激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        億恩科技有限公司旗下門(mén)戶(hù)資訊平臺(tái)!
        服務(wù)器租用 4元建網(wǎng)站

        配置Linux防火墻的幾種方式

        盡管工作在Linux內(nèi)核的網(wǎng)絡(luò)過(guò)濾器代碼上,總體上和舊有的配置防火墻的方法是不兼容的。Red Hat Enterprise Linux 7 和其他的新版本則需要依靠新的配置方法。本文的所有命令都基于RHEL 7。

        防火墻起初看起來(lái)很難使用,但是實(shí)際上并不是這樣。服務(wù)以及區(qū)域使一個(gè)個(gè)碎片的結(jié)合以及Linux防火墻的配置變得很容易。盡管工作在Linux內(nèi)核的網(wǎng)絡(luò)過(guò)濾器代碼上,總體上和舊有的配置防火墻的方法是不兼容的。Red Hat Enterprise Linux 7 和其他的新版本則需要依靠新的配置方法。本文的所有命令都基于RHEL 7。

        防火墻工作網(wǎng)絡(luò)

        首先,檢查防火墻是否在運(yùn)行。使用列表1中的systemctl status firewalld命令。

        列表1.下面的序列表明防火墻是活動(dòng)狀態(tài)且在運(yùn)行中。這些斜線是有幫助的,當(dāng)你試圖將表1全面顯示出來(lái),使用-1命令。

        [root@rhelserver ~]# systemctl status firewalld

        firewalld.service - firewalld - dynamic firewall daemon

           Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)

           Active: active (running) since Thu 2014-05-22 07:48:08 EDT; 14min ago

        Main PID: 867 (firewalld)

           CGroup: /system.slice/firewalld.service

                   └─867 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

        May 22 07:48:08 rhelserver.example.com systemd[1]: Started firewalld - dynami...

        防火墻中的一切都與一個(gè)或者多個(gè)區(qū)域相關(guān)聯(lián)。

        配置之后,RHEL 7服務(wù)器正常會(huì)在公共區(qū)域,但是你也許會(huì)想將它放置在另一個(gè)網(wǎng)絡(luò)配置防火墻訪問(wèn)。這時(shí)使用firewall-cmd --get-default-zone命令,該命令顯示你的服務(wù)器在哪一個(gè)網(wǎng)絡(luò)。如果你想查看配置特定網(wǎng)絡(luò)的詳細(xì)信息,你可以使用列表2中的firewall-cmd --zone=zonename --list-all命令。

        列表2.

        root@rhelserver ~]# firewall-cmd --get-default-zone

        public

          [root@rhelserver ~]# firewall-cmd --get-zones

          block dmz drop external home internal public trusted work

          [root@rhelserver ~]# firewall-cmd --zone=public --list-all

          public (default, active)

          interfaces: ens33

          sources:

          services: dhcpv6-client sander ssh

          ports:

          masquerade: no

          forward-ports:

          icmp-blocks:

          rich rules:

        改變當(dāng)前區(qū)域并不難:使用firewall-cmd --set-default-zone=home命令,該命令可用于從公共網(wǎng)絡(luò)到家庭網(wǎng)絡(luò)制定一個(gè)默認(rèn)網(wǎng)絡(luò)。

        服務(wù)和其他構(gòu)件

        在區(qū)域中有一些基本的構(gòu)件塊,其中服務(wù)是最重要的。防火墻使用管理員創(chuàng)建在/usr/lib/firewalld/services(系統(tǒng)默認(rèn)服務(wù)) 和/etc/firewalld/services文件下的XML文件,配置的自身服務(wù)集。XML文件時(shí)通過(guò)列表3中的例子創(chuàng)建的。

        列表3.

        [root@rhelserver services]# cat ftp.xml

        <?xml version="1.0" encoding="utf-8"?>

        <service>

          <short>FTP</short>

          <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the

        vsftpd package installed for this option to be useful.</description>

          <port protocol="tcp" port="21"/>

          <module name="nf_conntrack_ftp"/>

        </service>

        每一個(gè)服務(wù)定義都需要一個(gè)簡(jiǎn)短的名字、描述和端口網(wǎng)絡(luò)用于指定需要使用的協(xié)議、端口和模塊名。

        列表4.以下是創(chuàng)建防火墻服務(wù)的例子

        [root@rhelserver services]# cat sander.xml

        <?xml version="1.0" encoding="utf-8"?>

        <service>

          <short>Sander</short>

          <description>Sander is a random service to show how service configuration works.</description>

          <port port="666" protocol="tcp"/>

        </service>

        一旦你有了正確的服務(wù)文件,使用以下代碼復(fù)制它。firewall-cmd --list-services命令顯示從你服務(wù)器上的所有可以找到的服務(wù)列表。如果要增加服務(wù)則輸入firewall-cmd --add-service yourservice將服務(wù)放到默認(rèn)網(wǎng)絡(luò)上,或者是使用--zone=zonename選擇特定網(wǎng)絡(luò)。

        下面描述了它如何工作:

        1.使用firewall-cmd --zone=public --list-all命令,顯示當(dāng)前公共區(qū)域配置。

          [root@rhelserver ~]# firewall-cmd --zone=public --list-all

          public (default, active)

          interfaces: ens33

          sources:

          services: dhcpv6-client ssh

          ports:

          masquerade: no

          forward-ports:

          icmp-blocks:

          rich rules:

        2.命令firewall-cmd --zone=public --add-service=ftp,在Linux防火墻的公共區(qū)域上添加FTP服務(wù)。

        3.重復(fù)步驟1檢查FTP服務(wù)是否成功添加,你將看到服務(wù)列表。

        4.重啟服務(wù)器,執(zhí)行步驟1.你將看到FTP服務(wù)消失了,在防火墻中,沒(méi)有永久的事物,除非你使用了permanent選項(xiàng)。

        5.將FTP服務(wù)添加到公共網(wǎng)絡(luò)上,并設(shè)為永久設(shè)置,該步驟使用firewall-cmd  --permanent --zone=public --add-service=ftp命令。重啟之后該設(shè)置生效。

        6.輸入firewall-cmd –reload提交所有規(guī)則同時(shí)重載防火墻。使用permanent設(shè)置永久防火墻選項(xiàng)是非常重要的。

        打破規(guī)則

        配置防火墻配置服務(wù)是推薦的方式,它可以輕而易舉地提供防火墻的全局概覽。但是如果你想在/etc/firewalld/service文件下自己定義服務(wù),在不使用該文件的情況下也可添加端口。

        使用firewall-cmd --permanent --zone=dmz --add-port=22/tcp命令為特定網(wǎng)絡(luò)指定特定端口,然后使用firewall-cmd --zone=dmz --list-all確認(rèn)端口已成功添加。這種方式是非兼容方式,使用服務(wù)使對(duì)不同的主機(jī)分配相似的規(guī)則變得簡(jiǎn)單。如果沒(méi)有服務(wù),文件就很難被分配,配置文件中的規(guī)則分配也變得困難。

        對(duì)于更多的控制,你不能夠使用直接規(guī)則。原因如下:

        1.輸入firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 80 -j ACCEPT

        2.現(xiàn)在輸入firewall-cdm --list-all顯示你的默認(rèn)網(wǎng)絡(luò)的配置,端口80沒(méi)有添加任何東西。

          [root@rhelserver ~]# firewall-cmd --list-all

          public (default, active)

          Interfaces: ens33

          sources:

          services: dhcpv6-client ftp ssh

          ports:

          masquerade: no

          forward-ports:

          icmp-blocks:

          rich rules:

        輸入完以上命令后,HTTP端口并沒(méi)有發(fā)生改變,這是因?yàn)橹苯右?guī)則寫(xiě)給了IP信息包過(guò)濾器接口,而不是防火墻。

        3.輸入firewall-cmd --direct --get-all-rules,或者使用firewall-cmd --direct --get-all-rules顯示直接規(guī)則。

        相比于直接規(guī)則,使用iptables(列表5)命令可以寫(xiě)到防火墻里。

        列表5.Linux防火墻規(guī)則實(shí)例

        firewall-cmd--permanent--zone=public--add-rich-rule="rule family="ipv4" source address="192.168.4.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept"

        防火墻規(guī)則類(lèi)似于IP信息包過(guò)濾防火墻,提供了大量靈活性。

        使用列表5中的一條命令就可以完成和提交許多任務(wù)。它指定了IP家族、源地址、服務(wù)名等。但是需要注意規(guī)則是怎樣處理登陸的:定義一個(gè)特定的登陸前綴、登陸等級(jí)信息,以及每分鐘傳遞信息的極限值。

        Linux管理員可以申請(qǐng)監(jiān)測(cè)端口的過(guò)濾器,所以規(guī)則對(duì)于IP地址上的過(guò)濾器非常有用。(列表6)

        列表6.規(guī)則申請(qǐng)Linux防火墻IP地址端口的過(guò)濾器

        firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" \

           source address="192.168.0.4/24" service name="http" accept"

        分析區(qū)域

        firewall-cmd命令是眾多配置防火墻的方法之一。二者擇一的,你可以直接編寫(xiě)網(wǎng)絡(luò)配置文件。但是如果語(yǔ)法有誤,將不會(huì)得到任何反饋。但這是一個(gè)簡(jiǎn)潔簡(jiǎn)單的配置文件,容易修改和在多個(gè)服務(wù)器上分配。

        列表7.你可以通過(guò)編寫(xiě)配置文件配置防火墻

        <?xml version="1.0" encoding="utf-8"?>

        <zone>

          <short>Public</short>

          <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>

          <service name="dhcpv6-client"/>

           <service name="ssh"/>

           <rule family="ipv4">

            <source address="192.168.4.0/24"/>

            <service name="tftp"/>

            <log prefix="tftp" level="info">

            <limit value="1/m"/>

            </log>

            <accept/>

          </rule>

        </zone>

        列表7中包含了添加到先前例子中的所有代碼,可以直接寫(xiě)入?yún)^(qū)域配置文件,其中不包含直接規(guī)則,因?yàn)橹苯右?guī)則有自己的配置文件。

        [root@rhelserver firewalld]# cat direct.xml

        <?xml version="1.0" encoding="utf-8"?>

        <direct>

          <rule priority="0" table="filter" ipv="ipv4" chain="INPUT">-p tcp --dport 80 -j ACCEPT</rule>

        </direct>

        河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專(zhuān)注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶(hù)提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶(hù)不斷的獲得更大的收益。
        服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
        虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-55621053
        網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:0371-60135995
        服務(wù)熱線:0371-60135900

        標(biāo)簽 Linux防火墻
        0
        3
        分享到:責(zé)任編輯:阿柳

        相關(guān)推介

        共有:0條評(píng)論網(wǎng)友評(píng)論:

        驗(yàn)證碼 看不清換一張 換一張

        親,還沒(méi)評(píng)論呢!速度搶沙發(fā)吧!