的策略
INPUT 从外到内,默认是允许所有进来
设置拒绝
iptables -P INPUT -DROP 限制了所有的从外部到内部的流量。(ping也ping不通,shell也进不去)
iptables -I INPUT -p icmp -j ACCEPT -p 协议 -j 动作 (ACCEPT或者REJECT) 放行了从外部到内部的ping的请求。
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT 放行了端口号(xshell允许链接)
允许所有
iptables -P INPUT ACCEPT
禁止某个人
iptables -I INPUT -p tcp -s 192.168.10.0/24 --dport -j REJECT
firewalld
查看firewalld服务当前所使用的区域:
firewall-cmd --get-default-zone
查询eno16777728网卡在firewalld服务中的区域:
firewall-cmd --get-zone-of-interface=eno16777728
把firewalld服务中eno16777728网卡的默认区域修改为external,并在系统重启后生效。分别查看当前与永久模式下的区域名称:
firewall-cmd --permanent --zone=external --change-interface=eno16777728
firewall-cmd --get-zone-of-interface=eno16777728
firewall-cmd --permanent --get-zone-of-interface=eno16777728
把firewalld服务的当前默认区域设置为public并查看区域
firewall-cmd --set-default-zone=public
firewall-cmd --get-default-zone
启动紧急模式,阻断一切网络连接(当远程控制服务器时请慎用)
firewall-cmd --panic-on
解除
firewall-cmd --panic-off
查询public区域是否允许请求SSH和HTTPS协议的流量:
firewall-cmd --zone=public --query-service=ssh yes
firewall-cmd --zone=public --query-service=https no
如何启动呢
firewall-cmd --permanent --zone=public --add-service=https
记得reload
firewall-cmd --reload
再次查看
firewall-cmd -zone=public ==query-service=https yes
把在firewalld服务中访问8080和8081端口的流量策略设置为允许,但仅限当前生效:
firewall-cmd --zone=public --add-port=8080-8081/tcp
firewall-cmd --zone=public --list-ports
8080-8081/tcp
tcp Wrappers 服务的访问控制列表
两个配置文件
/etc/hosts.allow 允许 高于拒绝
/etc/hosts.deny 拒绝
先写拒绝:
sshd:192.168.10. 代指10.0的网段
配置好后ssh就连不进了
允许同理。
拒绝策略规则文件
完。