Day08- team、iptables、firewall-1171770621

Windows Windows 2个月前 (08-15) 6次浏览 未收录 0个评论 扫描二维码

SELinux概述? Security-Enhanced Linux– 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系– 集成到Linux内核(2.6及以上)中运行– RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具

SELinux运行模式的切换? SELinux的运行模式– enforcing(强制)、permissive(宽松)– disabled(彻底禁用)

[root@server0 ~]# getenforce      #查看当前SELinux状态
Enforcing
[root@server0 ~]# setenforce 0    #临时修改成宽松状态
[root@server0 ~]# getenforce 
Permissive
[root@server0 ~]# setenforce 1    
[root@server0 ~]# getenforce 

– 固定配置:/etc/selinux/config 文件

补充: 在vim 命令模式下 按 “大写的C” 删除光标之后到行尾,并且进入插入模式

[root@server0 ~]# grep '^SELINUX=' /etc/selinux/config 
SELINUX=permissive
[root@server0 ~]# reboot

#####################################################################################配置聚合连接(两张网卡eth1、eth2)

    HSRP    活跃路由器     备份路由器                          
                    虚拟路由器

         聚合连接    eth1      eth2    
                  team(192.168.1.1)  

链路聚合的优势? team,聚合连接(也称为链路聚合)– 由多块网卡(team-slave)一起组建而成的虚拟网卡,即“组队”– 作用1:轮询式(roundrobin)的流量负载均衡– 作用2:热备份(activebackup)连接冗余

[root@server0 ~]# man teamd.conf        #按  “大写的G”到全文的最后
                             向上查找  EXAMPLES
       "runner": {"name": "activebackup"}   #热备份配置(最好复制粘贴)

# nmcli connection add type team con-name team0 ifname team0 config '{"runner": {"name": "activebackup"}}'      //添加热备份链路(team0配置文件/etc/sysconfig/network-scripts/ifcfg-team0,显示为team0)
# ifconfig team0        //查看生成的网卡(对应配置文件/etc/sysconfig/network-scripts/ifcfg-team0)

# nmcli connection add type team-slave con-name team0-eth1 ifname eth1 master team0         //添加eth1网卡到team0当中,命名为team0-eth1
# nmcli connection add type team-slave con-name team0-eth2 ifname eth2 master team0         //添加eth2网卡到team0当中,命名为team0-eth2

# nmcli connection modify team0 ipv4.method manual ipv4.addresses '172.16.3.20/24' connection.autoconnect yes   //配置team0的IP地址,默认启用

# nmcli connection up team0-eth1        //激活成员
# nmcli connection up team0-eth2        //激活成员
# nmcli connection up team0         //激活team0

# teamdctl team0 state      //查看team状态
# man  teamd.conf  #查看man帮助,按G到最后去寻找关键字端复制
# ifconfig eth1 down        //关闭其中一张网卡后,进行测试

[root@server0 ~]# nmcli connection delete team0         //删除team配置
[root@server0 ~]# nmcli connection delete team0-eth1    //删除team配置
[root@server0 ~]# nmcli connection delete team0-eth2    //删除team配置

配置IPv6地址

? IPv4 地址表示– 32个二进制位,点分隔的十进制数– 例如:172.25.0.11、127.0.0.1

? IPv6 地址表示– 128个二进制位,冒号分隔的十六进制数– 每段内连续的前置 0 可省略、连续的多个 : 可简化为 ::– 例如:2003:ac18:0000:0000:0000:0000:0000:03052003:ac18::305/64

为两个虚拟机的接口 eth0 配置下列 IPv6 地址– server0 上的地址应该是 2003:ac18::305/64– desktop0 上的地址应该是 2003:ac18::306/64

# nmcli  connection  modify  'System eth0'  ipv6.method  manual  ipv6.addresses  '2003:ac18::305/64'  connection.autoconnect  yes       //配置IPv6地址
# nmcli  connection  up  'System eth0'
# ifconfig      //查看IPv6
# ping6  2003:ac18::306/64      //测试IPv6联通性

alias别名设置? 查看已设置的别名– alias [别名名称]? 定义新的别名– alias 别名名称= ‘实际执行的命令行’? 取消已设置的别名– unalias [别名名称]

