防火墙的种类
包过滤防火墙 Linux
代理型防火墙 windows ISA
状态检测防火墙 ASA硬件路由器
混合防火墙 商用防火墙(Nokia F5)
RHEL7中存在的防火墙种类
firewalld
iptables
ebtables
相互冲突的
firewalld配置方法和iptables不同,但是底层调用的是iptables命令
systemctl mask iptables
systemctl mask ebtables
一、iptables
1、filter:
主要用于过滤,是系统预设的表
内建三个链:
INPUT:作用于进入本机的包;
OUTPUT:作用于本机送出的包;
FORWARD:作用于哪些和本机无关的包,转发包;
2、nat:
主要用处是网络地址转换
内建三个链:
PREROUTING:包刚刚到达防火墙时改变它的目的地址;
OUTPUT:改变本地的包的目的地址;
POSTROUTING:包就要离开防火墙之前改变其源地址;
3、mangle:
主要用于给数据包打标记,然后根据标记去操作哪些包。
4、iptables基本语法:
iptables -t nat -nvL 查看规则(默认filter表)
iptables -F 清除规则
iptables -Z 把包以及流量计数器置零
-A 增加规则
-D 删除规则
-I 插入规则
-p 指定协议
-P 预设策略
--dport 跟-p一起使用,指定目标端口
--sport 跟-p一起使用,指定源端口
-s 指定源IP(可以是一个ip段)
-d 指定目的IP(可以是一个ip段)
-j 后跟动作,其中ACCEPT表示允许包,DROP表示丢掉包,REJECT表示拒绝包;
-i 指定网卡(不常用,但有时候能用到);
例:
iptables -nvL --line-numbers 查看规则序号
iptables -I INPUT -p icmp --icmp-type 8 -j DROP
这个8指的是能在本机ping通其他机器,而其他机器不能ping通本机
iptables -I INPUT -s 2.2.2.2 -p tcp --dport 80 -j DROP
把来自2.2.2.2,并且是tcp协议到本机的80端口的数据包丢掉
iptables -D INPUT -s 1.1.1.1 -j DROP
来自1.1.1.1的所有数据包都丢掉
5、nat表的应用
二、SELinux
SELinux会给每个文件分配一个标签。
ls -Z 查看文件/目录的SELinux标签
ps auxZ 查看进程的SElinux标签
标签不匹配,即使有权限,也不能访问。
只通过权限访问的叫DAC
权限+SELinux,叫MAC强制访问方式。
标签学名叫做SELinux上下文。(context)
SELinux打开后,每个文件都有上下文。
SELinux是否打开?
getenforce
sestatus
修改SELinux下次启动模式
vim /etc/sysconfig/selinux /selinux/config
disabled 关闭SELinux
permissive 警告,不满足上下文的要求,依然可以访问
enforcing 强制,不满足上下文,拒绝
setenforce 0|1
mv 不修改SELinux上下文
cp 继承目标目录的SELinux上下文
修改SELinux上下文
chcon -R -t SELinux上下文 文件/目录
-R 递归到子目录
-t 上下文的类型
restorecon -R 文件/目录 继承当前目录的上下文
上下文的快速模仿?
chcon -R --reference=/var/www/html index.html
SELinux 布尔值
是针对服务的开关(附加开关)
如果SELinux布尔开关关闭了,即使服务允许,最终是拒绝的。
查看SELinux 布尔开关
getsebool -a 查看所有服务的开关
setsebool -P 需要修改的SELiux服务布尔开关 on|off
图形化管理SElinux
yum whatprovides system-config-selinux
yum install policycoreutils-gui
system-config-selinux
SELinux错误
setroubleshootd
命令行查看SELinux冲突
cat /var/log/audit/audit.log | grep sealert
cat /var/log/messages | grep sealert
sealert -l 2065d1c2-42a7-4ca1-a952-a2a16f7d4cb7