Day11-1 日常运维 2

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Day11-1 日常运维 2相关的知识,希望对你有一定的参考价值。

  1. linux的防火墙-netfilter
    setenforce 0 临时关闭selinux
    /etc/selinux/config 配置文件
    getenforce 查看防火墙状态
    netfilter centos6前的防火墙名;firewalld centos7防火墙名
    关闭firewalld
    技术分享图片
    yum install -y iptables-services
    启用netfilter iptables
    技术分享图片

netfilter的5个表
filter 用于过滤包,其中有三个链:INPUT(输入) FORWARD(转发) OUTPUT(输出)
nat 用于网络地址转换,即NAT表,有三个链:PREROUTONG(进入路由表前,经过此链后判断是否是给主机的包,是则给到input,否则给到forward) OUTPUT(同上) POSTROUTING(接受forward和output给出的包,输出)
managle 用于给数据包做标记(少用到)
raw 不追踪某些数据包(少用到)
security 用于强制访问控制的网络规则

  1. iptables语法
    iptables -nvL view the rule of iptables
    技术分享图片
    /etc/sysconfig/iptables 规则保存路径
    service iptables save 保存规则
    -F 清空规则
    -t 指定表
    -Z 把计数器清零
    -A 增加规则(排在后面)
    -s 指定来源ip
    -p 指定协议
    --sport 来源端口
    -d 指定目标ip
    --dport 目标端口
    -j 后接操作
    iptables -A INPUT -s [ipadd] -p tcp --sport 1234 -d [ipadd] --dport 80 -j DROP
    -I(大小的i) 插入规则(排在前面,在前面的先执行)
    -D 删除规则
    iptables -nvL --line-number
    技术分享图片
    iptables -D INPUT 5 删除line number为5的INPUT表里的规则
    -i 指定网卡
    -P 指定默认操作
    技术分享图片

iptables 规则备份和恢复
service iptables save 会把规则保存到/etc/sysconfig/iptables
iptables-save > [filename] 将iptables备份到某个文件
iptables-restore > [filename] 将备份还原

  1. firewalld
    firewalld 默认有9个zone(自带规则集)
    默认zone为public
    查看zone
    技术分享图片
    技术分享图片
    以下9个zone
    drop(丢弃):任何接受的网络数据包都被丢弃,没有任何恢复,仅能有发送出去的网络连接(数据包不能进来,但是可以出去)
    block(限制):任何接受的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。(和drop相比,比较宽松一些,主要是为了针对icmp)
    piblic(公共):在公共区域内使用,不能相信网络内其他计算机不会对你造成危害,只能接受经过选取的连接。
    external(外部):特别是为路由器启用了伪装功能的外部网,你不能信任来自网络的其他计算,不能相信他们不会对你造成伤害,只能接受经过选择的连接。
    dmz(非军事区):用于你的非军事区内的电脑,此区域可公开访问,可以有限的进入你的内部网络,仅仅接受经过选择的连接。
    work(工作):用于工作区,你可以基本信任网络内的其他电脑不会对你造成危害,仅仅接收经过选择的连接。
    home(家庭):用于内部网络,你可以基本上信任网络内其他电脑不会对你造成危害,仅仅接收经过选择的连接。
    internal(内部):用于内部网络,你可以基本上信任网络内其他电脑不会对你造成危害,仅仅接收经过选择的连接。
    trusted(信任):可接受所有的网络连接。
    firewall-cmd --set-default-zone=[zonename] 设定默认zone
    firewall-cmd --get-zone-of-interface=ens33 查指定网卡ens33
    firewall-cmd --zone=[zonename] --add-interface=lo 给指定网卡lo设置zone
    firewall-cmd --zone=[zonename] --change-interface=lo针对网卡lo更改zone
    firewall-cmd --zone=[zonename] --remove-interface=lo 针对网卡lo删除zone
    firewall-cmd --get-active-zones 查看系统所有网卡所在的zone

service 相当于端口,从属于zone,即以zone的方式定义特定端口的安全等级
firewall-cdm --get-services 查看所有service
firewall-cdm --list-services 查看当前zone下有哪些service
firewall-cdm --zone=[zonename] --add-service=http 把http增加到某个zone下
firewall-cdm --zone=[zonename] --remove-service=http 把http从某个zone下移除
/usr/lib/firewalld/zones zone的配置文件模板
firewall-cdm --zone=[zonename] --add-service=http --permanent 更改配置文件,之后会在/etc/firewalldzones下生成配置文件
firewall-cdm --reload 重新加载

以上是关于Day11-1 日常运维 2的主要内容,如果未能解决你的问题,请参考以下文章

Day10-2 日常运维 1

Day17 日常运维 4

自动化运维工具介绍

服务器运维是什么意思?日常工作包含哪些?

Jpom 简介: 简而轻的低侵入式在线构建自动部署日常运维项目监控软件

Ceph运维ceph 日常运维