用户个性化配置文件? 影响指定用户的 bash 解释环境– ~/.bashrc, 每次开启 bash 终端时生效

全局环境配置? 影响所有用户的 bash 解释环境– /etc/bashrc, 每次开启 bash 终端时生效

# vim /etc/bashrc
# alias myls='ls -lhd'
# su - student
# myls /opt

真机上操作
[root@room9pc14 桌面]# vim /root/.bashrc 

alias  s='ssh  -X  root@172.25.0.11'
alias  d='ssh  -X  root@172.25.0.10'
alias  rs='rht-vmctl  reset  server'
alias  rd='rht-vmctl  reset  desktop'
alias  rc='rht-vmctl  reset  cla***oom'

[root@room9pc14 桌面]#

#####################################################################################防火墙策略管理

Web服务:

虚拟机server0上服务端:安装服务端软件httpd

1.安装httpd
[root@server0 ~]# yum -y install httpd

2.重启httpd服务,设置开机服务自起
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl enable httpd

 默认网页文件存放路径:/var/www/html/
 默认主页文件的名称:index.html
[root@server0 ~]# cat /var/www/html/index.html
<marquee><font color=red><h1>NSD1705

   客户端:安装客户端软件firefox(自己访问自己)

[root@server0 ~]# firefox http://172.25.0.11

FTP服务

虚拟机server0上服务端:安装服务端软件vsftpd

1.安装vsftpd
[root@server0 ~]# yum install -y vsftpd

2.重起vsftpd服务,设置开机服务自起
[root@server0 ~]# systemctl reset vsfpd

默认FTP共享路径:/var/ftp
[root@server0 ~]# touch /var/ftp/test.txt

客户端:安装客户端软件firefox(自己访问自己)

[root@server0 ~]# firefox ftp://172.25.0.11

#####################################################################################Iptables防火墙Linux包过滤防火墙· netfilter-位于Linux内核中的包过滤功能体系-称为Linux防火墙的“内核态”· iptables-位于/sbin/iptables, 管理规则的工具-称为Linux防火墙的“用户态”

4表:raw、mangle、nat、filter
5链:InPut、OutPut、ForWard、PostRouting、PreRouting

表:存放不同的规则链
    -raw: 确定是否对数据包进行状态跟踪
    -mangle: 为数据包设置标记
    -nat: 修改数据包的源/目标地址或端口
    -filter: 确定是否放行该数据包

链:存放防火墙规则:
    -InPut: 处理入站数据包
    -OutPut: 处理出站数据包
    -ForWard: 处理转发数据包
    -PostRouting: 路由选择之后处理
    -PreRouting: 路由选择之前处理

包过滤匹配流程:
    1.规则表顺序:
        --> raw --> mangle --> nat --> filter
    2.规则链顺序:
        -入站:PreRouting --> InPut
        -转发:PreRouting --> ForWard --> PostRouting
        -出站:OutPut --> PostRouting

    基本用法:
        iptables  [-t 表名]  选项  [链名]  [条件]  [-j 目标操作]
    整体规律:
        -不指定表,默认为filter表
        -不指定链,对应表的所有链
        -除默认策略外,必须指定匹配条件
        -选项、链名、目标操作用大写字母,其余都小写

        基本目标操作:
            -ACCEPT:允许通过
            -DROP:直接丢弃,不给任何回应
            -REJECT:拒绝通过,必要时会给出提示
            -LOG:记录日志,然后传给下一条规则

        常用管理项:
            -A: 在链的末尾追加一条规则
            -I: 在链的开头插入一条规则
            -L: 列出所有的规则条目
            -n: 以数字形式显示地址、端口竺信息
            --line-numbers:查看规则时,显示规则的序号
            -D: 删除链内指定序号的规则
            -F: 清空所有规则
            -P: 为指定的链设置默认规则

