精华内容
下载资源
问答
  • 不关闭防火墙,我们ping Linux服务器的IP会ping不通,...So,针对特殊情况我们还要对防火墙策略进行相关配置。 1.防火墙的关闭方式(这里只讲述如何关闭) Centos6: 查看防火墙状态:service iptables status 仅...

    不关闭防火墙,我们ping Linux服务器的IP会ping不通,所以我们要对防火墙进行设置。

    但有时我们发现防火墙关闭后虽然能正常ping通linux服务器,但是在服务器上部署的Web程序仍旧无法访问。

    So,针对特殊情况我们还要对防火墙策略进行相关配置

    1.防火墙的关闭方式(这里只讲述如何关闭)

    Centos6:

    查看防火墙状态:service iptables status

    仅关闭防火墙:service iptables stop

    关闭防火墙及相关服务:chkconfig iptables off 

    Centos7:

    查看防火墙状态: systemctl status firewalld

    停止防火墙: systemctl disable firewalld
    禁用防火墙: systemctl stop firewalld

    2.清除防火墙策略

    清除所有规则来暂时停止防火墙:iptables -F

    (警告:这只适合在没有配置防火墙的环境中,如果已经配置过默认规则为deny的环境,此步骤将使系统的所有网络访问中断)

     

    如果想清空的话,先执行: iptables -P INPUT ACCEPT

    然后再执行:iptables -F

     

    通过iptables -L 看到如下信息

    Chain INPUT (policy DROP)  (注意 DROP

    执行/sbin/iptables -F就肯定立马断开连接

    当执行了

    /sbin/iptables -P INPUT ACCEPT

    再次通过iptables -L看信息的话就是

    Chain FORWARD (policy ACCEPT)

    现在可以安全使用iptables -F了

     

    清空前策略如下图:

    清空后策略如下图:所有策略都变为 ACCEPT

    展开全文
  • 两种编写防火墙策略的工具ip table,firewalld 防火墙策略,控制进出 firewalld的域 trusted信任域, 接受所有的网络连接 home家庭域 用于家庭网络,仅接受ssh,mdns,ipp-client,samba-client,dhcpv6-client服务...

    防火墙,也相当于一个内核上的插件
    两种编写防火墙策略的工具ip table,firewalld
    防火墙策略,控制进出

    firewalld的域

    trusted信任域,	接受所有的网络连接
    home家庭域		用于家庭网络,仅接受ssh,mdns,ipp-client,samba-client,dhcpv6-client服务连接
    internal内部域	用于内部网络,仅接受ssh,mdns,ipp-client,samba-client,dhcpv6-client服务连接
    work工作域		用于工作区,仅接受ssh,ipp-client或dhcpv6-client服务连接
    public公共域		在公共区域使用。仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
    external外部域	出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接
    dmz非军事区		仅接受ssh服务连接
    block限制		拒绝所有网络连接
    drop丢弃			任何接受的网络数据包都被丢弃,没有任何回复
    

    启用和关闭firewalld

    yum install -y firewalld firewall-config
    systemctl start firewalld
    systemctl enable firewalld
    systemctl disable firewalld
    systemctl stop firewalld
    

    在这里插入图片描述
    启用和关闭iptables

    yum install -y iptables-services
    systemctl start iptables
    systemctl start ip6tables
    systemctl enable iptables
    systemctl enable ip4tables
    iptables -nL
    

    使用命令行接口配置防火墙

    firewall-cmd --state					##查看防火墙状态
    firewall-cmd --get-active-zones			##查看现在的信息
    firewall-cmd --get-default-zone			##查看防火墙现在的域
    firewall-cmd --get-zones				##查看防火墙所有域
    firewall-cmd --zone=pub --list-all		##查看pub域支持的服务
    firewall-cmd --get-services				##查看防火墙可以开启的服务
    firewall-cmd --list-all-zones			##查看所有域支持的服务
    firewall-cmd --set-default-zone=dmz		##更改防火墙的域
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    五种状态 input output preouting(路由前做SNAT) postouting(路由后做DNAT) forward
    filter	访问本机服务(内核)	input  output forward
    net	经过防火墙但与内核无关		input  output	preouting  postouting
    mangle	除了前两种			input  output	preouting  postouting  forward
    

    设置防火墙的信任ip,防火墙不开启ssh,但信任ip依旧可以ssh连接

    firewall-cmd --permanent --zone=trusted  --add-source=172.25.254.26
    firewall-cmd --get-active-zones
    firewall-cmd --permanent --zone=trusted  --remove-source=172.25.254.26
    

