linux probe 十 防火墙

虚拟的网络

桥接：把虚拟机链路到路由器上，相当于在局域网里虚拟一个真机。

NAT模式：通过宿主机链接外网

仅主机模式：仅仅虚拟机之间连通

宿主机中vmnet1对用的hostonly

vmnet8对应的是NAT

选择仅主机

在宿主机中配置vmnet1和宿主机在同一个网络

进入虚拟机

vim /etc/sysconfig/network-script/ifcfg-eno167777728

eno16777728是网卡的名字

BOOTPR0T0=static静态 dhcp是动态

ONBOOT=yes 重启服务后网卡依然启动

HWADDR是mac地址

UUID可以不要

IPADDR0 0是指一个网卡可以绑定多个ip地址

将ipaddr 配置为192.168.10.20和宿主机中的vmnet1的网卡改成一致

systemctl restart newwork 重启网卡

nmtui   rhel5,6里叫setup，rhel叫nmtui 图形化工具编辑网卡信息

systemctl restart network

另外一种防火墙 firewalld firewall-cmd命令行 firewall-config 图形界面 zone 区域，理解为模板，一个模板放着许多策略，不同的场景用不用的模板。

firewall-cmd --get-dafualt-zone 查看目前firewall使用的区域

firewall-cmd --set-default-zone=drop 切换当前防火墙的区域为drop丢包

firewall-cmd --get-zone-if-interface=eno16777728 查看eno16777728这个网卡设置的区域

firewall-cmd --panic-on 紧急模式切断所有网络连接

firewall-cmd --panic-off关闭紧急模式

firewall-cmd --zone=public --query-service=https 查询public区域是否允许https访问。

firewall-cmd --zone=public --add-service=http 添加public逾期允许http协议访问。立即生效，重启后失效

firewall-cmd --permanent --zone=public --add-service=https 当前不生效，重启后才生效。

两种设置方式 设置后立即生效，重启后失效。 设置永久生效后，当前不生效，重启后才生效。

firewall-cmd --reload让永久生效的策略立即生效。

firewall-cmd --permanent --zone=public --remove-service=https 此时还无法禁止访问，需要reload，如果不reload执行下面命令

friewall-cmd --query-service=https 结果是yes

firewall-cmd --permament --query-service=https 结果是no

firewall-cmd --list-services 查询允许的服务

firewall-cmd --list-ports查询允许的端口号

firewall-cmd --list-all 查询允许的所有内容

富规则-复杂规则-可以做针对性更强的事情

拒绝 192.168.10.1 访问ssh。

iptables -I INPUT -s 192.168.10.1 -p tcp --dport 22 -j REJECT

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.1" service name="ssh" reject"

firewall-cmd reload才生效

端口号转发 将888端口转发到22

iptables -F

firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10

firewall-config 打开图形化界面 zone里的黑体是当前被使用的区域。
firewall-cmd --zone=public --query-service=dhcp 查询结果是no。在图形化界面中打开即可。

firewall-cmd --zone=public --add-service=https 图形化界面汇中就可以勾选响应的协议。

图形化界面中的sercies中可以查询协议对应的端口号。可以在ports中添加允许访问的端口号和协议。port forwarding也可以做端口号的转发。interface是指网卡，在这个tab里可以做网卡和区域做绑定。source tab中可以定义个网段。在富规则中可以快速使用这个网段。

vim /etc/hosts.allow

vim /etc/hosts.deny

先匹配allow在匹配deny，一旦匹配就不在往下寻找

ssh是协议ssdh是服务，http是协议httpd是服务。

vim /etc/hosts.deny

sshd : 192.168.10.0/24 代表禁止这个网段访问本机的sshd服务

wq!

vim /etc/hosts.allow

sshd : 192.168.10.1 代表这个ip可以访问本机的sshd服务