        基本匹配条件(!:取反):
            协议匹配:-p  协议名
            地址匹配:-s  源地址、-d  目标地址
            接口匹配:-i  收数据的网卡、-o  发数据的网卡
            端口匹配:--sport  源端口、--dport  目标端口
            ICMP类型匹配:--icmp-type  ICMP类型
            TCP标记匹配:--tcp-flags  检查哪些位  哪些位被设置

        网络连接的五种状态:
            -NEW: 请求建立连接的包,完全陌生的包
            -ESTABLISHED: 将要或已经建立连接的包
            -RELATED: 与已知某个连接相关联的包
            -INVALID: 无对应连接,以及连接无效的包
            -UNTRACKED: 未跟踪状态的包
# iptables -t filter -I INPUT -p icmp -j REJECT     //拒绝ICMP包入站
# iptables -t filter -A INPUT -s 192.168.4.10 -j DROP   //丢弃192.168.4.10的入站包
# iptables -t filter -nL        //查看已有规则
# iptables -D INPUT 1       //删除INPUT中第一条规则
# iptables -t filter -nL        //再次查看
# iptables -t filter -A INPUT -s 192.168.4.10 -p tcp --dport 21 -j DROP     //拒绝指定主机访问TCP21号端口

# sysctl -w net.ipv4.ip_forward=1       //开启路由转发(临时)
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -A FORWARD -s 192.168.4.10 -j DROP       //不转发来自192.168.4.10的包
# iptables -t filter -n

# iptables -A FORWARD -s 192.168.4.12 -d 100.100.100.100 -p tcp --dport 80 -j DROP      //拒绝4.12访问100的80端口
# iptables -A FORWARD ! -s 192.168.4.0/24 -j DROP       //只有192.168.4.0段的包不丢弃(!:取反)

# cat iptables.rule

# iptables -t nat -A POSTROUTING -s 192.168.4.10 -j SNAT --to-source 172.16.4.10    //192.168.4.10源NAT转化为172.16.4.10(源地址伪装)
# iptables -t nat -F POSTROUTING

# iptables -t nat -A PREROUTING -d 192.168.4.10 -p tcp --dport 222 -j DNAT --to 172.16.4.10:22  //把访问192.168.4.10的222端口DNAT到172.16.4.10的22端口(目标地址伪装)
# iptables -t nat -nL PREROUTING
# iptables -t nat -D PREROUTING 2                //删除第2条

# iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 10022 -j DNAT --to-destination 172.16.0.2:22 ! -i docker0

# iptables -t filter -A INPUT -s 192.168.4.15 -p tcp --dport 80 -j DROP            //禁止192.168.4.15访问本机的web服务

# iptables -t filter -A INPUT ! -s 192.168.4.12 -j DROP             //禁止除192.168.4.12以外的其他主机ping本机

NAT防火墙,需要打开内核IP转发

POSTROUTING   源地址伪装
通过伪装192.168.4.0网段的机器上网,首先防火墙本机可以访问互联网
# iptables -t nat -A  POSTROUTING -s 192.168.4.0 -j SNAT --to-source  外网地址

PREROUTING    目标地址转换
所有访问防火墙10022端口的请求都转发给后端的192.168.4.15的22端口
# iptables -t nat -A PREROUTING -i 本机名 -p tcp -m tcp --dport 10022 -j DNAT --to-destination 192.168.4.15:22

防火墙策略管理

系统服务:firewalld 管理工具:firewall-cmd(命令)firewall-config(图形)

# systemctl status firewalld.service        //查看防火墙服务状态
# firewall-cmd --get-zones          //获取支持的区域列表

预设安全区域? 根据所在的网络场所区分,预设保护规则集– public: 仅允许访问本机的sshd等少数几个服务(默认区域)– trusted: 允许任何访问– block: 阻塞任何来访请求(明确拒绝)– drop: 丢弃任何来访的数据包(丢弃请求:节省资源)

# firewall-cmd --get-default-zone       //查看默认区域(一般为public)
# firewall-cmd --zone=public --list-all     //查看区域规则
# firewall-cmd --list-all-zones         //查看所有区域的详细规则

