linux学习记录9

配置ip方法

操作  把虚拟机的网卡vm1 ip 192.168.10.1   255.255.255.0

1

vim etc/sysconfig/network-scripts/ifcfg-eno16777728    

2 nmtui   用这个比较习惯哈哈    记得打开网卡!!!!!

改完ip记得systemctl restart network

vim etc/sysconfig/network-scripts/ifcfg-eno16777728里的ONBOOT  记得改成yes！！！

四个方法配置防火墙   iptables工具

由外到内  input

由内到外  ouput

forward   转发第三方服务器处理

路由前

路由后

动作 ：   允许         拒绝(并回复)       拒绝(悄悄地拒绝)      日志

　　　　accept      reject                      Drop                        log

参数	作用
-P	设置默认策略
-F	清空规则链
-L	查看规则链
-A	在规则链的末尾加入新规则
-I num	在规则链的头部加入新规则
-D num	删除某一条规则
-s	匹配来源地址IP/MASK，加叹号“!”表示除这个IP外
-d	匹配目标地址
-i 网卡名称	匹配从这块网卡流入的数据
-o 网卡名称	匹配从这块网卡流出的数据
-p	匹配协议，如TCP、UDP、ICMP
--dport num	匹配目标端口号
--sport num	匹配来源端口号

iptables -L   显示当前所有的策略

iptables -F    清空所有的策略

INPUT   从外到内，默认是允许所有进来

设置拒绝

iptables -P INPUT -DROP    限制了所有的从外部到内部的流量。（ping也ping不通，shell也进不去）

iptables -I INPUT -p icmp -j ACCEPT   -p  协议  -j   动作  （ACCEPT或者REJECT）     放行了从外部到内部的ping的请求。

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT   放行了端口号（xshell允许链接）

允许所有

iptables -P INPUT ACCEPT

禁止某个人 

iptables -I INPUT -p tcp -s 192.168.10.0/24 --dport -j REJECT

firewalld

  查看firewalld服务当前所使用的区域：

firewall-cmd --get-default-zone   

查询eno16777728网卡在firewalld服务中的区域：

firewall-cmd --get-zone-of-interface=eno16777728

把firewalld服务中eno16777728网卡的默认区域修改为external，并在系统重启后生效。分别查看当前与永久模式下的区域名称：

firewall-cmd --permanent --zone=external --change-interface=eno16777728
firewall-cmd --get-zone-of-interface=eno16777728

 firewall-cmd --permanent --get-zone-of-interface=eno16777728

把firewalld服务的当前默认区域设置为public并查看区域

 firewall-cmd --set-default-zone=public

firewall-cmd --get-default-zone 

启动紧急模式，阻断一切网络连接（当远程控制服务器时请慎用）

firewall-cmd --panic-on

解除

firewall-cmd --panic-off

查询public区域是否允许请求SSH和HTTPS协议的流量：

firewall-cmd --zone=public --query-service=ssh     yes

firewall-cmd --zone=public --query-service=https   no

如何启动呢

firewall-cmd --permanent --zone=public --add-service=https
记得reload
firewall-cmd --reload
再次查看
firewall-cmd -zone=public ==query-service=https    yes

把在firewalld服务中访问8080和8081端口的流量策略设置为允许，但仅限当前生效：

firewall-cmd --zone=public --add-port=8080-8081/tcp

firewall-cmd --zone=public --list-ports 

8080-8081/tcp

tcp Wrappers 服务的访问控制列表

两个配置文件

/etc/hosts.allow   允许   高于拒绝

/etc/hosts.deny   拒绝

先写拒绝：

sshd:192.168.10.        代指10.0的网段

 配置好后ssh就连不进了

允许同理。

拒绝策略规则文件

完。