    在这里插入图片描述
    在这里插入图片描述
    实验效果
    在这里插入图片描述
    设置一个网卡可访问

    firewall-cmd  --zone=public  --remove-interface=eth0	##将eth0从public域的取出
    firewall-cmd  --zone=trusted  --add-interface=eth0		##将eth0放入trusted域
    firewall-cmd --reload									##重启防火墙
    firewall-cmd --list-all --zone=trusted					##查看trusted支持的信息					
    
    firewall-cmd  --zone=trusted  --remove-interface=eth0	
    firewall-cmd  --zone=public  --add-interface=eth0		##恢复
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    可以看出即使火墙策略没有apache服务,仍然可通过访问信任网卡ip,访问httpd
    在这里插入图片描述

    firewall-cmd - --zone=public   --remove-service=ssh	 ##临时阻止ssh服务(刷新后恢复)
    firewall-cmd --permanent --zone=public   --list-ports##查看防火墙永久允许的端口
    firewall-cmd  --zone=public   --list-ports			 ##查看防火墙临时允许的端口
    firewall-cmd --permanent --zone=public   --add-port=8080/tcp##永久添加防火墙允许的端口
    firewall-cmd - --zone=public   --add-port=8080/tcp	 ##临时添加防火墙允许的端口
    firewall-cmd --permanent --zone=public   --remove-port=8080/tcp##删除永久允许端口
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    firewall-cmd --reload					##刷新:不会中断当前已连接的服务
    firewall-cmd --complete-reload			##完全刷新:切断所有正在连接的服务
    

    Direct Rules
    通过firewall-cmd工具,可以使用–direct选项在运行时间里增加或移除链,如果不熟悉 iptables,使用直接接口非常危险,因为可能无意间导致防火墙被入侵,直接端口模式,适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用

    firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.26 -j ACCEPT##为26主机开启22端口(ssh服务的端口)
    firewall-cmd --direct --get-all-rules##查看所有规则
    firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.26 -j ACCEPT##删除开启端口
    firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 ! -s 172.25.254.26 -j ACCEPT##为除了26主机的其他主机开启22端口(ssh服务的端口)
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    防火墙的伪装与转发
    (1)伪装

    服务端(两块网卡。一个1.1.1.126一个172.25.254.226):
    firewall-cmd --permanent --add-masquerade		##开启防火墙伪装功能
    firewall-cmd --reload
    firewall-cmd --list-all
    

    在这里插入图片描述

    客户端测试:
    vim /etc/sysconfig/network-scripts/ifcfg-eth0
    IPADDR0=1.1.1.126
    GATEWAY0=1.1.1.126
    systemctl restart network
    route -n
    ssh root@172.25.254.26---->w -i			##查看谁在连接
    

    在这里插入图片描述
    (2)转发
    服务端

    firewall-cmd --permanent --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.126	##转发22端口的请求服务到1.1.1.226
    firewall-cmd --reload
    firewall-cmd --list-all
    

    在这里插入图片描述
    真机测试:

    ssh root@172.25.254.226--->ifconfig##查看以连接的客户端ip--->w -i##查看谁在连接
    

    在这里插入图片描述

    二.iptables
    1.服务部署:

    yum install -y iptables-services
    systemctl stop firewalld
    systemctl disable firewalld
    systemctl start iptables
    systemctl enable iptables
    

    在这里插入图片描述
    2.常用命令

    iptable 
    	-t			##指定表名称
    	-n			##不做解析
    	-L			##列出指定表中的策略
    	-A			##增加策略
    	-p			##网络协议
    	--dport		##端口
    	-s			##数据来源
    	-j			##动作
    	ACCEPT		##允许
    	REJECT		##拒绝
    	DROP		##丢弃
    	-N			##增加链
    	-E			##修改链名称
    	-X			##删除链
    	-D			##删除指定策略
    	-I			##插入
    	-R			##修改策略
    	-P			##修改默认策略
    

    iptables的策略

    iptables -t filter -nL		##查看filter表中的策略
    iptables -nL 				##查看所有策略
    service iptables save		##保存当前策略
    vim /etc/sysconfig/iptables	##策略保存文件
    iptables -F 				##刷掉filter表中所有策略,的那个-t没有指定,默认为filter
    iptables -nL
    systemctl restart iptables	
    iptables -nL				##如果刷掉之前保存过策略,重启服务后,会恢复
    

    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    设定iptables的策略表

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state NEW -p tcp --dport 445 -j ACCEPT
    iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT
    iptables -A INPUT -m state --state NEW -j REJECT
    iptables -nL
    

    在这里插入图片描述
    测试是否生效
    在这里插入图片描述
    iptables的工作模式

    iptables -P INPUT DROP		##更改INPUT工作模式为丢掉所有的包,并不回复
    iptables -nL			
    iptables -P INPUT ACCEPT	##更改INPUT工作模式为允许所有
    iptables -nL
    

    在这里插入图片描述
    drop模式,ssh连接时,会连接超时
    在这里插入图片描述
    设回accept工作模式时,便可以连接
    在这里插入图片描述

    iptables -P INPUT DROP
    iptables -A INPUT -p tcp --dport 22 -s 172.25.254.26 -j ACCEPT##允许172.25.254.26
    的22端口发来的tcp请求通过
    iptables -nL		
    

    在这里插入图片描述
    当DROP模式时,添加允许ip的端口,这时特定ip便可连接
    在这里插入图片描述

    iptables -D INPUT 1 ##删除INPUT的第一条策略
    iptables -nL
    在这里插入图片描述

    iptables -I INPUT 1 -s 172.25.254.26 -p tcp --dport 22 -j ACCEPT##添加策略到指定顺序
    iptables -nL
    iptables -R INPUT 1 -s 172.25.254.226 -p tcp --dport 22 -j ACCEPT##更改指定位置的策略
    iptables -nL
    

    在这里插入图片描述
    在这里插入图片描述

    iptables -N redhat					##添加策略表
    iptables -E redhat westos			##更改策略表名称
    iptables -X westos					##删除策略表
    iptables -nL
    

    在这里插入图片描述
    在这里插入图片描述
    iptables的伪装与转发

    (1)iptables的伪装
    服务端:

    iptables -t nat -nL
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.226
    在nat表中添加,若一个ip连接26时,通过本主机的eth0伪装成172.25.254.226这个ip去连接的策略
    iptables -nL -t nat
    

    在这里插入图片描述
    客户端测试(ip为1.1.1.126)

    ssh root@172.25.254.26  --->w -i
    

    在这里插入图片描述
    在这里插入图片描述
    (2)iptables的转发

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 1.1.1.126
    ##将给eth0的22端口发来的请求转发给1.1.1.126
    iptables -nL -t nat
    

    在这里插入图片描述
    真机测试:

    ssh root@172.25.254.126 ----> w -y---->ifconfig
    

    在这里插入图片描述

    展开全文
  • Linux系统-防火墙策略管理 文章目录Linux系统-防火墙策略管理一、iptables二、firewall三、selinux 一、iptables (一)iptables防火墙介绍 1.防火墙介绍 作用: 提供一道保护性的安全屏障,起到保护隔离作用,隔离...

    Linux系统-防火墙策略管理



    一、iptables

    • (一)iptables防火墙介绍
    1.防火墙介绍
    作用: 提供一道保护性的安全屏障,起到保护隔离作用,隔离公网和私网之间
    分类:硬件防火墙  软件防火墙
    程序:RHEL6以下iptables命令,RHEL7以上firewalld命令
    firewalld底层是调用包过滤防火墙iptables
    包过滤防火墙:工作在3层,对ip包进行过滤处理
    
    2. iptables介绍
    安装软件名:iptables-services
    四表五链:表是防火墙功能,链是防火墙过滤规则
    
    3.四表五链介绍
    (1)四表,防火墙功能表
    包过滤表filter表 #过滤数据包
    地址转换表nat表  #用于网络地址转换
    包标记表mangle表 #修改数据包的服务类型,TTL,路由实现QOS
    状态跟踪表raw表  #决定数据包是否被状态跟踪机制处理
    
    (2)五链,防火墙过滤规则
    INPUT       #进入防火墙服务器的数据包
    OUTPUT      #从防火墙服务器本机出去的数据包
    FORWARD     #经过防火墙数据的包
    PREROUTING  #路由前处理 
    POSTROUTING #路由后处理
    
    4.四表五链对应
    包过滤表filter表- INPUT OUTPUT FORWARD
    地址转换表nat表 - PREROUTING POSTROUTING OUTPUT
    包标记表mangle表- PREROUTING POSTROUTING INPUT OUTPUT
    状态跟踪表raw表 - PREROUTING OUTPUT
    
    5.防护类型
    根据保护对象主机,其他主机区分
    主机型防火墙:服务运行后保护自己filter->INPUT
    网络型防火墙:控制数据包是否运行经过本机filter->FORWARD
    

    • (二)iptables命令格式
    1.iptables命令格式
    管理程序位置: /sbin/iptables
    命令格式:
    iptables [-t 表名] 选项 [链名] [匹配条件] [-j 目标操作]
    格式结构:iptables <- 表 <- 链 <- 规则
    保存配置:iptables-save > /etc/sysconfig/iptables
    
    2.整体规则
    顺序比对,匹配即停止,LOG除外
    可以不指定表,默认为filter表
    可以不指定链,默认为对应表的所有链
    如果没有匹配的规则,则使用防火墙默认规则
    选项/链名/项目操作用大写字母,其余都小写
    设置完后必须保存配置
    
    3.常用选项
    (1)添加规则
    -A #在链的末尾追加一条规则
    -I #在链的开头或指定序号,插入一条规则
    (2)删除规则
    -D #删除链内指定序号或内容的一条规则
    -F #清空所有的规则
    (3)设置默认规则
    -P #为指定的链设置默认规则,默认策略只能是ACCPET和DROP
    (4)查看规则
    -L #列出所有的规则条目
    -n #以数字形式显示地址,端口等信息
    --line-numbers #查看规则时,显示规则的序号
    
    4.匹配条件
    (1)基本匹配条件
    
    1)通用匹配
    可直接使用,不依赖于其他条件或扩展,包括网络协议,IP地址,网络接口等条件
    需要取反条件时,用叹号!
    协议匹配: -p 协议名
    地址匹配: -s 源地址 -d 目标地址
    接口匹配: -i 数据接收网卡 -o 数据输出网卡
    
    2)隐含匹配
    要求以特定的协议匹配作为前提,包括端口,TCP标记,ICMP类型等条件
    tcp/udp: --sport 源端口 --dport 目标端口
    icmp: --icmp-type ICMP类型(请求类型echo-request 回应类型echo-reply)
    
    (2)扩展匹配条件
    
    1)扩展条件的方法
    前提条件:有对应的防火墙模块支持
    格式:iptables [-t 表名] 选项 [链名] [匹配条件] [-m 扩展模块 --扩展条件 条件值] [-j 目标操作]
    
    2)常见的扩展条件类型
    扩展匹配
    MAC地址匹配
    -m mac --mac-source MAC地址
    多端口匹配 
    -m multiport --sports 源端口列表 
    -m multiport --dports 目标端口列表
    IP范围匹配 
    -m iprange --src-range IP1-IP2 
    -m iprange --dst-tange IP1-IP2
    
    5.目标操作
    ACCEPT   #允许通过/放行
    REJECT   #拒绝通过,必要时会给出提示
    DROP     #直接丢弃,不给出任何回应
    LOG      #记录日志,然后传给下一个规则,匹配即停止规律的唯一例外
    
    SNAT     #源地址转换,内网使用一个公网上网
    MASQUERADE #是SNAT的一种特殊形式,用于动态的,临时汇编的IP上
    DNAT     #目标地址转换
    REDIRECT #在本机做端口映射
    

    • (三)iptables规则示例
    1.iptables规则增删改查示例
    (1)增加规则
    iptables -t filter -A INPUT -p icmp -j DROP #增加协议
    iptables -t filter -I INPUT 2 -p tcp --dport 20 -s 192.168.2.0/24 -j ACCEPT #在第二行插入规则
    
    (2)删除规则
    iptables -t 表名 -F #清空表规则
    iptables -t 表名 -D 链名 1 #删除规则第一行
    
    (3)修改规则
    iptables -t filter -P INPUT ACCPET #修改默认规则
    
    (4)查询规则
    iptables -t 表名 -nL [链名] --line-numbers #查看四表规则
    
    2.禁ping示例
    环境:主机规则filter表INPUT链默认规则ACCEPT
    要求:允许本机ping其他主机,禁止其他主机ping本机
    
    (1)第一种方法
    iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j DROP
    
    (2)第二种方法
    iptables -t filter -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
    iptables -t filter -A OUTPUT -p icmp ! --icmp-type echo-request -j DROP
    
    3.网络型防火墙规则示例
    (1)开启内核的IP转发
    sysctl -a | grep net.ipv4.ip_forward #查看路由转发功能状态
    echo 1 > /proc/sys/net/ipv4/ip_forward #临时开启内核IP转发功能
    echo'net.ipv4.ip_forward=1' >> /etc/sysctl.conf #永久开启内核IP转发功能
    
    (2)设置网关
    route -n #查看网关
    route add default gw 192.168.4.20 #A主机临时设置网关
    route add default gw 192.168.2.20 #B主机临时设置网关
    echo "any net 0.0.0.0/0 gw 网关地址" > /etc/sysconfig/static-routes #永久设置网关
    
    (3)设置网络型防火墙规则
    iptables -t filter -P FORWARD DROP
    iptables -t filter -A FORWARD -p icmp -j ACCEPT
    
    B主机安装httpd服,A主机访问B主机网页服务
    iptables -t filter -P FORWARD DROP
    iptables -t filter -A FORWARD -p tcp --dport 80 -j ACCEPT 
    iptables -t filter -A FORWARD -p tcp --sport 80 -j ACCEPT
    
    3.扩展案例
    多端口扩展
    iptables -t filter -A FORWARD -p tcp -m multiport --sports 80,22,3306 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp -m multiport --dports 80,22,3306 -j ACCEPT
    
    A主机pingB主机
    iptables -t filter -A FORWARD -p icmp -m iprange --src-range 192.168.4.20-192.168.4.40 -j ACCEPT
    iptables -t filter -A FORWARD -p icmp -m iprange --dst-range 192.168.4.20-192.168.4.40 -j ACCEPT
    

    • (四)nat表典型应用
    1.nat表典型应用介绍
    nat #Source Network Address Translation
    路由前:到达防火墙的数据包无目标地址
    路由后:到达防火墙的数据包有目标地址
    
    2.nat转换原理
    私有地址转公有地址
    修改数据包的源地址
    仅用于nat表的POSTROUTING链
    
    3.snat策略应用(路由主机应用)
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j SNAT --to-source 192.168.2.20 #公司网关IP固定,将私网地址改为公网IP地址,允许访问80端口,注意内网要设置网关
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
    #公司网关IP不固定,动态转换私网IP为公网IP地址,注意内网要设置网关
    tail -3 /etc/httpd/logs/access_log #查看网页访问记录
    

    二、firewall

    • (一)firewall防火墙介绍
    1.firewall防火墙安装
    yum install firewalld      #安装服务
    systemctl start firewalld  #开启服务
    systemctl enable firewalld #开机自启
    systemctl status firewalld #查看状态
    systemctl mask firewalld   #禁用服务
    firewall-cmd命令操作
    firewall-config图形化操作
    
    2.防火墙预设安全区域
    规则:根据所在的网络场地区分,预设保护规则集,匹配即停止
    public  #仅允许访问本机sshd dhcp ping
    trusted #允许任何访问
    block   #阻塞任何来访请求,明确居拒绝,给客户端回应
    drop    #丢弃任何来访的数据包,直接丢弃,不给客户端回应,节省服务器资源
    
    3.防火墙判定规则
    首先查看数据包中,源IP地址
    查看所有区域规则,哪个区域有该源IP地址的规则,则进入该区域
    进入默认区域public
    
    • (二)firewall防火墙配置
    格式:firewall-cmd [--permanent] [选项] 
    不添加--permanent为临时命令,立即生效
    添加--permanent为永久配置,需要--reload才能生效
    --reload 不重启情况下重新加载防火墙所有配置文件规则
    
    1.增加
    --zone=安全区域 --add-source=IP地址 #增加源IP地址
    --zone=安全区域 --add-service=服务协议 #增加服务协议
    --zone=安全区域 --add-port=开放端口/服务协议 #增加开放端口
    
    2.删除
    --zone=安全区域 --remove-source=IP地址 #删除源IP地址
    --zone=安全区域 --remove-service=服务协议 #删除服务协议
    --zone=安全区域 --remove-port=开放端口/服务协议 #删除开放端口
    
    3.修改
    --set-default-zone=安全区域 #永久修改默认区域
    --zone=安全区域 --add-forward-port=port=原端口号:proto=协议:toport=目标端口号 #修改端口转发,测试使用其他主机访问
    
    4.查看
    --version #查看防火墙版本
    --get-default-zone #查看默认区域
    --zone=安全区域 --list-all #查看安全区域规则
    

    三、selinux

    • (一)selinux介绍
    1.selinux介绍
    美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制系统    
    集成到Linux内核2.6以上运行 ,RHEL7 基于SELinux体系针对用户,进程,目录和文件    
    提供了预设的保护策略,以及管理工具
    
    2.SELinux的运行三种模式
    enforcing  #强制,支持dhcp,ping,ssh
    permissive #宽松
    disabled   #彻底禁用
    
    3.SELinux相关配置信息
    sestatus #查看SELinux相关配置信息
    SELinux status:               enabled         #运行模式
    SELinuxfs mount:              /sys/fs/selinux #挂载目录
    SELinux root directory:       /etc/selinux    #工作目录
    Loaded policy name:           targeted        #运行模式类型
    Current mode:                 permissive      #目前保护策略
    Mode from config file:        permissive      #配置文件保护策略
    Policy MLS status:            enabled         #SELINUXTYPE策略
    Policy deny_unknown status:   allowed 
    Max kernel policy version:    31
    
    4.SELinux主要软件包
    selinux-policy
    selinux-policy-targeted
    libselinux-utils
    coreutils
    policycoreutils
    policycoreutils-python #提供semanage命令
    

    • (二)SELinux切换运行模式
    1.SELinux临时切换运行模式
    setenforce [数字] #临时切换模式,数字: 1强制模式 0宽松模式 
    getenforce       #显示当前模式
    注意:任何模式变成disabled彻底禁用 ,必须重启系统
    
    2.SELinux永久切换运行模式
    vim /etc/selinux/config #修改配置文件,重启生效
    7  SELINUX=permissive   #运行模式
    12 SELINUXTYPE=targeted #运行模式类型
    touch /.autorelabel #修改后添加此文件,自动修复标签,保证重启后能使用ssh连接
    
    3.SELINUX选项
    disabled   #禁用模式
    permissive #宽松允许模式
    enforcing  #强制模式 服务的文件,打标签(安全上下文)
    
    4.SELINUXTYPE选项
    targeted #推荐,对系统中的服务进程进程访问控制
    minimum  #最小限制,使用基本的策略规则包
    mls      #对系统中的所有进程进行控制
    

    • (三)SELinux权限修改
    1.安全上下文修改
    (1)安全上下文介绍Security Context
    功能:为文件/目录/设备标记访问控制属性
    
    (2)查看安全上下文
    semanage fcontext -l | less #查看当前系统所有的安全上下文
    ls -ldZ /var/www/html/      #查看目录安全上下文
    ps aux -Z |grep httpd       #查看进程安全上下文
    
    安全上下文介绍
    system_u:object_r:httpd_sys_content_t:s0
    用户类型:角色文件类型:访问类型:选项
    
    (3)重置安全上下文
    描述:如标签出错显示unlabel,标签出错无法ssh连接,需要重置安全上下文
    restorecon [-R] 目录 #恢复为所在位置的默认上下文属性,-R递归修改目录所有
    touch /.autorelabel #重启后重置系统所有安全上下文
    
    (4)一般操作规律
    创建新文件或目录,会继承父目录的安全上下文
    复制的文件,会继承父目录的安全上下文
    移动的文件,原有的上下文属性不变
    
    (5)修改安全上下文
    chcon [选项] 文件
    chcon -R --reference=模板目录 新目录 #修改新目录的上下文修改成模板目录的
    常用选项
    -t #指定访问类型
    -R #递归修改
    
    访问类型
    admin_home_t #管理员才有权访问
    public_content_t #开放内容
    
    2.非默认端口开放修改
    semanage port -l | grep http #查看http开放的端口类型
    semanage port -a -t 类型 -p tcp 添加的端口号 #添加8909到开放的端口
    (助记词:a#add,t#type,p#protocol)
    例子:semanage port -a -t http_port_t -p tcp 8909 #添加8909到开放的端口
    
    3.布尔值修改
    (1)布尔值修改
    getsebool -a | grep 服务名   #查看SELinux布尔值策略中的服务名的信息
    setsebool -P 服务名信息 布尔值 #永久修改SELinux布尔值
    
    (2)布尔值修改测试
    50主机
    yum -y install vsftp        #安装ftp功能
    mkdir /var/ftp/dir1         #创建共享文件夹
    chmod o+w /var/ftp/dir1     #修改共享文件夹权限
    vim /etc/vsftpd/vsftpd.conf #修改配置文件
    29 anon_upload_enable=YES   #允许匿名用户上传
    systemctl start vsftpd      #重启ftp服务加载配置文件
    setenforce 0                #SELinux设置为Permissive,验证功能
    
    51主机
    
    yum -y install ftp #安装ftp访问软件
    ftp 192.168.4.50   #进入50主机ftp服务
    ls                 #查看ftp目录
    get 文件名          #下载文件
    cd dir1            #进入上传目录
    pwd                #查看当前路径
    lcd 目录路径        #切换到本机目录
    put 文件名称        #上传文件
    setenforce 1 #SELinux设置为Enforcing
    #无法上传,说明未开启SELinux服务布尔值
    
    getsebool -a | grep ftp #查看与ftp相关布尔值
    vim /etc/vsftpd/vsftpd.conf #查看配置文件说明
    #When SELinux is enforcing check for SE bool allow_ftpd_anon_write, allow_ftpd_full_access
    
    setsebool -P ftpd_anon_write on
    setsebool -P ftpd_full_access on
    getsebool -a | grep ftp #查看与ftp相关布尔值更改后状态
    ftp上传验证
    
    4.查看日志排错
    (1)安装日志软件
    yum list | grep -i shoot #提供日志文件软件包
    yum -y install setroubleshoot* #安装所有软件
    reboot #重启操作系统启动日志功能
    
    (2)模拟错误
    setenforce 1 #修改SELinux模式为enforcing
    vim /etc/httpd/conf/httpd.conf 修改配置文件
    42 listen 8090 #修改httpd监听端口
    systemctl restart httpd #重启服务加载
    
    (3)查看报错信息
    grep shoot /var/log/messages | tail -1 #查看最后一次报错信息
    sealert -l 69bd37c9-19eb-4ad7-97a1-27d279188255 #根据最后一行,查看报错结果
    semanage port -a -t http_port_t -p tcp 8090 #修改开发端口
    

    展开全文
  • linux 防火墙firewall规则策略

    千次阅读 2018-08-24 17:02:40
    1、查看防火墙状态 systemctl status firewalld 2、关闭防火墙 systemctl stop firewalld 3、开启防火墙 systemctl start firewalld 4、禁止防火墙开机自启动 systemctl disable firewalld ...6、查...

    1、查看防火墙状态    systemctl status firewalld

    2、关闭防火墙  systemctl stop firewalld

    3、开启防火墙  systemctl start firewalld

    4、禁止防火墙开机自启动  systemctl disable firewalld

    5、设置防火墙开机自启动  systemctl enable firewalld

    6、查看防火墙已开放的端口列表(默认不开放任何端口)   firewall-cmd –list-ports

    7、开启80端口(允许80端口通过防火墙)

    firewall-cmd --zone=public --add-port=80/tcp --permanent(永久生效)

    8、更新防火墙规则  firewall-cmd --reload

    9、删除开放的端口  firewall-cmd --zone=public  --remove-port=80/tcp  --permanent

    10、查看8 0端口状态:firewall-cmd --zone=public --query-port=80/tcp

    11、只允许服务器192.168.1.1/24网段的3306端口能访问

    firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="3306" accept"

     

    展开全文
  • Linux防火墙详解

    千次阅读 2020-09-20 21:06:30
    iptables服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理 firewalld服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理 iptables和firewalld都是Linux配置内核防火墙的...
  • Linux系统防火墙配置——iptables命令前言1、查看iptables规则2、设置chain策略3、清空已有规则4、网口转发规则5、端口转发规则6、DOS攻击防范总结 前言 iptables是用来设置、维护和检查Linux内核的IP分组过滤规则的...
  • linux防火墙

    2020-07-12 16:08:39
    防火墙名称Netfilter Netfilter的数据包流程:Preouting进入机器之前,Routing Decision 进入机器进入路由选择,Input进入本机机器,Local Process本机进入主机,Output从本机流出到包,Forward从本机穿过的包,...
  • Linux防火墙简单操作

    2020-12-23 09:43:27
    防火墙相关操作: Redhat5和6: service iptables stop ...防火墙策略: 添加一条策略: 禁用22端口 iptables -A INPUT -p tcp --dport 22 -j DROP service iptables save 删掉某一个策略.
  • 摘 要:介绍了防火墙的基本概念及其主要功能,分析了Linux 内核防火墙Netfilter 的架构、构建防火墙的工作原 理及其与内核的交互.最后给出了Netfilter 构建防火墙的一个实例。 关键词:防火墙 Linux Netfilter 包...
  • 本文将首先从Intranet的安全性入手, 分析Intranet面临的安全问题,讨论Intranet安全设计需求,然后详述防火墙的背景知识和关键技术,最后重点介绍我们提出的基于Linux平台的复合防火墙的设计和实现。 ...
  • Linux防火墙技术探秘

    2013-02-28 16:20:09
    6防火墙规则应用实例 第6章防火墙模块的设计 6.?1模块编程详解 6.?1.?1模块概述 6.?1.?2模块用到的数据结构 6.?1.?3模块系统调用的源代码分析 6.?1.?4模块使用 6.?1.?5模块编程 6.?2防火墙模块的设计 6.?2.?1基于2.?...
  • 本文将首先从Intranet的安全性入手, 分析Intranet面临的安全问题,讨论Intranet安全设计需求,然后详述防火墙的背景知识和关键技术,最后重点介绍我们提出的基于Linux平台的复合防火墙的设计和实现。 ...
  • Linux防火墙.pdf

