关键词:
防火墙策略管理(firewall)作用:隔离
局域网和外网之间
阻止入站,允许出站
软件防火墙
系统服务:firewalld
管理工具:firewall-cmd(命令工具、 Linux7),firewell-config(图形工具)
查看防火墙服务状态
[[email protected] ~]# systemctl status firewalld.service
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since 三 2017-11-01 11:37:48 CST; 4h 6min ago
Main PID: 477 (firewalld)
CGroup: /system.slice/firewalld.service
└─477 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
11月 01 11:37:49 localhost systemd[1]: Started firewalld - dynamic firewall....
Hint: Some lines were ellipsized, use -l to show in full.
预设安全区域
根据所在的网络场所区分,预设保护规则集
public:仅允许访问本机的sshd等少数几个服务(默认进入的区域)
trusted:允许任何访问
block:拒绝任何来访请求
drop:丢弃任何来访的数据包
例:
[[email protected] ~]# firewall-cmd --get-default-zone
public
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0 eth1 eth2 team0
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
防火墙判断的规则:(匹配及停止)
1.首先看请求(客户端)当中的源IP地址,所有区域中是否有对于该IP地址的策略,如果有则该请求进入该区域
2.如果没有,进入默认区
[[email protected] ~]# firewall-cmd --zone=public --add-
--add-forward-port= --add-masquerade --add-service=
--add-icmp-block= --add-port= --add-source=
--add-interface= --add-rich-rule
[[email protected] ~]# firewall-cmd --zone=public --add-service=http #开启http服务
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0 eth1 eth2 team0
sources:
services: dhcpv6-client http ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[[email protected] ~]# firewall-cmd --zone=public --add-service=ftp #开启ftp服务
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0 eth1 eth2 team0
sources:
services: dhcpv6-client ftp http ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[[email protected] ~]# firewall-cmd --reload #重新加载配置
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0 eth1 eth2 team0
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
--permanent选项 :永久生效,没有此参数重启后失效
[[email protected] ~]# firewall-cmd --permanent --zone=public --add-service=ftp #开启永久ftp服务
success
[[email protected] ~]# firewall-cmd --permanent --zone=public --add-service=http #开启永久http服务
success
[[email protected] ~]# firewall-cmd --reload #重新加载配置
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0 eth1 eth2 team0
sources:
services: dhcpv6-client ftp http ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
修改默认区域
firewall-cmd --set-default-zone=区域名
例:
[[email protected] ~]# ping 172.25.0.11
PING 172.25.0.11 (172.25.0.11) 56(84) bytes of data.
64 bytes from 172.25.0.11: icmp_seq=1 ttl=64 time=0.174 ms
[[email protected] ~]# firewall-cmd --set-default-zone=block
success
[[email protected] ~]# ping 172.25.0.11
PING 172.25.0.11 (172.25.0.11) 56(84) bytes of data.
From 172.25.0.11 icmp_seq=1 Destination Host Prohibited
[[email protected] ~]# firewall-cmd --set-default-zone=drop
success
[[email protected] ~]# ping 172.25.0.11
PING 172.25.0.11 (172.25.0.11) 56(84) bytes of data.
