精华内容
下载资源
问答
  • 一、linux防火墙的限制: 只允许172.25.254.16连接: [root@server ~ ]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.16 -j ACCEPT success 只不允许172...

    一、linux 之防火墙的限制:

    防火墙

    • 防火墙也称防护墙,是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。
    • 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外。
    • netfilter是内核防火墙框架,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换等
    • 系统提提供两种管理工具,对防火墙策略进行管理(对netfilter中的数据进行修改)。firewlld以及iptables。

    filrewalld

    • 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。
    • firewalld 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里
    • firewalld提供图形界面管理(firewall-config)以及命令管理(firewall-cmd)

    firewalld域(zones)

    基于用户对网络所给与的信任程度,防火墙可以将网络分割成不同的9个区域 。

    在这里插入图片描述

    • 只允许172.25.254.16连接:
      [root@server ~ ]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.16 -j ACCEPT
      success

    • 只不允许172.25.254.16连接,其他主机是可以连接的:
      [root@server ~ ]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 ! -s 172.25.254.16 -j ACCEPT
      success

    • 删除只允许172.25.254.16连接的设定:
      [root@server ~ ]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.16 -j ACCEPT
      success

    • 删除只不允许172.25.254.16连接,其他主机是可以连接的设定:
      [root@server ~ ]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 ! -s 172.25.254.16 -j ACCEPT
      success

    firewall-config

    firewall-config #进入图形界面设置防火墙策略
    1 Runtime 设置临时策略,当即生效,但是系统重启或者重新加载防火墙设配置后失效

    在这里插入图片描述
    2 Permanent 永久设置,设置完成后需要重新加载防火墙配置,一旦设定永久生效

    在这里插入图片描述
    firewall-cmd 基本命令:

    1、开启firewalld服务

    为了避免firewlld和iptables产生冲突,再进行实验时候,先关闭iptables,开启firewalld。
    systemctl stop iptables #关闭iptables服务
    systemctl mask iptables.service #锁定iptables服务
    systemctl disable iptables #设置iptables开机不自启动
    systemctl start firewalld #启动firewalld服务
    systemctl enable firewalld #设置firewalld开机自启动

    2、域的查看和设置

    firewall-cmd --get-zones #查看所有的域
    firewall-cmd --get-default-zone #查看默认的域
    firewall-cmd --set-default-zone=trusted #设置默认的域
    firewall-cmd --state #查看防火墙状态,开启为running 关闭为 not running。

    3 、查看域的防火墙策略

    firewall-cmd --list-all #查看默认域的所有防火墙策略,没有指定域就是查看默认域
    firewall-cmd --list-all --zone=trusted # 查看指定域的所有防火墙策略
    firewall-cmd --list-services --zone=public #查看指定域的某一项策略(services)
    firewall-cmd --list-ports --zone=public # 查看指定域的某一项策略(ports)
    firewall-cmd --list-all-zones # 查看所有域的所有防火墙策略

    firewall-cmd --add-service=ftp #临时添加ftp服务到默认域,立即生效
    firewall-cmd --add-service=http --permanent #永久添加http服务到默认域,加载后生效
    firewall-cmd --reload #重新加载配置,临时添加的服务失效,永久添加的服务生效。

    二、路由端口打开,地址转换

    实验目的:当其他ip连接该ip 时,会默认连接到172.25.254.16这个ip。

    服务端
    [root@server ~]# firewall-cmd --list-all
    public (default, active)
    interfaces: eth0
    sources:
    services: dhcpv6-client ftp ssh
    ports:
    masquerade: no #把no改成“yes",即把路由功能打开。
    icmp-blocks:
    rich rules:

    [root@server ~]# firewall-cmd --permanent --add-masquerade
    success
    [root@server ~]# systemctl restart firewalld #开启路由功能后一定要重新启动防火墙
    [root@server ~]# firewall-cmd --list-all
    public (default, active)
    interfaces: eth0
    sources:
    services: dhcpv6-client ftp ssh
    ports:
    masquerade: yes
    forward-ports:
    icmp-blocks:
    rich rules:

    [root@server ~]# firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.35 #添加地址转换ip,当其他ip连接该ip时,会默认连接到ip:172.25.254.35
    success
    [root@server ~]# firewall-cmd --list-all
    public (default, active)
    interfaces: eth0
    sources:
    services: dhcpv6-client ftp ssh
    ports:
    masquerade: yes
    forward-ports: port=22:proto=tcp:toport=22:toaddr=172.25.254.35
    icmp-blocks:
    rich rules:

    客户端:
    测试:
    [root@kehu ~]# ssh root@172.25.254.116

    ##删除已经添加的默认转换地址ip:
    [root@server ~]# firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.35 ##删除转换地址ip
    success

    展开全文
  • 本文对linux系统如何关闭关闭和开启防火墙进行说明。

    Linux系统如何关闭防火墙

     


    linux系统防火墙的打开和关闭centos7和之前的版本的略有差别。


    一、centos7之前的版本可以通过iptables相关命令实现防火墙的打开和关闭

    1.首先可以在打开的终端使用iptables --help查看帮助使用命令;

    2.查看防火墙状态:service iptables status(此命令可以查看防火墙是打开还是关闭);

    3.service iptables常接参数:

    (1)service iptables stop关闭防火墙;

    (2)service iptables start开启防火墙;

    (3)service iptables reload重新加载防火墙;

    (4)service iptables restart重启防火墙;

    4.永久关闭/打开防火墙

    chkconfig iptables off  永久关闭防火墙;

    chkconfig iptables on永久打开防火墙;

    5.linux图形化界面实现打开和关闭防火墙

    终端输入setup并回车进入图形化界面,进行相应选择。如关闭防火墙:依次选择“选择一种工具——防火墙配置——运行工具——安全级别——禁用——确定“;

    6.激活和关闭防火墙端口

    (1)用上文所说的命令开启防火墙后,需要修改/etc/sysconfig/iptables文件,添加两条开启80、22端口的命令

    - A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

    - A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

     (2)centos linux防火墙一方面可以使用上文章节5里面提到的方法关闭,也可以使用命令关闭:

    #sbin/iptables -l INPUT -p tcp -dport 80 -j ACCEPT

    #sbin/iptables -l INPUT -p tcp -dport 22 -j ACCEPT

    #/etc/init.d/iptables stop

    (3)UBuntu关闭防火墙只需要输入下面一条命令即可

    iptables -A INPUT -i ! PPP0 -j ACCEPT


    二、对于centos7系统

    centos7使用firewall命令来开启和关闭防火墙。

    1.systemctl命令

    (1)systemctl  status firewalld.service查看防火墙的状态;

    (2)systemctl  start firewalld.service启动防火墙;

    (3)systemctl  stop firewalld.service关闭防火墙;

    (4)systemctl  restart firewalld.service重启防火墙;

    (5)systemctl  enable firewalld.service开机启动防火墙;

    (6)systemctl  disable firewalld.service开机禁用防火墙;

    (7)systemctl  is-enabled firewalld.service查看防火墙是否开机启动;

    2.Firewall区域管理

    firewall引入了zone概念,firewall能将不同的网络连接归类到不同的信任级别,为了便于理解,这里附上级别说明:

         block(阻塞区域)拒绝所有外部的连接,返回icmp-host-prohibited,允许内部发起的连接;

        dmz(隔离区域)允许受限制的进入连接;

        drop(丢弃区域)丢弃所有进入的包,而不给出任何响应;

        external(外部区域)只有指定的连接被接受,一般用于路由转发;

        home(家庭区域)允许受信任的计算机被限制的进入连接;

        internal(内部区域)信任网络上其他计算机,不会损坏你的计算机。只有选择接受传入的网络连接;

        public(公共区域)不信任网络上的任何计算机,只有选择接受传入的网络连接;

       trusted(信任区域)信任所有连接;

       work(工作区域)允许受信任的计算机被限制的进入连接。

    查看区域管理命令示例:

    (1)firewall-cmd --list-all-zones查看域详情列表;

    (2)firewall-cmd --get-zones查看支持的区域列表;

    (3)firewall-cmd --get-default-zone查看默认的区域列表;

    (4)firewall-cmd --set-default-zone=home设置默认的区域;

    (5)firewall-cmd --zone=home --list-all查看home区域l;

    (6)firewall-cmd --get-active-zone查看活动的区域;

    (7)firewall-cmd --permanent-new-zone=myself创建自己的区域;

    (8)firewall-cmd --permanent-delete-zone=myself删除区域;

    3.Firewall服务端口管理

    在下面提到的命令示例中,带"--permanent"永久生效的策略记录(除了查看)执行后,必须执行"--reload"参数后才能立即生效,否则需要重启后再生效。不带"--permanent"的命令立即生效,但是reload或者restart后失效

    (1)firewall-cmd --state查看防火墙状态;

    (2)firewall-cmd --get services查看已被firewall提供的一些常用服务;

    (3)firewall-cmd --zone=public --permanent --list-services查看某域的服务(注:加了--permanent表示永久服务,不加显示所有服务,包含临时服务;不加--zone表示默认区域);

    (4)firewall-cmd --zone=public--permanent --add-service=http添加某域的服务;

    (5)firewall-cmd --zone=public--permanent --remove-service=http移除某域的服务(注:加了--permanent表示永久服务,不加显示所有服务,包含临时服务;不加--zone表示默认区域);

    (6)firewall-cmd --zone=home--permanent --add-por=5000/tcp添加端口;

    (7)firewall-cmd --zone=home--permanent --remove-por=5000/tcp删除端口;

    (8)firewall-cmd --zone=home--permanent --add-por=5000-5005/tcp添加多端口(注:加了--permanent表示永久服务,不加显示所有服务,包含临时服务;不加--zone表示默认区域;端口后面的tcp和udp表示协议类型);

    (9)firewall-cmd --zone=public --permanent --list-ports查看端口情况(注:加了--permanent表示永久服务,不加显示所有服务,包含临时服务;不加--zone表示默认区域);

    (10)firewall-cmd --zone=public --query-service=ssh查询服务是否被允许(不加--zone表示默认区域);

    (11)firewall-cmd --permanent --zone=public --add-forward-port=80:proto=tcp:toport=8080将80端口的流量转发至8080端口;

    (12)firewall-cmd --permanent --zone=public --add-forward-port=80:proto=tcp:toaddr=192.168.1.1将80端口的流量转发至192.168.1.1;

    (13)firewall-cmd --permanent --zone=public --add-forward-port=80:proto=tcp:toaddr=192.168.1.1:toport=8080将80端口的流量转发至192.168.1.1的端口8080端口(注:不加ip地址,默认转发到本地的端口;不加--zone表示默认区域;不加--permanent表示临时增加,reload或则restart后失效)。

    4.手动编写服务

    可以将某个程序需要的端口写在一个自己编写的服务里,然后直接添加服务就可以。

    /usr/lib/firewalld/services创建自己的服务,格式可以拷贝/etc/firewalld/services任意一个服务。

    (1)查找服务:

    firewalld-cmd --get-srvice |grep myself

    (2)重新加载配置:

    firewall-cmd --reload

                                                                                                                 

                            ---本文部分内容来自星之宇的博客,在此致谢

    展开全文
  • Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能。在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙...

    Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能。

    在2.0内核中,防火墙操作工具叫:ipfwadm

    在2.2内核中,防火墙操作工具叫:ipchains

    在2.4以后的内核,防火墙操作工具叫:iptables

    ipfwadm 和 ipchains 比较老,已成历史版本,本章主要介绍Iptables

    一、iptable 操作命令参数详解

    -A APPEND,追加一条规则(放到最后)

    例如: iptables -A INPUT -j

    ACCEPT 允许所有访问本机 IP 的数据包通过

    -I INSERT,插入一条规则 例如: iptables -I INPUT -j DROP 在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条)

    -D DELETE,删除一条规则 iptables -D INPUT 3(按号码匹配) 删除 filter 表 INPUT 链中的第三条规则(不管它的内容是什么)

    -R REPLACE,替换一条规则

    例如: iptables -R INPUT 9 -j ACCEPT 将原来编号为 9 的规则内容替换为“-j ACCEPT”

    -P POLICY,设置某个链的默认规则

    例如: iptables -P INPUT DROP 设置 filter 表 INPUT 链的默认规则是 DROP

    -F FLUSH,清空规则

    例如

    iptables -F

    清空 filter 表中的所有规则

    -p

    protocol 比对通讯协议

    例如

    iptables -A INPUT -p tcp

    比对通讯协议类型是否相符

    -s src, source

    例如

    iptables -I INPUT -s 172.16.0.201 -j DROP

    用来比对封包的来源 IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例屏蔽:172.16.0.201

    IP访问,所有数据都将丢弃

    --tcp-flags 比对 TCP

    例如

    iptables -p tcp --tcp-flags SYN,FIN,ACK SYN

    TCP状态旗号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)、PSH(强迫推送)

    等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对

    --icmp-type

    例如:

    iptables -A INPUT -p icmp --icmp-type 8

    用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。 案例ICMP类型是:8

    -m limit --limit

    例如

    iptables -A INPUT -m limit --limit 3/sec

    用来比对某段时间内封包的平均流量,上面的例子是用来比对每秒平均流量是否超过一次 3 个封包。

    配置文件位置:

    /etc/sysconfig/iptables

    iptables 管理服务命令

    开启 service iptables start

    关闭 service iptables stop

    重起 service iptables restart

    二、案例讲解

    本例中的规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动

    如何判断服务是否受攻击?

    1.ping测试服务是否丢掉? 掉包几钟可能原因:

    你服务受攻击、机房上层线路受攻击、互联网上某个路由不稳定、机器服务/硬件问题(较少)

    2.可以搭建流量检查服务来监控服务网络流量 如:Cacti 、MRTG 2种较出名的流量监控

    ,但都不是实时的!一般5分钟探测一次

    3.在linux上可以用一些脚本代码来监控网卡的实时流量、

    查看实时流量脚本 用vi创建个脚本文件,将以下代码复制进去.赋予权限,运行脚本监测

    #!/bin/bash

    while [ "1" ]

    do

    eth=$1

    RXpre=$(cat /proc/net/dev | grep $eth | tr : " " | awk '{print

    $2}')

    TXpre=$(cat /proc/net/dev | grep $eth | tr : " " | awk '{print

    $10}')

    sleep 1

    RXnext=$(cat /proc/net/dev | grep $eth | tr : " " | awk '{print

    $2}')

    TXnext=$(cat /proc/net/dev | grep $eth | tr : " " | awk '{print

    $10}')

    clear

    echo -e "\t RX `date +%k:%M:%S`

    TX"

    RX=$((${RXnext}-${RXpre}))

    TX=$((${TXnext}-${TXpre}))

    if [[ $RX -lt 1024 ]];then

    RX="${RX}B/s"

    elif [[ $RX -gt 1048576 ]];then

    RX=$(echo $RX | awk '{print $1/1048576 "MB/s"}')

    else

    RX=$(echo $RX | awk '{print $1/1024 "KB/s"}')

    fi

    if [[ $TX -lt 1024 ]];then

    TX="${TX}B/s"

    elif [[ $TX -gt 1048576 ]];then

    TX=$(echo $TX | awk '{print $1/1048576

    "MB/s"}')

    else

    TX=$(echo $TX | awk '{print $1/1024 "KB/s"}')

    fi

    echo -e "$eth \t $RX $TX "

    done

    a4c26d1e5885305701be709a3d33442f.png a4c26d1e5885305701be709a3d33442f.png

    查看网卡的流量时 rx是接收(receive) tx是发送(transport)

    目前流量正常

    a4c26d1e5885305701be709a3d33442f.png

    测试在另外台虚机上尝试用软件不停的访问本机站点,流量提升

    a4c26d1e5885305701be709a3d33442f.png

    假如你认为这流量已是不正常流量,可以用以下命令查看有哪些IP在连接本机80端口,然后进行屏蔽!

    netstat -ant | grep ":80" | awk '{printf "%s %s\n",$5,$6}' |

    sort

    a4c26d1e5885305701be709a3d33442f.png

    假如你认为0.201IP有可疑,想进行屏蔽,用以下命令

    屏蔽流进ip

    iptables -I INPUT -s 172.16.0.201 -j DROP

    解封屏蔽

    iptables -D INPUT -s 172.16.0.201 -j DROP

    a4c26d1e5885305701be709a3d33442f.png

    a4c26d1e5885305701be709a3d33442f.png

    只屏蔽172.16.0 IP段访问本机80端口,其他端口可以正常,命令如下:

    iptables -I INPUT -p tcp --dport 80 -s 172.16.0.201/24 -j DROP

    a4c26d1e5885305701be709a3d33442f.png

    解封屏蔽

    iptables -D INPUT -p tcp --dport 80 -s 172.16.0.201/24 -j DROP

    测试:用172.16.0.2尝试访问服务80端口

    a4c26d1e5885305701be709a3d33442f.png a4c26d1e5885305701be709a3d33442f.png

    在添加的规则时,REJECT(拒绝)目标和 DROP(放弃)目标这两种行动有所不同。REJECT

    会拒绝目标分组的进入,并给企图连接服务的用户返回一个 connection refused 的错误消息。DROP 会放弃分组,而对

    telnet 用户不发出任何警告.

    命令添加的规则只是临时生效,重起iptables服务后将会恢复,永久进行保存命令service iptables

    save或者直接修改配置文件

    修改完/etc/sysconfig/iptables 防火墙配置文件,需要重起iptables服务才会生效

    三、抗DDOS攻击完整策略与讲解

    默认的iptables规则是无法过滤DDOS攻击数据的,我们需要添加过滤规则实现iptables拥有抗DDOS的能力

    以下防火墙规则是本人真实linux 邮局服务器上的防火墙规则,曾受过100M的SYN

    DDOS流量攻击,本人服务器国际带宽只有20M,

    几乎使整个服务陷于瘫痪状态,后在iptables上增加了SYN过滤规则后,网络基本恢复正常,不掉包延时在100左右,正常情况延时45,但服务邮局服务收发没有任何问题!

    系统:Centos 5.5

    a4c26d1e5885305701be709a3d33442f.png

    以上iptable 配置规则讲解:

    屏蔽 SYN_RECV 的连接

    -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit

    --limit 1/sec -j ACCEPT

    限制IP碎片,每秒钟只允许100个碎片,用来防止DoS攻击

    -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j

    ACCEPT

    限制ping包每秒一个,10个后重新开始

    -A FORWARD -p icmp -m limit --limit 1/sec --limit-burst 10 -j

    ACCEPT

    限制ICMP包回应请求每秒一个

    -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j

    ACCEPT

    此处自定义一个表

    -A FORWARD -j RH-Firewall-1-INPUT

    完全接受 loopback interface 的封包

    -A RH-Firewall-1-INPUT -i lo -j ACCEPT

    允许主机接受 ping

    -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j

    ACCEPT

    网际网路印表机服务 (可以删除)

    -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j

    ACCEPT

    -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT

    允许连线出去后对方主机回应进来的封包

    -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j

    ACCEPT

    允许防火墙开启指定端口 (本服务器规则开了常用端口 22 21 80 25 110 3306等)

    -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport

    port -j ACCEPT

    限制SSH登陆

    只允许在172.16.0.2上使用ssh远程登录,从其它计算机上禁止使用ssh

    iptables -A INPUT -s 172.16.0.2 -p tcp --dport 22 -j ACCEPT

    iptables -A INPUT -p tcp --dport 22 -j DROP

    展开全文
  • IPCop是一款基于LINUX内核的开源的软路由防火墙系统,是一款非常易用的路由器软件,它对硬件和对机器的性能的要求非常地低,IPCop的最低硬件需求只要是一台安装有386处理器,32MB内存和一块300MB大小容量硬盘的...

    软路由防火墙IPcop

    IPCop是一款基于LINUX内核的开源的软路由防火墙系统,是一款非常易用的路由器软件,它对硬件和对机器的性能的要求非常地低,IPCop的最低硬件需求只要是一台安装有386处理器,32MB内存和一块300MB大小容量硬盘的“古董级”机器。而且运行稳定,因此得到了广大用户的称赞。

    功能和特点

    稳定
    安全
    可以使用命令行进行详细配置
    易于维护
    易于配置
    简洁的界面
    在这里插入图片描述

    下载地址

    http://www.ipcop.org/download.html

    安装步骤

    1、点击文件 > 新建虚拟机
    点击文件 >新建虚拟机
    2、选择稍后安装操作系统
    在这里插入图片描述
    3、选择Linux 》 版本选择Linux5.x及更高版本内核64位
    在这里插入图片描述
    4、给虚拟机取名(自定义),下一步。
    在这里插入图片描述
    5、处理器配置一个即可。
    在这里插入图片描述
    内存选择一个G
    在这里插入图片描述

    6、使用网络地址转换(NAT)默认
    在这里插入图片描述
    7、推荐
    在这里插入图片描述
    8、磁盘一定选择IDE,应为这个很老了不支持行磁盘。
    在这里插入图片描述
    9、创建新的虚拟磁盘。
    在这里插入图片描述
    10、内存8G即可。(占用空间极小)
    在这里插入图片描述
    11、直接下一步
    在这里插入图片描述
    12、完成。
    在这里插入图片描述
    13、选择IPcop虚拟机 》编辑虚拟机设置 》DVD选择使用ISO镜像文件,浏览找到自己的IPcop镜像包。在这里插入图片描述
    14、添加一块网卡,一个配置NAT,一个配置自定义(仅主机模式VMnet1用于内部通信)。确定
    在这里插入图片描述

    开始配置IPcop虚拟机。

    1、选择ENglish 》Tab键切换到OK 》空格键下一步
    在这里插入图片描述
    2、请进入IPCop安装程序。OK
    在这里插入图片描述
    3、使用键盘类型US(美式英语)OK在这里插入图片描述
    4、时区选择Asia/shanghai
    在这里插入图片描述
    5、配置时间
    在这里插入图片描述
    6、对磁盘进行格式化
    在这里插入图片描述
    7、确认,继续格式化
    在这里插入图片描述
    8.选择硬盘安装
    在这里插入图片描述
    9、跳过,没有备份。
    在这里插入图片描述
    10、配置主机名。
    在这里插入图片描述
    11、配置域名。
    在这里插入图片描述
    12、
    _ 不同防火墙对安全域的定义时不同的。(华为防火墙使用的时trust 、untrust 、DMZ区)。IPCop使用颜色来区分不同的安全区域。
    红区,非信任区、外网、WAN、Internet、Outside
    绿区,信任区、内网、LAN、Intranet、Inside
    橙区,DMZ区
    _

     配置红色区域接口,选择静态。
    

    在这里插入图片描述
    13、配置网卡,第一块连接局域网选择绿区,第二块接外网选择红区。
    在这里插入图片描述
    14、第一块网卡IP
    在这里插入图片描述
    15、第二块网卡
    在这里插入图片描述
    16、配置域名和网关在这里插入图片描述
    17、通过输入设置信息,配置DHCP服务器。
    在这里插入图片描述
    18、配置root用户密码用于登录命令行,配置admin用户密码用于登录web网页登录,配置backup用户密码用于备份。
    在这里插入图片描述
    在这里插入图片描述
    19、Ok,重启虚拟机。
    在这里插入图片描述
    20、重启后,保持开机状态即可。
    在这里插入图片描述

    重新开启一台新的虚拟机。

    1、打开虚拟机设置将网络适配器改为自定义(VMnet1)跟IPcop在一个仅主机上。
    在这里插入图片描述
    2、配置静态Ip,打开控制面板 》网络共享中心 》本地连接》属性》IPV4》自定义IP。
    默认网关配置192.168.1.1,DNS服务器首选192.168.1.1,这样才可以访问外网。
    在这里插入图片描述
    3、访问防火墙https://192.168.1.1:8443,高级》接受风险(我们配置的防火墙证书是自己颁发的所以会显示不安全)。在这里插入图片描述
    4、用户名admin 这是我们配置防火墙时定义的登录WEB页面的用户。
    在这里插入图片描述
    5、选择system(系统)> gui settings(用户见面设置)。
    在这里插入图片描述
    6、选择中文,保存设置。
    在这里插入图片描述
    7、打开服务 > 代理服务 > 勾选 激活本地服务和透明本地服务 > 保存。
    激活就是让他运行在8080端口上;
    透明就是把80端口8443端口的请求转发到了8080端口。
    在这里插入图片描述
    8、下拉到重定向,开启重定向。保存(会自动重启)
    在这里插入图片描述
    9、重启后服务里面就会多一个URL filter。 勾选》启用、日志激活。开启黑名单添加黑名单后该地址将不能被访问。
    保存并重启即可生效。
    在这里插入图片描述
    10、访问被拒绝。
    在这里插入图片描述