    2013-01-20 16:38:56
    中文名: Linux防火墙 原名: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort 别名: Linux,Firewall,防火墙,iptables,psad,fwsnort 作者: (美)拉什译者: 陈健资源格式: PDF 版本:...
  • 文章目录系统安全保护SElinux安全机制SElinux概述SElinux运行... 本机测试()服务管理systemd 上帝进程Linux系统和服务管理器传统的 init 程序风格systemd 服务管理管理运行级别RHEL6 运行级别 300RHEL7 运行模式(运.
  • firewalld配置的防火墙策略,分为运行时(Runtime)模式、永久(Permanent)模式两种。 1、默认的是运行时(Runtime)模式,配置的策略便会立即生效,但是,系统一旦重启就会失效。 2、永久(Permanent)模式,...
  • Linux下使用Iptables配置NAT防火墙分析防火墙技术原理和防火墙类别,结合校园网实际设计使用Linux下的Iptables 防火墙NAT 方案,能够实现NAT和对网络进行用户管理和信息过滤,并能防范一定的网络攻击手段和防病毒...
  • 1, 开启组策略允许共享https://jingyan.baidu.com/article/aa6a2c14ec4f340d4c19c487.html 2,开启防火墙 文件打印机共享 3,*重要 网络客户端和 网络文件打印机共享 这两个好像是网卡的属性 ,类似防火墙过滤,,...
  • [菜鸟学Linux]09-防火墙

    2020-05-23 23:18:31
    一、配置网卡 配置好服务后,需要立即重启服务才能生效(system restart),如网卡 1、vim /etc/sysconfig/network-scripts/ifcfg-enoXXXX ...1、防火墙从上到下的顺序匹配策略,读取所有策略后,如无匹
  • 1.firewalld服务启动 2.firewall基本命令 3.实现双网卡连接的管控(连接172为trusted,192为public) 4.实现访问192可以172不可以 ...6.server的添加与设置 7.firewall的类iptables高级策略添加 8.端口转发 9.地址伪装
  • CentOS 6&7 防火墙设置

    2021-02-07 19:38:49
    如果是ECS云服务器,可以通过修改安全组策略的方式开启或关闭端口访问,但如果是自己的机器,需要手动关闭防火墙(或开启指定端口的访问),下面就介绍下CentOS 7和CentOS 6防火墙的常用设置 首先,确认服务器操作...
  • 1、 查询iptables服务器是否安装 2、 安装iptables ...6、 设置iptables默认策略为允许 7、 设置对所有的ping操作的策略为允许 Ping操作依赖ICMP -I表示添加规则到头部 -p表示要应对的协议 ...
  • iptables防火墙

    2020-11-18 23:09:37
    iptables防火墙一、Linux包过滤防火墙概述1.netfilter2.iptables3.包过滤的工作层次二、iptables的表、链结构1.规则链2.规则表3.默认的表、链结构示意图4.数据包过滤的匹配流程三、使用iptables工具1.安装使用...
  • RHEL 8 - 网络及防火墙配置文字概述网络配置防火墙配置iptables参数及作用firewalldfirewalld中常用的区域名称及策略规则访问控制表图片笔记 文字概述 网络配置 IP地址主要有以下三种方法 vim /etc/sysconfig/...
  • linux安全策略!

    2013-11-22 22:15:00
    3.防火墙安全加固(IPTABLE) 4.外部SSH安全连接(密钥或密码方式) 系统安全检测工具 1.NMAP端口扫描 2.Xprobe2版本识别 3.Amap识别远程服务器所提供服务 4.Hydra暴力破解口令 5.NESSUS安全远程漏洞扫描 ...
  • 文章目录1. 火墙介绍1.1 iptables简介2. 火墙管理工具切换2.1 firewalld切换到iptables2.2 iptables切换到firewalld3. iptables的四表五链4. iptables的永久保存5....防火墙指的是一个由软件和硬件设
  • RED HAT LINUX 6大全

    热门讨论 2011-10-21 18:46:06
    本书全面系统地介绍了Red Hat Linux 6。全书共分为五个部分,包括35章和四个附录。第一部分为Red Hat Linux的介绍和安装;第二部分为服务配置;第三部分为系统管理;第四部分为Linux编程;第五部分为附录。本书内容...
  • Linux防火墙策略设置主要三道防线; 1. 系统自带防火墙iptables(Centos6)   防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻
  • 一、初始环境配置iptables-F(清空防火墙策略) setenforce0(将selinux当前关闭)systemctldisablefirewalld.service(开机默认关闭防火墙)也可以设置下次开机不启动该服务,编辑selinux配置文件:vim /etc/selinux/...

空空如也

空空如也

1 2 3 4 5 ... 7
收藏数 122
精华内容 48
关键字:

linux6防火墙策略

linux 订阅