开网段
[[email protected] ~]# firewall-cmd --permanent --zone=public --add-source=172.25.0.10
success
[[email protected] ~]# firewall-cmd --reload
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0 eth1 eth2 team0
sources: 172.25.0.10
services: dhcpv6-client ftp http ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
实现本机的端口映射
本地应用的端口重定向(端口1-->端口2)
从客户机访问端口1的请求,自动映射到本机端口2
比如,访问以下两个地址可以看到相同的页面:
http://server0.example.com:5423/
http://server0.example.com/
例:
[[email protected] ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
success
[[email protected] ~]# firewall-cmd --reload
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0 eth1 eth2 team0
sources: 172.25.0.10
services: dhcpv6-client ftp http ssh
ports:
masquerade: no
forward-ports: port=5423:proto=tcp:toport=80:toaddr=
icmp-blocks:
rich rules:
防火墙应对方法
方式1:默认区域block,允许的放入trusted
方式2:默认区域trusted,拒绝的放入block
在RHCE的考试中会涉及到各种服务的配置 为了是考试变的简单
可以将防火墙的应对方法设置为 默认区域trusted,拒绝的放入block
在两台虚拟机上执行如下操作
# firewall-cmd --set-default-zone=trusted
在RHCE的考试中有一道题目是:
在RCHE7的考试中有一道考试题目是:
配置SSH访问
按以下要求配置 SSH 访问:
用户能够从域 example.com(这个域名考试会改变) 内的客户端 SSH 远程访问您的两个虚拟机系统
在域 my133t.org (这个域名考试会改变) 内的客户端不能访问您的两个虚拟机系统
这道题也可以用通过配置防火墙策略 将这个网段放入block区域
例如 my133t.org 对应的网段为 172.34.0.0 在两台虚拟机上执行如下操作
# firewall-cmd --permanent --add-source=172.34.0.0/24 --zone=block
*如果想要通过配置SSH服务来完成这道题 可以访问 http://blog.51cto.com/13558754/2058361
在RCHE7的考试中有一道考试题目是:
配置防火墙端口转发
在系统 server 0上配置端口转发,要求如下:
在 172.25.0.0/24 网络中的系统,访问 server0 的本地端口 5423 将被转发到80
此设置必须永久有效
# firewall-cmd --permanent --zone=trusted --add-forward- port=port=5423:proto=tcp:toport=80
注意 凡是执行配置防火墙策略中 带有 --permanent 选项的命令时 都要执行如下操作
# firewall-cmd --reload #重新加载配置
全面分析rhce7(红帽认证工程师)考试题目之---firewall(防火墙)篇
防火墙策略管理(firewall)作用:隔离 局域网和外网之间 阻止入站,允许出站 软件防火墙 系统服务:firewalld 管理工具:firewall-cmd(命令工具、Linux7),firewell-config(图形工具)查看防火墙服务状态 [[email protected]~]#systemctlstatusfirewa... 查看详情
全面分析rhce7(红帽认证工程师)考试题目之----nfs文件共享篇
配置NFS共享(Linux与Linux之间)NetworkFlieSystem网络文件系统 协议:NFS(TCP/UDP2049),RPC(TCP/UDP111)所需软件包:nfs-utils(默认会装)系统服务:nfs-server搭建基本只读NFS服务1.检测是否装包[[email protected]~]#rpm-qnfs-utilsnfs-utils-1.3.0... 查看详情
全面分析rhce7(红帽认证工程师)考试题目之----配置ipv6地址,配置聚合连接篇
配置聚合连接(网卡绑定) team,聚合连接(也称为链路聚合) 由多块网卡一起组建而成的虚拟网卡 作用1:轮询式(roundrobin)的流量负载均衡 作用2:热备份(activebackup)连接冗余 热备份配置:{"runner":{"name":"ac... 查看详情
全面分析rhce(红帽认证工程师)考试题目之----alias(自定义别名)篇
自定义命令alias别名设置 alias[别名名称]#查看已设计的别名 alias别名名称='实际执行命令行' #定义新的别名 unalias[别名名称] #取消以设置的别名 配置文件 用户个性化配置文件 影响指定用户的bash解释环境 ~/.bashrc(用... 查看详情
红帽linux认证培训怎么样?