    使用IPSec VPN实现资源共享。

    需要两台IPcop服务器,和两台客户机。IPcop1(192.168.1.1)IPcop2(192.168.2.1)
    1、客户机配置IPcop1。点击虚拟专用网 > IPSec >启用 IP172.16.12.101(IPcop1公网IP)> 保存
    在这里插入图片描述
    2、新建连接状态控制。
    在这里插入图片描述
    3、选择网络到网络的VPN。
    在这里插入图片描述
    4、配置主机名,远程主机IP,远程子网。使用与共享密钥。保存
    在这里插入图片描述
    5、运行中,连键状态关闭,IPcop2还没用配置。在这里插入图片描述
    6、同理IPcop2配置同上,配置完成通道开启。
    在这里插入图片描述
    7、在IPcop1客户机上选择要共享的文件。右键共享,选择用户>Everyone >添加>共享
    在这里插入图片描述
    8、启用所有公共网络的网络发现和文件共享
    在这里插入图片描述
    9、点击完成
    在这里插入图片描述
    10、关闭防火墙:
    在这里插入图片描述
    11、打开服务器管理器>用户 >Guest >取消账户已禁用。
    在这里插入图片描述
    12、在IPcop2的客户机上访问\192.168.1.2;共享成功。
    在这里插入图片描述

    展开全文
  • ## 防火墙的配置>[success] 服务器中,防火墙的配置是十分必要的!在这里以Centos的iptables为例,进行讲解### iptables 介绍(iptables 内置了4个表,5个链)#### 五个规则链1. PREROUTING (路由前)2. INPUT ...
  • 很关键,用于实现策略路由的是iproute2工具包,但是iproute2工具包是无法根据端口来进行匹配的,因此,需要借助iptables来配合 iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 100 #增加多...
  • linux防火墙的策略规则

    千次阅读 2021-05-13 14:32:55
    介绍:防火墙默认有四表五链四表:(表的优先级:raw > mangle > nat > filter )1.Raw表——两个链:PREROUTING、OUTPUT作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw2.Mangle表——五个链...
  • Linux防火墙策略

    万次阅读 2019-05-15 21:16:31
    linux防火墙策略 什么是防火墙 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量...
  • linux防火墙配置实验视频教程分享给不知道如何配置linux防火墙的朋友,在linux防火墙上搭建是如何的呢,完全可以看这个视频教程自己学着,欢迎下载观看。linux防火墙配置说明一、Linux下开启/关闭防火墙命令1、永久...
  • Linux策略路由

    2021-05-10 22:06:52
    Linux策略路由策略性路由策略性是指对于IP包的路由是以网络管理员根据需要定下的一些策略为主要依据进行路由的。例如我们可以有这样的策略:“所有来直自网A的包,选择X路径;其他选择Y路径”,或者是“所有TOS为A的...
  • linux路由设置详解

    2021-05-08 22:23:18
    路由表信息解释##名词解释:Active Routes:活动的路由Network destination :目的网段Netmask:子网掩码Gateway:网关,又称下一跳路由器。在发送IP数据包时,网关定义了针对特定的网络目的地址,数据包发送到的下...
  • linux防火墙

    2021-05-15 16:51:32
    四表五链链:PREROUTING,INPUT,FORWARD,OUTROUTING,POSTROUTINGPREROUTIN:在路由之前INPUT:进入主机FORWARD:转发OUTPUT:出主机POSTROUTING:路由之后表:filter,nat,mangle,rawfilter:过滤INPUTOUTPUTFORWARDnat:地址...
  • 有时候,我们在Linux操作系统上成功启动了weblogic,也查看了7001端口的状态是开启的。但是访问weblogic控制台没有反应,也没有报错。使用 netstat -ano | grep 7001 查看端口的状态可是访问weblogic控制台,还是...
  • linux高级路由

