《Linux就该这么学》学习笔记
第十一课 《第八章》Iptables与Firewalld防火墙
https://www.linuxprobe.com/chapter-08.html#83_Firewalld
8.3 firewalld
firewall-cmd 终端管理工具
firewall-config 图形管理工具
firewalld工具是RHEL7默认防火墙工具。
zone:区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
参数一般都是以“长格式”,可以用“TAB”进行参数补全
Runtime模式/Permanent模式
Runtime:当前生效模式,当前生效,重启后失效
Permanent:永久生效模式,当前不生效,重启后生效(或–reload)
panic-on/panic-off
Linux中一切都是文件;
部署一个服务就是在修改配置文件;
修改后记得重启;
顺手加入到开机启动项;
思考:firewall-cmd命令时介绍了端口转发的配置:把原本访问本机888端口的流量转发到22端口
firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
实际应用中,如何禁止掉port22,而一律使用port888进行ssh连接访问呢?
思路:防火墙只能做到端口转发,而不能够达到更改sshd服务的端口号,要更改端口号,肯定涉及到修改sshd的配置文件。
操作如下:
[root@linuxprobe ~]# vim /etc/ssh/sshd_config #编辑配置文件
17行,修改端口号为888
注意,13-15行,SELinux的设置
保存退出后,设置SELinux
[root@linuxprobe ~]# semanage port -a -t ssh_port_t -p tcp 888
[root@linuxprobe ~]# systemctl restart sshd
尝试连接,发现仍然失败
讲firewall-cmd命令时,有一个–add-port=的参数,默认888/tcp是被防火墙阻止的。因此需要追加一条策略:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=888/tcp
之后,就可以从888端口连接了,且22端口无法使用。
8.加粗样式4 服务访问控制列表(TCP Wrappers)
天使/恶魔文件:/etc/host.allow /etc/host.deny
优先度:天使文件>恶魔文件
在配置TCP Wrappers服务时需要遵循两个原则:
编写拒绝策略规则时,填写的是服务名称,而非协议名称;
建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。
《第九章》使用ssh服务管理远程主机
https://www.linuxprobe.com/chapter-09.html
9.1 配置网卡服务
9.1.1 四种网卡配置方法
9.1.2 创建网络会话(网卡不同情景快速切换的配置模板)
nmcli命令:可以实现tab键补齐
nmcli connection up 会话名
9.1.3 网卡绑定技术(BONDING)
3种模式:
NetWorkManager服务:需要关闭
nm_controlled=no