1、编辑配置网卡信息方法:
1.1 编辑配置文件:vim /etc/sysconfig/network-scripts/ifcfg-lo
1.2 nmtui命令:图形化配置
1.3 nm-connection-editor命令:图形化配置
1.4 桌面右上角图形化工具配置
2、IPTABLES---操作篇
2.1 动作:
1)允许 ACCEPT
2) 拒绝 REJECT #会在拒绝流量后再回复一条“您的信息已经收到,但是被扔掉了”信息,从而让流量发送方清晰地看到数据被拒绝的响应信息
3) 丢弃 DROP #直接将流量丢弃而且不响应
4)日志 LOG
【注意】考试红帽认证的时候,如果说要拒绝某个流量,那么就一定要使用REJECT。
【详细iptables参考这篇文档:http://www.zsythink.net/archives/1199】
2.2 命令:
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址 IP/MASK,加叹号“!”表示除这个 IP 外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如 TCP、UDP、ICMP
-j 采用的动作,ACCEPT或者REJECT,DROP
--dport num 匹配目标端口号
--sport num 匹配来源端口号
【特别注意】使用 iptables 命令配置的防火墙规则默认会在系统下一次重启时失效,如果 想让配置的防火墙策略永久生效,还要执行保存命令:service iptables save
例子:
iptables -I INPUT -p icmp -s 192.168.232.137 -j ACCEPT
#在处理流入的数据包时,允许源IP地址192.168.232.137的主机通过icmp协议连接服务器。
iptables -I INPUT -p icmp -j REJECT
#拒绝所有以icmp协议流入的数据包。
iptables -I OUTPUT -p icmp -j REJECT
#拒绝本地所有以icmp协议出去的数据包。
iptables -D INPUT 1
#删除规则链中INPUT位置的第一条,既使用iptables -L查看规则链,找到INPUT位置,从上往下依次从1开始计数
【练习题】
(1)向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则:
iptables -I INPUT -p tcp --dport 12345 -j REJECT
(2)向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口(web服务)的策略规则:
iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
(3)向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则:
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT