Linux加强篇008-使用Iptables与Firewalld防火墙

本文涉及的产品
云服务器 ECS,每月免费额度280元 3个月
云服务器ECS,u1 2核4GB 1个月
公网NAT网关,每月750个小时 15CU
简介: 山重水复疑无路,柳暗花明又一村

一、前言

悟已往之不谏知来者之可追实迷途其未远觉今而昨非。舟遥遥以轻飏风飘飘而吹衣。问征夫以前路恨晨光之熹微

第一版我已经全部放到我的精选里了,大家可以点开我的头像主页,选择精选观看,本系列依照《Linux就该这么学》第二版随书学习练习操作,将一些课本上不顺畅的地方,全部以最简方式免费开源展示给大家,资源大家可以自行百度,学习起来我们既要多巴胺也要内啡肽。

毕竟西湖六月中,风光不与四时同,接天莲叶无穷碧,映日荷花别样红,这是杨万里给林子方的送别诗,虽然四句都在写景,实际是写林子方离开京都后再难发展,好的平台是一方面,另外一方面是选择。防火墙是企业的安全线,学好了你就是嫡系,学不好就是杂牌军,干嫡系钱多事少,干杂牌军看着高大上身先士卒,实际明升暗降,待遇差事情多还要背黑锅,希望塌下心学习,送上天王的一首《周杰伦-晴天》,希望你的人生雨过天晴,同时也要注意身体,身体是革命的本钱,多锻炼多喝水。

8.1 防火墙管理工具

从RHEL 7系统开始,firewalld防火墙正式取代了iptables防火墙。iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具,iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。

8.2 Iptables

尽管新型的firewalld防火墙管理服务已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables

8.2.1 策略与规则链

防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链

在进行路由选择前处理数据包(PREROUTING);

处理流入的数据包(INPUT);

处理流出的数据包(OUTPUT);

处理转发的数据包(FORWARD);

在进行路由选择后处理数据包(POSTROUTING)。

iptables服务的术语中分别是ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。DROP是直接将流量丢弃而且不响应,REJECT则会在拒绝流量后再回复一条。

这里有一个小插曲,不知道是哪的问题,我的网络配置坏了,无法联网,这时候我们掏出第四章学的内容:4.1.3 配置网卡信息 kucha一声,把相关文件调配一遍,您猜怎么着,哎呦喂,好了。

image.png

接下来我们继续防火墙

8.2.2 基本的命令参数

根据OSI七层模型的定义,iptables属于工作在第二三四层的服务,所以可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配;一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。

常用的iptables命令参数

参数 作用
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如TCP、UDP、ICMP
--dport num 匹配目标端口号
--sport num 匹配来源端口号

1.在iptables命令后添加-L参数查看已有的防火墙规则链。

[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination          

LIBVIRT_INP  all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination          

LIBVIRT_FWX  all  --  anywhere             anywhere            

LIBVIRT_FWI  all  --  anywhere             anywhere            

LIBVIRT_FWO  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination          

LIBVIRT_OUT  all  --  anywhere             anywhere            

Chain LIBVIRT_INP (1 references)

target     prot opt source               destination          

ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain

ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain LIBVIRT_OUT (1 references)

target     prot opt source               destination          

ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain

ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootpc

Chain LIBVIRT_FWO (1 references)

target     prot opt source               destination          

ACCEPT     all  --  192.168.122.0/24     anywhere            

REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWI (1 references)

target     prot opt source               destination          

ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED

REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWX (1 references)

target     prot opt source               destination          

ACCEPT     all  --  anywhere             anywhere    

2.在iptables命令后添加-F参数清空已有的防火墙规则链。

[root@localhost ~]# iptables -F

[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination          

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination          

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination          

Chain LIBVIRT_INP (0 references)

target     prot opt source               destination          

Chain LIBVIRT_OUT (0 references)

target     prot opt source               destination          

Chain LIBVIRT_FWO (0 references)

target     prot opt source               destination          

Chain LIBVIRT_FWI (0 references)

target     prot opt source               destination          

Chain LIBVIRT_FWX (0 references)

target     prot opt source               destination  

3.把INPUT规则链的默认策略设置为拒绝。

[root@localhost ~]# iptables -P INPUT DROP

用完22也不行了,需要回虚拟机上查看

[root@localhost Desktop]# iptables -L

Chain INPUT (policy DROP)

