Linux note0x02

来源：互联网发布：mac ps 转化成像素编辑：程序博客网时间：2024/06/07 22:48

IpTables & Firewalld

iptables

PreRouting, Input, Output, Forward, PostRouting

参数作用 -P 设置默认策略 -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK，加叹号“!”表示除这个IP外 -d 匹配目标地址 -i 网卡名称匹配从这块网卡流入的数据 -o 网卡名称匹配从这块网卡流出的数据 -p 匹配协议，如TCP、UDP、ICMP –dport num 匹配目标端口号 –sport num 匹配来源端口号

iptables -L View existing iptables rule
iptables -F Empty the rules
iptables -P INPUT DROP Default set DROP
iptables -I INPUT -p icmp -j ACCEPT allow ping(icmp)
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT Only allow appoint network segment access 22.
iptables -A INPUT -p tcp --dport 22 -j REJECT Forbidden others host flow
service iptables save Make it effect permanently

FireWalld

区域默认规则策略 trusted 允许所有的数据包 home 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、 internal 等同于home区域 work 拒绝流入的流量，除非与流出的流量数相关；而如果流量与ssh、ipp-client与dhcpv6-client public 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许 external 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量 dmz 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量 block 拒绝流入的流量，除非与流出的流量相关 drop 拒绝流入的流量，除非与流出的流量相关

firewall-cmd --get-default-zone View current using area
firewall-cmd --get-zone-of-interface=eno16728 View eno netCard wroking area
firewall-cmd --permanent --zone=external --change-interface=eno16278 Set area as external and take effect after restarting system.
firewall-cmd --panic-on Meet an emergency, stop all connections.
firewall-cmd --znoe=public --query-service=https View whether could pass https flow, u can also use –add-service=https(protocol name) to add pass power and –remove-service=https(protocol name) to reject it.
firewall-cmd --reload Take permanent effect immediately.
firewall-cmd --zone-=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10 Forward access 888 port flow to 22 port.

Service access control list

# RulesMatch /etc/hosts.allow?pass    :Match /etc/hosts.deny?forbidden        :pass

Two Principles
- Reject strategy: service name instead protocol
- Reject strategy editting should be first.
hosts.deny sshd:*
hosts.allow sshd:192.168.10.

参数作用 –get-default-zone 查询默认的区域名称 –set-default-zone=<区域名称> 设置默认的区域，使其永久生效 –get-zones 显示可用的区域 –get-services 显示预先定义的服务 –get-active-zones 显示当前正在使用的区域与网卡名称 –remove-source= 将源自此IP或子网的流量导向指定的区域 –remove-source= 不再将源自此IP或子网的流量导向某个指定区域 –add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域 –change-interface=<网卡名称> 将某个网卡与区域进行关联 –list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息 –list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息 –add-service=<服务名> 设置默认区域允许该服务的流量 –add-port=<端口号/协议> 设置默认区域允许该端口的流量 –remove-service=<服务名> 设置默认区域不再允许该服务的流量 –remove-port=<端口号/协议> 设置默认区域不再允许该端口的流量 –reload 让“永久生效”的配置规则立即生效，并覆盖当前的配置规则 –panic-on 开启应急状况模式 –panic-off 关闭应急状况模式

阅读全文

'); })();