防火墙和SELinux复习02

1.防火墙

  防火墙主要起隔离作用,严格的过滤入站,允许出站。又分为硬件防火墙和软件防火墙,硬件防火墙主要保护一群机器,而软件防火墙主要保护本机。

 防火墙相关命令:systemctl status firewalld.service #查看防火墙当前状态

         systemctl start firewalld    #启动防火墙

         systemctl stop firewalld    #关闭防火墙

         systemctl enable firewalld          #开机自动启动

         systemct; disable firewalld   #开机自动关闭

        防火墙有四个区域,当受到访问时根据匹配原则匹配到相应的区域。

匹配原则:    1.查看数据包中的源IP,查询区域中的规则,哪一个区域中有这个IP,就进入哪一个区域。匹配即停止。

         2.若没有找到相应的规则,则进入当前默认的区域。

四个保护规则集:public:默认允许sshd dhcp ping 服务

        trusted:允许任何访问

        block:明确的拒绝访问

        drop:丢弃所有来访的数据包

查询防火墙的默认区域:firewall-cmd --get-default-zone

修改默认区域:    firewall-cmd --set-default-zone=publid

查看规则里的协议:  firewall-cmd --zone=public --list-all

若要往默认规则里添加协议:firewall-cmd --zone=public --add-service=ftp

永久设置:firewall-cmd --permanent --zone=public --add-service=ftp

刷新防火墙:firewall-cmd --reload

若是要单独拒绝某个源IP地址,就把IP地址写入block     firewall-cmd --zone=block --add-source=源IP

删除即把add改为remove

实现本机的端口映射:如使得5444端口映射到80端口

        firewall-cmd --permanent --zone=public --add-forward-port=port=5444:proto=tcp:topert=80:toaddr=192.168.142.139

               验证:firefox 192.168.142.139 :5444 默认跳转到80端口,HTTP服务

端口的概念:协议或程序的编号

常见的端口:http : 80

      httpd:443

      ftp:21

      TFTP: 69

      telnet:23

      DNS:53   #远程管理协议

      snmp:161  #简单的网络管理协议    

      smtp :25  #邮件协议

      pop3:110

二、SELinux安全机制:一套增强Linux系统安全的强制访问控制协议

运行模式: enforcing(强制)     permissive(宽松)    disabled(彻底关闭)

临时修改:sentenforce 1(开启)       0(关闭)

查看:gentenforce 

永久配置文件:/etc/selinux/config

       

原文地址:https://www.cnblogs.com/zhanglei97/p/11508694.html