target     prot opt source               destination          

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination          

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination          

Chain LIBVIRT_INP (0 references)

target     prot opt source               destination          

Chain LIBVIRT_OUT (0 references)

target     prot opt source               destination          

Chain LIBVIRT_FWO (0 references)

target     prot opt source               destination          

Chain LIBVIRT_FWI (0 references)

target     prot opt source               destination          

Chain LIBVIRT_FWX (0 references)

target     prot opt source               destination  

我们先做完实验,再清除规则重新连接

4.向INPUT链中添加允许ICMP流量进入的策略规则。

向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。

[root@localhost Desktop]# iptables -I INPUT -p icmp -j ACCEPT  

以管理员身份运行本机cmd,输入ping命令,发现可以访问

C:\Windows\System32>ping 192.168.227.10

正在 Ping 192.168.227.10 具有 32 字节的数据:

来自 192.168.227.10 的回复: 字节=32 时间<1ms TTL=64

来自 192.168.227.10 的回复: 字节=32 时间<1ms TTL=64

来自 192.168.227.10 的回复: 字节=32 时间<1ms TTL=64

5.删除INPUT规则链中刚刚加入的那条策略(允许ICMP流量),并把默认策略设置为允许。

使用-F参数会清空已有的所有防火墙策略;使用-D参数可以删除某一条指定的策略

[root@localhost Desktop]# iptables -D INPUT 1

[root@localhost Desktop]# iptables -P INPUT ACCEPT

[root@localhost Desktop]# iptables -L

Chain INPUT (policy ACCEPT)

6.将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量。

要对某台主机进行匹配,可直接写出它的IP地址

[root@localhost Desktop]# iptables -I INPUT -s 192.168.227.10/24 -p tcp --dport 22 -j ACCEPT  

[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT

[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination          

ACCEPT     tcp  --  192.168.227.0/24     anywhere             tcp dpt:ssh

REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with

防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉

7.向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则。

[root@localhost ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT

[root@localhost ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT

[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination          

REJECT     udp  --  anywhere             anywhere             udp dpt:italk reject-with icmp-port-unreachable

REJECT     tcp  --  anywhere             anywhere             tcp dpt:italk reject-with icmp-port-unreachable

ACCEPT     tcp  --  192.168.227.0/24     anywhere             tcp dpt:ssh

REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

8.向INPUT规则链中添加拒绝192.168.227.5主机访问本机80端口(Web服务)的策略规则。

[root@localhost ~]# iptables -I INPUT -p tcp -s 192.168.227.5 --dport 80 -j REJECT

[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination          

REJECT     tcp  --  192.168.227.5        anywhere             tcp dpt:http reject-with icmp-port-unreachable

REJECT     udp  --  anywhere             anywhere             udp dpt:italk reject-with icmp-port-unreachable

REJECT     tcp  --  anywhere             anywhere             tcp dpt:italk reject-with icmp-port-unreachable

ACCEPT     tcp  --  192.168.227.0/24     anywhere             tcp dpt:ssh

REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

9.向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则。

前面在添加防火墙策略时,使用的是-I参数,它默认会把规则添加到最上面的位置,因此优先级是最高的。如果工作中需要添加一条最后“兜底”的规则,用-A参数。这两个参数的效果差别还是很大的:

[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT

[root@localhost ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT

[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination          

REJECT     tcp  --  192.168.227.5        anywhere             tcp dpt:http reject-with icmp-port-unreachable

REJECT     udp  --  anywhere             anywhere             udp dpt:italk reject-with icmp-port-unreachable

REJECT     tcp  --  anywhere             anywhere             tcp dpt:italk reject-with icmp-port-unreachable

ACCEPT     tcp  --  192.168.227.0/24     anywhere             tcp dpt:ssh

REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

REJECT     tcp  --  anywhere             anywhere             tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable

REJECT     udp  --  anywhere             anywhere             udp dpts:cadlock2:1024 reject-with icmp-port-unreachable

如果想让配置的防火墙策略永久生效,还要执行保存命令:

[root@localhost ~]# iptables-save  

# Generated by iptables-save v1.8.4 on Wed Dec  6 00:10:50 2023

公司服务器是5/6/7版本的话,保存命令是:

service iptables save

8.3 Firewalld

RHEL 8系统中集成了多款防火墙管理工具,其中firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。

firewalld中常用区域名称及策略规则

区域 默认规则策略
trusted 允许所有的数据包
home 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal 等同于home区域
work 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block 拒绝流入的流量,除非与流出的流量相关
drop 拒绝流入的流量,除非与流出的流量相关

8.3.1 终端管理工具

命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。

 firewall-cmd命令中使用参数及作用

参数 作用
--get-default-zone 查询默认的区域名称
--set-default-zone=<区域名称> 设置默认的区域,使其永久生效
--get-zones 显示可用的区域
--get-services 显示预先定义的服务
--get-active-zones 显示当前正在使用的区域与网卡名称
--add-source= 将源自此IP或子网的流量导向指定的区域
--remove-source= 不再将源自此IP或子网的流量导向某个指定区域
--add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称> 将某个网卡与区域进行关联
--list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名> 设置默认区域允许该服务的流量
--add-port=<端口号/协议> 设置默认区域允许该端口的流量
--remove-service=<服务名> 设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议> 设置默认区域不再允许该端口的流量
--reload 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
--panic-on 开启应急状况模式
--panic-off 关闭应急状况模式

使用firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,而且会随着系统的重启而失效。让配置策略一直存在,就需要使用永久(Permanent)模式,方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数,这样配置的防火墙策略就可以永久生效,使用它设置的策略只有在系统重启之后才能自动生效。

Runtime:当前立即生效,重启后失效。

Permanent:当前不生效,重启后生效。

1.查看firewalld服务当前所使用的区域。

在配置防火墙策略前,必须查看当前生效的是哪个区域,否则配置的防火墙策略将不会立即生效。

[root@localhost ~]# firewall-cmd --get-default-zone  

public

2.查询指定网卡在firewalld服务中绑定的区域。

根据网卡针对的流量来源,为网卡绑定不同的区域,实现对防火墙策略的灵活管控。

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens160  

public

3.把网卡默认区域修改为external,并在系统重启后生效。

[root@localhost ~]# firewall-cmd --permanent --zone=external --change-interface=ens160  

The interface is under control of NetworkManager, setting zone to 'external'.

success

[root@localhost ~]# firewall-cmd --permanent --get-zone-of-interface=ens160

external

4.把firewalld服务的默认区域设置为public。

默认区域也叫全局配置,指的是对所有网卡都生效的配置,优先级较低。在下面的代码中可以看到,当前默认区域为public,而ens160网卡的区域为external。此时便是以网卡的区域名称为准。

[root@localhost ~]# firewall-cmd --set-default-zone=public

Warning: ZONE_ALREADY_SET: public

success

[root@localhost ~]# firewall-cmd --get-default-zone  

public

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens160

external

5.启动和关闭firewalld防火墙服务的应急状况模式。

panic紧急模式在这个时候就派上用场了。使用--panic-on参数会立即切断一切网络连接,而使用--panic-off则会恢复网络连接。(在虚拟机上操作,不要再shell上边)

[root@localhost ~]# firewall-cmd --panic-on

success

[root@localhost ~]# firewall-cmd --panic-off  

success

6.查询SSH和HTTPS协议的流量是否允许放行。

在工作中可以不使用--zone参数指定区域名称,firewall-cmd命令会自动依据默认区域进行查询,从而减少用户输入量。

[root@localhost ~]# firewall-cmd --zone=public --query-service=ssh

yes

[root@localhost ~]# firewall-cmd --zone=public --query-service=https

no

7.把HTTPS协议的流量设置为永久允许放行,并立即生效。

默认情况下进行的修改都属于Runtime模式,即当前生效而重启后失效,因此在工作和考试中尽量避免使用。而在使用--permanent参数时,则是当前不会立即看到效果,而在重启或重新加载后方可生效。

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=https

success

[root@localhost ~]# firewall-cmd --zone=public --query-service=https

no

不想重启服务器的话,就用--reload参数

[root@localhost ~]# firewall-cmd --reload  

success

[root@localhost ~]# firewall-cmd --zone=public --query-service=https

yes

8.把HTTP协议的流量设置为永久拒绝,并立即生效。

由于在默认情况下HTTP协议的流量就没有被允许,所以会有“Warning: NOT_ENABLED: http”

[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-service=http

Warning: NOT_ENABLED: http

success

[root@localhost ~]# firewall-cmd --reload  

success

9.把访问8080和8081端口的流量策略设置为允许,但仅限当前生效。

[root@localhost ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp

success

[root@localhost ~]# firewall-cmd --zone=public --list-ports  

8080-8081/tcp

10.把原本访问本机888端口的流量转发到22端口,要且求当前和长期均有效。

通过这项技术,新的端口号在收到用户请求后会自动转发到原本服务的端口上,使得用户能够通过新的端口访问到原本的服务。

firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.227.10

success

[root@localhost ~]# firewall-cmd --reload  

success

在客户端使用ssh命令尝试访问192.168.227.10主机的888端口,访问失败:

[root@localhost ~]# ssh -p 888 192.168.227.10

ssh: connect to host 192.168.227.10 port 888: Connection refused

原因暂时不明

11.富规则的设置。

富规则也叫复规则,表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。优先级在所有的防火墙策略中也是最高,可以在firewalld服务中配置一条富规则,使其拒绝192.168.227.0/24网段的所有用户访问本机的ssh服务(22端口):

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.227.0/24" service name="ssh" reject"

success

[root@localhost ~]# firewall-cmd --reload

success

这个也失效了,原因不明,可能跟我同一台服务器的原因,防火墙并未起效,我只用一台进行了测试

8.3.2 图形管理工具

调整一下yum源

将镜像更改为vault.centos.org

第一步:进入/etc/yum.repos.d/目录。

cd /etc/yum.repos.d/

第 2 步:运行以下命令

sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*

sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*

第 3 步:现在运行 yum 更新

yum update -y

Complete!

[root@localhost yum.repos.d]# dnf install firewall-config

Complete!

安装成功后,firewall-config工具的界面如图所示,其功能具体如下。

image.png

1:选择运行时(Runtime)或永久(Permanent)模式的配置。

2:可选的策略集合区域列表。

3:常用的系统服务列表。

4:主机地址的黑白名单。

5:当前正在使用的区域。

6:管理当前被选中区域中的服务。

7:管理当前被选中区域中的端口。

8:设置允许被访问的协议。

9:设置允许被访问的端口。

10:开启或关闭SNAT(源网络地址转换)技术。

11:设置端口转发策略。

12:控制请求icmp服务的流量。

13:管理防火墙的富规则。

14:被选中区域的服务,若勾选了相应服务前面的复选框,则表示允许与之相关的流量。

15:firewall-config工具的运行状态。

先将当前区域中请求http服务的流量设置为允许放行,但仅限当前生效。

image.png

尝试添加一条防火墙策略规则,使其放行访问8080~8088端口(TCP协议)的流量,并将其设置为永久生效,以达到系统重启后防火墙策略依然生效

image.png

image.png

SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet,由于网关服务器应用了SNAT技术,所以互联网中的网站服务器会将响应数据包发给网关服务器,再由后者转发给局域网中的PC。选中Masquerade zone复选框,就自动开启了SNAT技术

image.png

为了让大家直观查看不同工具在实现相同功能时的区别,针对前面使用firewall-cmd配置的防火墙策略规则,这里使用firewall-config工具进行了重新演示:将本机888端口的流量转发到22端口,且要求当前和长期均有效

image.png

从源端口号通过本地转发目标端口号,完成添加之后重启

image.png

让192.168.227.1主机访问本机的1234端口号,其中Element选项能够根据服务名称、端口号、协议等信息进行匹配;Source与Destination选项后的inverted复选框代表反选功能,将其选中则代表对已填写信息进行反选,即选中填写信息以外的主机地址;Log复选框在选中后,日志不仅会被记录到日志文件中,而且还可以在设置日志的级别(Level)后,再将日志记录到日志文件中,以方便后续的筛查。

image.png

重启生效

image.png

把网卡与防火墙策略区域进行绑定

image.png

想要删除策略也很简单,只要看哪一块有新增直接删就行

8.4 服务的访问控制列表

TCP Wrapper是RHEL 6/7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序做出允许或拒绝的操作。在RHEL 8版本中,它已经被firewalld正式替代。

TCP Wrapper服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则会进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件都没有匹配到,则默认放行流量。

TCP Wrappers服务的控制列表文件中常用的参数(红帽8已经不支持了)

客户端类型 示例 满足示例的客户端列表
单一主机 192.168.227.10 IP地址为192.168.227.10的主机
指定网段 192.168.227. IP段为192.168.227.0/24的主机
指定网段 192.168.227.0/255.255.255.0 IP段为192.168.227.0/24的主机
指定DNS后缀 .weihongbin.com 所有DNS后缀为weihongbin.com的主机
指定主机名称 www.weihongbin.com 主机名称为www.weihongbin.com的主机
指定所有客户端 ALL 所有主机全部包括在内

编写拒绝策略规则时,填写的是服务名称,而非协议名称;

建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。

8.5 Cockpit驾驶舱管理工具

Cockpit是一个基于Web的图形化服务管理工具,对用户相当友好,天然具备很好的跨平台性,因此被广泛应用于服务器、容器、虚拟机等多种管理场景,默认安装到了RHEL 8系统中,检验一下

[root@localhost yum.repos.d]# dnf install cockpit

Last metadata expiration check: 1:23:47 ago on Wed 06 Dec 2023 10:11:24 PM PST.

Package cockpit-251.1-1.el8.x86_64 is already installed.

Dependencies resolved.

Nothing to do.

Complete!

Cockpit服务程序在RHEL 8版本中没有自动运行,下面将它开启并加入到开机启动项中:

[root@localhost yum.repos.d]# systemctl start cockpit

[root@localhost yum.repos.d]# systemctl enable cockpit.socket

Created symlink /etc/systemd/system/sockets.target.wants/cockpit.socket → /usr/lib/systemd/system/cockpit.socket.

在Cockpit服务启动后,打开系统自带的浏览器,在地址栏中输入“本机地址:9090”即可访问。访问Cockpit的流量会使用HTTPS进行加密,而证书又是在本地签发的,因此还需要进行添加并信任本地证书的操作。

image.png

输入用户名密码,并且确认

image.png

进入到Cockpit网页界面后,总共分为十二个功能模块,即:系统状态、日志信息、硬盘存储、网卡网络、账户安全、服务程序、软件仓库、报告分析、内核排错、SElinux、更新软件、终端界面,看不懂英文的可以切换成汉语。

image.png

1.Overview

进入Cockpit界面后默认显示概述界面,主要评测系统健康、使用情况、系统信息和配置

image.png

2.Logs

这个模块能够提供系统的全部日志,我切成中文了,希望大家好看一些,目前的筛选条件变多了,也可以更好的筛选出想要的日志。

image.png

3.Storage

我们可以在这进行存储的查询,同时RAID和LVM都可以用鼠标进行创建,NFS一键进行挂在,当然比写命令也没方便太多。

image.png

4.Networking

在这里进行网卡的绑定(Bonding)和聚合(Team),还可以创建桥接网卡及添加VLAN,同时对防火墙也可以进行配置和编辑

image.png

5.Accounts

这里可以对用户进行重命名,设置用户的权限,还可以锁定、修改密码以及创建SSH密钥信息

image.png

6.Services

查看系统中已有的服务列表和运行状态。可以对具体的服务进行开启、关闭操作。在Services功能模块中设置了服务并将其加入到开机启动项后,在系统重启后也依然会为用户提供服务。

image.png

7.SElinux

SELinux服务的控制按钮和警告信息界面

image.png

8.Kernel Dump

内核转储Kernel Dump(Kdump)是一个在系统崩溃、死锁或死机时用来收集内核参数的一个服务。系统崩溃了,这时Kdump服务就会开始工作,将系统的运行状态和内核数据收集到一个名为dump core的文件中,以便后续让运维人员分析并找出问题所在。

image.png

9.Applications

后期采用Cockpit或红帽订阅服务安装的软件都会显示在这个功能模块中

image.png

10.Terminal

Terminal功能模块的界面,Cockpit服务提供了Shell终端的在线控制平台,可方便用户通过网页上的终端功能管理服务器。

image.png

11.Diagnostic Report

Diagnostic Report模块的功能是帮助用户收集及分析系统的信息,找到系统出现问题的原因,单击Create Report按钮后大约两分钟左右

image.png

12.Software Updates

Software Updates功能模块的界面,可以设置软件自动更新,以及内核补丁,同时也会在线检测相关更新状态。

image.png

驾驶舱管理工具全部展示完毕

二、巩固练习

1.在RHEL 8系统中,iptables是否已经被firewalld服务彻底取代?

答:没有,iptables和firewalld服务均可用于RHEL 8系统。

2.请简述防火墙策略规则中DROP和REJECT的不同之处。

答:DROP的动作是丢包,不响应;REJECT是拒绝请求,同时向发送方回送拒绝信息。

3.如何把iptables服务的INPUT规则链默认策略设置为DROP?

