学习Linux第十天;

时间:2023-02-25 12:01:47

今天主要讲防火墙两种配置和会话

防火墙
1、linux系统中一切都是文件
2、配置一个服务就是在修改其配置文件
3、要想新的服务配置文件生效,需要重启服务

配置网卡必须保证配置中ONBOOT=YES

配置网卡
一、第一种方法
1、vim /etc/sysconfig/network-scripts/ifcfg-eno16777728
2、重启服务
systemctl restart network
二、第二种方法
1、rhel5、6使用setup
2、rhel7使用nmtui
三、第三种方法
图形化界面
nm-connection-editor

配置防火墙
规则链有INPUT和OUTPUT
------------------------------------------------
一、iptables配置方法
对象是从精准到粗略
操作有:ACCEPT //允许
DROP //离线拒绝
REJECT //主动拒绝

具体操作
1、显示防火墙策略
iptables -L
2、清空防火墙策略
iptables -F
3、设置默认策略
禁止所有流量进入
iptables -P INPUT DROP
允许所有流量出去
iptables -P OUTPUT ACCEPT
4、允许某流量进入
iptables -I [规则链] -p [协议] -j [操作]
例:
iptables -l INOUT -p tcp -j accept
参数:
-s 来源地址
例:-s 192.168.10.1/24
--dport 目标端口
例: --dport 22
5、删除策略
iptables -D [规则链] [策略序号]
例:
iptables -D INPUT 2

协议有tcp和udp

防火墙大致可以看成
1、公园
先允许所有人进入,再拒绝某些人进入
2、家
先拒绝所有人进入,再允许某些人进入

禁用外网访问内网,一共分两部分
一、iptables -I INPUT -p tcp --dport 1000:1500 -j REJECT
二、iptables -I INPUT -p udp --dport 1000:15000 -j REJECT
--------------------------------------------------------------------------
二、firewalld 配置方法
firewalld -cmd命令行
默认区域、模板
1、public 默认使用
2、DROP 拒绝使用
3、TRUSTED 允许使用

具体操作
1、查看默认区域
firewall-cmd --get-default-zone
2、修改默认区域
firewall-cmd --set-default-zone
3、修改生效时间
runtime 立即生效(默认)
permanent 当前不生效,重启后生效
4、紧急模式
firewall-cmd panic-on //开启,断开所有网络连接
firewall-cmd panic-off //关闭
5、服务相关操作-增加、删除、查询
增加:firewall-cmd --zone=public --add-service=[服务]
删除:firewall-cmd --zone=public --remove-service=[服务]
查询:firewall-cmd --zone=public --query-service=[服务]
6、端口相关操作-增加、删除、查询
增加:firewall-cmd --zone=public --add-port=[端口及协议]
删除:firewall-cmd --zone=public --remove-port=[端口及协议]
查询:firewall-cmd --zone=public --query-sport=[端口及协议]
7、转发端口
firewall-cmd --permanent --add-forward-port=port=[新端口]:porto=[协议]:toport=[旧端口]:toaddr=[主机地址]
例:firewall-cmd --permanent --add-forward-fort=port=888:porto=tcp;toport=22;toaddr=192.168.10.10
------------------------------------------------------------------------------------------------------------------------
三、firewall-config 图形化配置
命令:firewall-config
配置完成后选择options的reloadFirewalld,立即生效。
----------------------------------------------------------
四、TCP Wrappers
用于在应用层,根据服务名称来进行
1、/etc/hosts.allow /默认允许
2、/etc/hosts.deny /默认拒绝

常用参数:
单一主机 192.168.10.10 /IP地址为192.168.10.10主机
指定网段 192.168.10.
192.168.10.0/24 /IP段为192.168.10.0/24的主机
指定后缀 .linux.com /后缀为.linux.com的后缀
指定主机 www.linux.com /主机名为www.linux.com
指定所有客户端 ALL /允许所有主机
------------------------------------------------------------------------

网络会话--网卡模板
1、查看
nmcli connection show
2、创建
nmcli connection add con-name [模板名称] ifname=[网卡名称] autoconnect no type [网卡类型] ip4 [IP地址] gw4 [网关]
3、启用
nmclt connection [模板名称]

绑定两块网卡
1、初始所有从网卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=[网卡名称]
MASTER=boud0
SLAVE=yes
2、初始组网卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=boud0
PREFIX=24
NM_conTRolled=no
3、配置驱动文件
一、vim /etc/modprobe.d/boud.conf
二、alias boud0 bouding
三、options boud0 milmon=100 mode=6
4、重启网络network服务
systemctl restart network

远程控制服务
1、配置
vim /etc/ssh/sshd_config

参数:
Port 22 /默认的sshd的服务端口
permitrootcogin yes /是否允许root 身份登陆 大约在78行
paxworkacthentication no /是否允许密码登陆

安全密钥验证
1、生成密钥对
ssh-keygen
2、把公钥发送到服务器上
ssh-copy-id [服务器Ip地址]
3、配置sshd,拒绝传统口令登陆
vim /etc/ssh/sshd_config
paxworkacthentication no
4、重启sshd服务

远程传输命令--scp
一、客户端上传服务器文件
scp [本地文件绝对路径] [用户名@主机ip地址:目录]
二、客户端下载服务器文件
scp [用户名@主机ip地址:文件绝对路径] [本地文件]

Yum 仓库配置
1、挂载光盘
mkdir -P /media/cdrom //创建挂载的目录
mount /dev/cdrom /media/cdrom //挂载
vim /etc/fstab //使其永久生效
/dev/cdrom /media/cdrom iso9660 defaults 0 0
2、编辑Yum仓库文件
文件存放在/etc/yum.repos.d目录
配置文件的名称后缀必须是.repo
一般格式:
[标识符] //文件标识符
name=yum的文件名称 //文件名称
baseurl=[挂载绝对路径] //挂载路径
&
yum有三种提供方式网络http:// 共享ftp:// 本地file://
enbled=1 //是否启用
gpgcheck=0 //是否校验
3、使用yum
yum install [软件包名称]

不间断会话服务
1、创建会话
screen -S [会话名称]
2、恢复会话
screen -r [会话名称或会话号码]
3、快捷使用会话
screen [命令]

网站:让用户通过浏览器访问文档资源
网站服务:
windows 有 iis
linux 有 apache Nginx

apache 是基金会、公司
httpd 是软件名称/软件包名称

配置启动apache
1、挂载文件
mkdir -r /media/cdrom
mount /dev/cdrom /media/cdrom
vim /etc/fstab
/dev/cdrom /media/cdrom iso9660 defaults 0 0
2、配置yum仓库文件
[标识号码]
name=[仓库描述]
baseurl=[源绝对路径]
enabled=[是否启动,1是启动,0是禁用]
gpgcheck=[是否校验,1是校验,0是不校验]
3、应用apache
yum install httpd
4、重启httpd服务
systemctl restart httpd
systemctl enable httpd