    2021-05-15 22:32:34
    linux高级路由1.策略路由基于策略的路由比传统路由在功能上更强大,使用更灵活,它使网络管理员不仅能够根据目的地址而且能够根据报文大小、应用或IP源地址来选择转发路径...#/etc/iproute2/rt_tables 此文件存有...
  • iptables则是防火墙的管理工具iptables帮助我们定义各种验证规则,实现对网络的验证控制数据包的传输过程数据包来到防火墙后,传输过程会经历一系列验证链:(1)prerouting数据包作路由选择前(2)forward转发数据包的...
  • Linux下状态检测防火墙的设计与实现 基于Linux Netfilter框架,使用C语言的内核态编程,实现了状态检测防火墙
  • Linux关闭防火墙命令

    万次阅读 2019-10-21 11:27:23
    一、下面是red hat/CentOs7关闭防火墙的命令! 1:查看防火状态 systemctl status firewalld service iptables status 2:暂时关闭防火墙 systemctl stop firewalld service iptables stop 3:永久关闭防火墙 systemctl ...
  • 常用Linux路由命令

    2021-05-15 20:35:09
    3.2) ip route add 192.168.10.0/24 via 192.168.5.100 dev eth0 作用:增加可以通往外部的Linux路由 3.3) ip route add default via 192.168.1.2 dev eth0 作用:增加默认Linux路由 第四组命令: ping、traceroute...
  • linux配置静态路由

    千次阅读 2021-02-01 09:20:19
    主机只有一块网卡的时候,不会涉及到默认路由和静态路由的问题。两块网卡时,也可以一块配置有网关(默认路由走这个网卡),另外一块只配置IP和掩码确认(该主机同网络的可以互通)。不过在稍大型的、有多网段的环境里就...
  • Linux防火墙命令大全

    万次阅读 多人点赞 2018-09-02 07:33:20
    原:Linuxlinux7防火墙基本使用及详解_张冲andy的博客-CSDN博客 1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止:systemctl stop firewalld 禁用:...
  • Redhat7防火墙常用配置重启防火墙服务systemctl restart firewalld.service查看防火墙服务状态systemctl statusfirewalld.service永久启用/禁用防火墙systemctl enable firewalld.servicesystemctl disable ...
  • Linux防火墙详解(一)一、Linux防火墙简介二、iptables的表和链三、TCP/IP和iptables一、Linux防火墙简介1.iptables/netfilter: 防火墙:就是一个数据报文过滤工具网络防火墙主机防火墙工作于网络或主机的比边缘(通信...
  • ======================= DNS修改 编辑文件vi /etc/resolv.conf /* 使用route 命令配置路由表 */ //添加到主机路由 # route add –host 192.168.168.110 dev eth0:1 # route add –host 192.168.168.119 gw 192.168...
  • 关于firewalld作为内核的管理软件firewall-cmd,通过使用这个软件来间接管理linux内核的开启与关闭等等,而firewall-cmd软件也本身支持firewall-cmd(命令)firewall-config(图形管理工具)两种管理模式来管理kerne ...
  • Linux之iptables防火墙

    2021-11-04 16:39:58
    Linux系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙) ...
  • Linux2.4内核的防火墙框架netfilter在IP层内提供了五个插入点:NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP_LOCAL_OUT,NF_IP_POST_ROUTING,分别对应IP层的五个不同位置。这样,在理论上写用户自己的内核....
  • 一、防火墙简介 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙的存在,使得计算机...
  • linux 高级路由 ip rule

    2021-05-10 21:58:37
    linux 高级路由即基于策略的路由比传统路由在功能上更强大,使用也更灵活,它不仅能够根据目的地址来转发路径而且也能够根据报文大小、应用或ip源地址来选择路由转发路径从而让系统管理员能轻松做到:1、 管制某台...
  • 环境(关闭防火墙和seLinux):  6A: CentOS6  7A 和 7B:CentOS 7  6A: 192.168.20.131/24  7B: 192.168.20.129/24 和 192.168.10.130/24  7A: 192.168.10.129/24 各主机上配置如下:6A: ip ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 32,140
精华内容 12,856
关键字:

linux添加路由防火墙

linux 订阅