答:执行命令iptables -P INPUT DROP即可。

4.怎样编写一条防火墙策略规则,使得iptables服务可以禁止源自192.168.227.0/24网段的流量访问本机的sshd服务(22端口)?

答:执行命令iptables -I INPUT -s 192.168.227.0/24 -p tcp --dport 22 -j REJECT即可。

5.请简述firewalld中区域的作用。

答:可以依据不同的工作场景来调用不同的firewalld区域,实现大量防火墙策略规则的快速切换。

6.如何在firewalld中把默认的区域设置为dmz?

答:执行命令firewall-cmd --set-default-zone=dmz即可。

7.如何让firewalld中以永久(Permanent)模式配置的防火墙策略规则立即生效?

答:执行命令firewall-cmd --reload。

8.使用SNAT技术的目的是什么?

答:SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet。

9. TCP Wrapper服务分别有允许策略配置文件和拒绝策略配置文件,请问匹配顺序是怎么样的?

答:TCP Wrapper会先依次匹配允许策略配置文件,然后再依次匹配拒绝策略配置文件;如果都没有匹配到,则默认放行流量。

10.默认情况下如何使用Cockpit服务?

答:Cockpit服务默认占用9090端口号,可直接用浏览器访问Cockpit的Web界面。

三、跋文

如果想上手操作的同学们可以通过阿里云ecs服务器免费试用参与或低价购买专属于自己的服务器入口如下

入口一:新老同学免费试用

入口二:上云第一站

入口三:学生版超低价云服务器

入口四:云服务器专享特惠版

入口五:云服务器特惠1.5折起

入口七:阿里云最新活动中心

入口八:中小企业权益满减礼包

说明:我不是卖服务器的,卖服务的也不会花一周时间写一篇博文。

最后的链接只是想方便大家免费试用产品和找到最佳优惠政策。

学习是一件需要投入的事情,无论是精力、金钱、时间,每天花费1小时,坚持一年,你也能成为行业里的大牛。

目录
相关文章
|
1月前
|
存储 安全 网络协议
使用 firewall-cmd 管理 Linux 防火墙端口
本文将介绍如何使用 firewall-cmd 工具在 Linux 系统中进行简单端口管理,包括开放、查询、关闭等操作。通过实例展示相关命令的用法,希望能对大家有所帮助。
|
7天前
|
Linux 网络安全
linux如何关闭防火墙
记住,关闭防火墙可能会降低系统安全性,请在真正需要的情况下关闭,并确保你在网络环境中采取其他安全措施。
15 0
|
1月前
|
运维 Linux 应用服务中间件
Centos7如何配置firewalld防火墙规则
Centos7如何配置firewalld防火墙规则
44 0
|
3月前
|
监控 网络协议 Linux
防火墙规则动态管理器 - firewalld
【1月更文挑战第11天】
51 0
|
4月前
|
网络协议 Linux 网络安全
linux服务器防火墙的开启及关闭
linux服务器防火墙的开启及关闭
211 1
|
4月前
|
网络协议 Linux 网络安全
Centos7中如何打开和关闭防火墙??CentOS 7以上默认使用firewall作为防火墙改为iptables
Centos7中如何打开和关闭防火墙??CentOS 7以上默认使用firewall作为防火墙改为iptables
|
4月前
|
运维 网络协议 安全
小白带你学习linux的防火墙
小白带你学习linux的防火墙
149 1
|
6月前
|
安全 Linux 网络安全
Linux一些防火墙实战知识
本文介绍了如何在Linux中设置防火墙和开放端口,以提高服务器的安全性。首先,使用firewalld作为防火墙软件包,并确保firewalld服务正在运行。然后,通过添加服务来定义允许的服务端口,可以使用firewall-cmd命令查看当前已定义的服务,并使用firewall-cmd命令添加服务。添加规则后,需要重新加载firewalld配置以使更改生效。在某些情况下,需要打开特定的端口,例如HTTP端口80和HTTPS端口443。可以使用firewall-cmd命令打开端口,并将规则添加到相应的区域。。。确实都是工作中日常中会用到的一些命令
|
6月前
|
安全 Linux 网络安全
百度搜索:蓝易云【linux iptables安全技术与防火墙】
请注意,iptables的具体使用方法和配置选项可能会有所不同,取决于Linux发行版和版本。管理员应该参考相关文档和资源,以了解适用于其特定环境的最佳实践和配置方法。
467 0
百度搜索:蓝易云【linux iptables安全技术与防火墙】
|
6月前
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
1318 0