防火墙判断规则:(匹配及停止)1、首先看请求(客户端)当中的源IP地址,所有区域中是否对于该IP地址的策略,如果有,则该请求进入该区域2、如果没有其它匹配,则进入默认区域(前面没有匹配)

# firewall-cmd --zone=public --add-service=http     //默认区域添加规则(临时生效)
# firewall-cmd --zone=public --list-all     //查看区域规则(刚添加的)
# firewall-cmd --get-services           //获取所有支持的服务

? 配置规则的位置– 运行时(runtime)– 永久(permanent)

# firewall-cmd --permanent --zone=public --add-service=http     //默认区域添加规则(permanent:永久生效)
# firewall-cmd --reload         //重新加载规则
# firewall-cmd --zone=public --list-all     //查看区域规则(刚添加的)

# firewall-cmd –get-active-zones        //获取活动的区域和网络接口
# firewall-cmd –get-zone-of-interface=eno1      //根据网卡接口获取所在区域
# firewall-cmd --zone=public –change-interface=eno1     //更改网卡接口到public区域
# firewall-cmd --zone=drop --remove-source 192.168.1.7      //从drop区域中删除源IP
修改默认区域

Server0(172.25.0.11):
# firewall-cmd --list-all       #查看当前区域public状态
desktop0(172.25.0.10):
# ping -c 2 172.25.0.11     #可以ping通

server0:
# firewall-cmd --set-default-zone=block   #修改默认区域为block区域(永久)
# firewall-cmd --list-all
desktop0:
# ping -c 2 172.25.0.11    #不通但是有回应

server0:
# firewall-cmd --set-default-zone=drop       #修改默认区域为block区域(永久)
# firewall-cmd --list-all
desktop0:
# ping -c 2 172.25.0.11    #不通但是没有回应

# firewall-cmd --set-default-zone=public
# firewall-cmd --permanent --zone=public --add-source=172.25.0.10       //默认区域添加规则(permanent:永久生效)
# firewall-cmd --reload         //重新加载规则
# firewall-cmd --zone=public --list-all     //查看区域规则(刚添加的)
# firefox ftp://172.25.0.11     //测试ftp
# firefox http://172.25.0.11    //测试http

#####################################################################################防火墙判断的规则,匹配即停止

  1.首先看客户端请求中的源IP地址,查询所有区域中是那个区域有该源IP地址的策略,然后进入该区域

  2.如果前面没有匹配到,则进入默认区域

#####################################################################################

典型的应用方式:严格,方式1:将默认区域保持为block,针对需要放行的访问在trusted区域添加策略宽松,方式2:将默认区域保持为trusted,针对需要阻止的访问在block区域添加策略

#####################################################################################

添加服务到默认区域server0:

# firewall-cmd --set-default-zone=public
# firewall-cmd --list-all    

desktop0:

# firefox http://172.25.0.11    #不能访问
# firefox ftp://172.25.0.11     #不能访问

server0:

# firewall-cmd --permanent --add-service=http   #永久添加http
# firewall-cmd --permanent --add-service=ftp    #永久添加ftp
# firewall-cmd --list-all   
# firewall-cmd --reload            #重新加载配置
# firewall-cmd --list-all   

desktop0:

# firefox http://172.25.0.11      #可以访问
# firefox ftp://172.25.0.11       #可以访问

#####################################################################################

实现本机的端口映射? 本地应用的端口重定向(端口1 –> 端口2)– 从客户机访问 端口1 的请求,自动映射到本机 端口2– 比如,访问以下两个地址可以看到相同的页面:http://172.25.0.11:5423/ http://172.25.0.11/

 ------->tcp 5423  ------> tcp 80
# firewall-cmd --permanent --add-forward-port=port=5423:proto=tcp:toport=80     //将5423端口映射到80端口
# firewall-cmd --reload
# firewall-cmd --list-all
# firefox http://172.25.0.11:5423      #测试是否可以访问到80端口的效果
# firewall-cmd --permanent --remove-forward-port=port=5423:proto=tcp:toport=80      //删除将5423到80端口的映射
# firewall-cmd --reload
# firewall-cmd --list-all
喜欢 (0)
[]
分享 (0)
关于作者:
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址