...HCTRHCE英文全称:RedHatCertifiedEngineer,中文全称:红帽认证工程师RHCERHCA英文全称:RedHatCertifiedArchitect,中文全称:红帽认证架构师RHCARHCSS英文全称:RedHatCertifiedSecuritySpecialist,中文全称:红帽认证安全专家RHCSSRHCT是RedHat的入门级... 查看详情
软件架构了解
...级,分别是RHCSA(红帽认证系统管理员)、RHCE(红帽认证工程师)、 RHCA(红帽认证的系统架 查看详情
rhce7系列—rhce考试
本篇主要以RHCE练习题为线索,介绍其中涉及的知识点。红色引用的字为题目要求(不是正式题目,难度略低于正式题目)InserverXordesktopX1.(labteambridgesetup[inserverX])ConfigureLinkAggregationinserverXwithconfig“activebackup”ip“192.168.0.11... 查看详情
rhce7.0答案之使用ldap作为本地用户认证方式
使用LDAP作为本地用户认证方式配置:用户信息和验证信息由不同程序提供。yum-yinstallsssdauthconfig-gtkkrb5-workstation(若不用kerberos验证则不用装)authconfig-gtk图形界面ldapuser0:password由ldap提供ldapuser0=kerberos由kerberos提供认证若是kerberos认... 查看详情
题库--阿里云云计算助理工程师aca认证考试--题库
1.阿里云大学>阿里云云计算助理工程师(ACA)认证-模拟考试https://edu.aliyun.com/clouder/exam/detail/1425423以下为💯答案2.另一篇文章总结也不错,题目截屏如下https://www.pianshen.com/article/78891539523/ 查看详情
关于红帽认证
...t认证是由服务器系统领域著名的厂商--Redhat公司推出的。红帽认证分为三个层次,初级的RHCT(红帽官方在2011年1月1号,取消RHCT的考试,改为RHCSA),中级的RHCE,高级的RHCA。另外在2005年,红帽又推出了一个新的安全领域的高级... 查看详情
华为hcie神秘大揭秘
...证书一样,企业或者用人单位在招聘的时候,会强制要求工程师具备某一项网络证书,比如HCIP证书或者HCIE证书华为认证的分类IP方向IT方向认证等级HCIA证书:华为认证初级网络工程师意味着企业有能力搭建基本的中小型网络,... 查看详情
参加51cto培训,红帽rhce认证考试通过啦
因为工作需求,从16年初开始学习linux。但是自学中遇到很多难点解决起来十分困难,学习进度十分缓慢。8月份为了跳槽,决定考RHCE认证,在网上找了很多培训机构,最终决定选择51CTO段超飞讲师。老司机果然不一样,思路清晰... 查看详情
软件架构
软件架构:四层操作系统: RedHat红帽企业系统(RedHatEnterpriseLinux,RHEL)全球最大的开源技术厂商,提供性能极强的Linux套件系统并拥有完善的全球技术支持。 红帽公司推出的面向红帽Linux操作系统技能的认证考... 查看详情
2019年上半年网络工程师考试上午试题分析
2019年上半年网络工程师考试上午试题结构分析1.整体难度偏难:出现部分超纲题目。如位示图,有限自动机等与软件设计师的题目完全一样,对于网络工程师考试来说,确实比较难,不太可能网工的学员去学这些知识点。而且这... 查看详情
elastic认证考试团购报名第四季
...后,授予的徽章下方会有如上一段话:Elastic认证工程师拥有构建完整的Elasticsearch解决方案的技能。包含:包括部署、配置和管理Elasticsearch集群;将数据索引到这些集群中以及查询和分析索引数据的能力。为了获... 查看详情
elastic认证考试团购报名第三季
...后,授予的徽章下方会有如上一段话:Elastic认证工程师拥有构建完整的Elasticsearch解决方案的技能。包含:包括部署、配置和管理Elasticsearch集群;将数据索引到这些集群中以及查询和分析索引数据的能力。为了获... 查看详情
网络工程师考试的题型是怎样的?题量多少?有几科考试?
网络工程师分为上下午考试,题型以及题量如下。上午:计算机与网络基础知识,考试时间为150分钟,笔试,选择题;下午:网络系统设计与管理,考试时间为150分钟,笔试,问答题。每科满分75分,上午科目与下午科目均大于... 查看详情
国产化操作系统都有哪些认证可以考?
...。红帽认证主要包括"红帽认证管理员(RHCSA)"、"红帽认证工程师(RHCE)"与"红帽认证架构师(RHCA)"。参考技术A国产操作系统是以Linux为基础二次开发的操作系统。国内暂时还没有独立开发系统。 参考技术B就知道一个华为的网络工程的... 查看详情