学习目标:
- 实验
- 实验需求
- 实验配置内容和分析 (每一个设备的每一步操作)
- 实验结果验证
- 其他
学习内容:
- 实验
- 实验需求
- 实验配置内容和分析 (每一个设备的每一步操作)
- 实验结果验证
- 其他
1.实验
2.实验需求
图+文字
3.实验配置内容和分析 (每一个设备的每一步操作)
iptables
dnf install iptables-nft-services.noarch -y
systemctl disable --now firewalld
systemctl mask firewalld
systemctl enable --now iptables.service
vim /etc/sysconfig/iptables
iptables -F
service iptables save
cat /etc/sysconfig/iptables
#iptables -L
开启双网卡主机的内核路由
iptables -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.23.135
[root@doubleret -]# sysctl -a | grep ip_forward
sudo vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
Iptables -t nat -A PREROUTING -i ethe -j DNAT --to-dest 192.168.231.128
iptables -t nat -nL
ip route add default via 192.168.12.20
route -n
ssh-l root 172.25.254.20
pingfirewall-cmd命令详解
| 参数 | 功能说明 | 实验验证方法 | 注意事项 |
|---|---|---|---|
--get-default-zone |
显示当前默认防火墙区域(如public/trusted) | 直接执行命令观察输出 | 返回结果应与/etc/firewalld/firewalld.conf配置一致 |
--set-default-zone=<zone> |
修改默认区域并永久生效 | 1. 执行设置命令 2. 重启服务验证 |
需root权限,建议先备份配置 |
--get-zones |
列出所有预定义区域 | 对比/usr/lib/firewalld/zones/目录内容 |
自定义区域需单独创建 |
--get-active-zones |
显示已激活区域及绑定接口 | 修改网络接口后观察变化 | 结果包含接口物理/逻辑名称 |
--add-source=<IP> |
将指定IP流量定向到区域 | 1. 添加IP 2. 测试连通性 |
需--permanent永久生效 |
--remove-source=<IP> |
取消IP流量定向 | 移除后测试原规则失效 | 需配合--reload生效 |
--add-service=<name> |
允许服务通过当前区域 | 添加后测试服务端口连通性 | 服务需在/usr/lib/firewalld/services/预定义 |
--add-port=<port/proto> |
开放指定协议端口 | 使用nc或telnet测试端口 | 临时规则重启后失效 |
--panic-on/off |
应急模式开关 | 1. 开启后测试所有连接中断 2. 关闭后恢复 |
生产环境慎用,会导致业务中断 |
systemctl disable --now iptables.service
systemctl unmask firewalld
systemctl enable --now firewalld
systemctl start firewalld
systemctl enable firewalld
vim /etc/firewalld/firewalld.conf
FirewallBackend=iptables
systemctl restart firewalld
firewall-cmd --set-default-zone=trusted
firewall-cmd --reload
firewall-cmd --permanent --add-service=dns
success
[root@dns1 ~]# firewall-cmd --get-default-zone
public
firewall-cmd --set-default-zone=trusted
firewall-cmd --reload
success
firewall-cmd --get-active-zones
public
interfaces: ens192
trusted
interfaces: ens160
firewall-cmd --get-services
firewall-cmd --list-services --zone=public
firewall-cmd --permanent --add-service=http --zone=public
firewall-cmd --permanent --remove-service=http
vim /etc/firewalld/firewalld.conf
FirewallBackend=iptables
systemctl restart firewalld
firewall-cmd --add-source=192.168.231.128 --zone=trusted
firewall-cmd --reload
firewall-cmd--remove-source=192.168.231.128--zone=trusted
firewall-cmd --reload
firewall-cmd--add-port=80/tcp
firewall-cmd--remove-port=80/tcp
firewalld的高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 ! -s 192.168.231.128/24 -j ACCEPT
firewall-cmd --direct --get-all-rules
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toport=22:toaddr=192.168.231.128
firewall-cmd --reload4.实验结果验证
iptables -L
| 参数 | 说明 |
|---|---|
| Chain | 规则链名称,iptables中有INPUT、FORWARD、OUTPUT等链,分别处理进入、转发、发出的数据包 |
| policy | 链的默认策略,可以是ACCEPT(允许)或REJECT(拒绝)等 |
| target | 规则匹配成功后的操作,如ACCEPT、REJECT等 |
| prot | 协议类型,如tcp、udp、icmp等 |
| opt | 协议选项,通常不常用,可忽略 |
| source | 数据包的来源地址 |
| destination | 数据包的目标地址 |
| state | 数据包的状态,如NEW(新连接)、ESTABLISHED(已建立连接)等 |
| 其他 | 如dpt:ssh表示目标端口为ssh(22端口)等特定条件 |
双网卡主机的内核路由
firewall-cmd命令详解
firewalld的高级规则
5.其他
学习时间:
学习时间为学习时间
| 学习时间 | 筋肉人 |
| 为学习时间 | future |
内容为笔记【有时比较抽象,有时比较过于详细,请宽恕。作者可能写的是仅个人笔记,筋肉人future】
学习产出:
绿色框为logo
画工
。puppy-CSDN博客。puppy擅长计算机网络,python,软件,等方面的知识
https://blog.csdn.net/2301_79807099?type=blog
再来1章linux 系列-5.2 权限管理的实验详细1Sticky Bit2 SGID (Set GID)3 SUID (Set UID)4. chmod 5.ACL 6.chown-CSDN博客
- 技术笔记 1遍
- 有错误请指出,作者会及时改正
