zoukankan      html  css  js  c++  java

  • Centos7常用操作

    1.虚拟机环境下centos的防火墙可以关闭,否则主机调用虚拟机的相关服务时需要调整相应端口:

    CentOS7:

    systemctl stop firewalld.service #停止
    systemctl disable firewalld.service #禁用
    之前的版本:
    service iptables stop #停止
    chkconfig iptables off #禁用

    永久关闭防火墙: chkconfig iptables off

    检查防火墙状态: service iptables status

    CentOS7防火墙firewalld详解

     Rachy1989 2018-04-29 来源:51CTO

    centos7的防火墙:

    centos7不再使用iptables,而是使用firewalld

    若不想使用firewalld,而继续使用iptables,可以先停掉firewalld,并且安装iptables-services包

    查看firewalld状态:systemctl status firewalld

    停掉firewalld:systemctl stop firewalld

    开机不启动firewalld:systemctl disable firewalld

    安装iptables服务:yum install -y iptables-service

    开机启动iptables:systemctl enable iptables

    启动iptables:systemctl start iptables

    firewalld的使用:

    centos6上使用的是静态防火墙,规则保存在/etc/sysconfig/iptables,更新规则后需要重新加载或者重启iptables服务,相当于把之前的规则全部清空,再把配置文件中的规则加载一遍。

    而centos7使用了动态防火墙,即firewalld,这种防火墙更改了规则不需要重新加载配置。

    无论是firewalld还是iptables服务,底层都是使用iptables工具来配置规则的。

    firewalld有zone和service的概念,每一个zone的规则不一样,默认有9个zone。centos7默认使用的zone是public。

    查看所有的zone:firewall-cmd --get-zones

    查看默认的zone:firewall-cmd --get-default-zone

    firewalld的9个zone介绍:

    drop(丢弃):任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接。

    block(限制):任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。

    public(公共):在公共区域内使用,不能相信网络内其他计算机不会对您的计算机造成危害,只能接收经过选择的连接。

    external(外部):特别是为路由器启用了伪装功能的外部网,您不能信任来自网络的其他计算机,不能想他他们不会对你的计算机造成危害,只能接收经过选择的连接。

    dmz(非军事区):用于您的非军事区内的电脑,此区域内可公开访问,可以有限的进入你的内部网络,仅仅接收经过选择的连接。

    work(工作):用于工作区,你可以基本相信网络内的其他电脑不会危害你的电脑,仅仅接收经过选择的连接。

    home(家庭):用于家庭网络,你可以基本相信网络内的其他计算机不会危害你的计算机,仅仅接收经过选择的连接。

    internal(内部):用于内部网络,你可以基本相信网络内的其他计算机不会危害你的计算机,仅仅接收经过选择的连接。

    trusted(信任):可接受所有的网络连接。

    指定其中一个zone为默认的zone是可行的。当接口连接加入了NetworkManager,它们就被分配为默认的zone,安装时firewalld默认的zone为public。

    firewalld zone相关命令的用法

    设置默认的zone:firewalld-cmd --set-default-zone=work

    查看指定网卡所在的zone:firewall-cmd --get-zone-of-interface=eno16777736

    设置指定网卡所在的zone:firewall-cmd --zone=public --add-interface=lo

    更改指定网卡所在的zone:firewall-cmd --zone=dmz --change-interface=lo

    删除指定网卡所在的zone:firewall-cmd --zone=dmz --remove-interface=lo

    查看所有网卡所在的zone:firewall-cmd --get-active-zones

    firewalld service介绍

    在/usr/lib/firewalld/services/目录中,还保存了另外一类配置文件,每个文件对应一项具体的网络服务,如ssh服务等。

    与之对应的配置文件中记录了各项服务所使用的tcp/udp端口,在最新版的firewalld中默认已经定义了70多种服务供我们使用。

    zone就是调用了不同的service而实现了不同的效果。

    列出所有的service:firewall-cmd --get-services

    列出当前zone下加载的service:firewall-cmd --list-services

    查看指定zone下面的service:firewal-cmd --zone=public --list-services

    给指定zone添加service:firewall-cmd --zone=public --ad-service=http

    这个改动不会保存到配置文件里,要想保存到配置文件里面,需要加上--permanent:

    firewall-cmd --zone=public --add-service=http --permanent

    既然可以增加,同样也可以删除,下面命令会从配置文件中永久删除public zone中的http服务:firewall-cmd --zone=public --remove-service=http --permanent

    firewalld规则

    假设自定义的ssh端口号为12222,使用下面的命令来添加新端口的防火墙规则:

    firewall-cmd --add-port=12222/tcp --permanent

    使用--permanent参数可以将更改保存到配置文件。

    防火墙配置文件也可以手动修改,修改后记得重新加载:firewall-cmd --reload

    这种情况下重新加载防火墙并不会中断用户连接,也可以彻底加载,这时候会中断用户连接,也会丢弃状态信息:firewall-cmd --complete-reload

    还可以添加一个端口范围:firewall-cmd --add-port=2000-4000/tcp

    针对指定zone添加端口:firewall-cmd --permanent --zone=home --add-port=443/tcp

    启动端口转发,例如把22端口转发到127.0.0.2:firewall-cmd --permanent --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2

    firewalld配置文件

    两个路径/etc/firewalld/和/usr/lib/firewalld

    系统使用的是/etc/firewalld下面的配置文件

    在/etc/firewalld/zones下面只有一个public.xml,如果给另外一个zone做一些改动,并永久保存,那么会自动生成对应的配置文件

    比如,给work zone增加一个端口:firewall-cmd --permanent --zone=work --add-port=1000/tcp

    此时就会生成一个work.xml的配置文件

    需求:修改ftp的端口,默认ftp的端口是21,需要改为1121

    cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/

    vim /etc/firewalld/services/ftp.xml //把21改为1121

    vim /etc/firewalld/zones/work.xml //work为默认zone,所以要编辑这个,增加一行<service name="ftp"/>

    firewall-cmd --reload //重新加载
  • 相关阅读:
    C# XML 文档注释
    大数据知识学习
    现在的人,买个钢铁做的车,每天擦,每周打蜡。可对自已的身体最应该保养的“车”,却从不养护
    Asp.net项目因Session阻塞导致页面打开速度变慢
    AvoidRepeatSubmit通过Javascript避免客户端重复提交请求
    Linux下Attansic L2 网卡驱动安装
    如果知道dll文件是面向32位系统还是面向64位系统的?
    整理C# 二进制,十进制,十六进制 互转
    连接Oracle时出现“System.AccessViolationException: 尝试读取或写入受保护的内存。这通常指示其他内存已损坏。”错误的问题
    [转]删除hbase表region块脚本
  • 原文地址:https://www.cnblogs.com/wusheng2016/p/8992146.html
Copyright © 2011-2022 走看看