• 大发888游戏黄金版_大发888游戏黄金版官网》》》

  • 发布时间:2016-01-12 22:57 | 作者:yc | 来源:互联网 | 浏览:1200 次
  • 大发888游戏黄金版_大发888游戏黄金版官网》》》

    正如你大概知道的,从 RHEL 7 起头,解决防火墙的默许效劳是 firewalld

    正如榜首有些(“设置静态收集路由”)说到的,在这篇文章(RHCE 系列第二有些),咱们重要先容红帽企业版 Linux 7(RHEL)中包过滤和收集地址改换(NAT)的道理,然后再先容在某些前提发生变更或许需求变更时设置运转时内核参数以篡改运转时内核行动

    RHEL 7 中的收集包过滤

    当咱们评论数据包过滤的时分,咱们指防火墙读取每个妄图颠末它的数据包的包头所进行的处置惩罚然后,依据体系解决员之前界说的规矩,颠末采用所请求的动作过滤数据包相似 iptables,它和 Linux 内核的 netfilter 模块交互以便查看和操作收集数据包但不像 iptables,Firewalld 的更新能够当即见效,而不必中止活泼的毗连 - 你甚至不需求重启效劳

    Firewalld 的另一个上风是它准许咱们界说根据预设置设备摆设效劳名称的规矩(之后会详细先容)

    然则,你该当记着,由于还没有先容包过滤,为了简化比如,咱们停用了2号路由器的防火墙如今让咱们来看看怎么使回收的数据包发送到意图地的特定效劳或端口

    重要,让咱们增添一条历久规矩准许从 enp0s3 (192.168.0.19) 到 enp0s8 (10.0.0.18) 的入站流量:

    # firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

    上面的指令会把规矩保存到 /etc/firewalld/direct.xml 中:

    # cat /etc/firewalld/direct.xml

    然后启用规矩使其当即见效:

    # firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

    如今你能够从 RHEL 7 中颠末 telnet 到 web 效劳器并再次运转 tcpdump 监督两台机械之间的 TCP 流量,此次2号路由器现已启用了防火墙

    # telnet 10.0.0.20 80

    # tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

    要是你想只准许从 192.168.0.18 到 web 效劳器(80 号端口)的毗连而堵塞 192.168.0.0/24 收集中的其它来历呢?

    在 web 效劳器的防火墙中增添以下规矩:

    # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'

    # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent

    # firewall-cmd --add-rich-rule 'rule family="ip存一送18v4" source address="192.168.0.0/24" service name="http" drop'

    # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

    如今你能够从 192.168.0.18 和 192.168.0.0/24 中的其它机械发送到 web 效劳器的 HTTP 请求榜首种状况毗连会成功完结,但第二种状况终极会超时

    大发888游戏黄金版_大发888游戏黄金版官网》》》

    任何下面的指令能够验证这个成果:

    # telnet 10.0.0.20 80

    # wget 10.0.0.20

    我强烈建议你看看 Fedora Project Wiki 中的 Firewalld Rich Language 文档更详细地懂得关于富规矩的内容

    RHEL 7 中的收集地址改换(NAT)

    收集地址改换(NAT)是为专用收集中的一组谋略机(也大概是其间的一台)分配一个自力的公共 IP 地址的进程这么,在内部收集中依然能够用它们自个的私有 IP 地址来差异,但外部“看来”它们是相同的

    其余,收集地址改换使得内部收集中的谋略机发送请求到外部本钱(例如因特网),然后只有源体系能回收到对应的呼应成为大概

    在2号路由器中,咱们会把 enp0s3 接口移动到外部区域(external),enp0s8 到内部区域(external),装作(masquerading)或许说 NAT 默许是启用的:

    # firewall-cmd --list-all --zone=external

    # firewall-cmd --change-interface=enp0s3 --zone=external

    # firewall-cmd --change-interface=enp0s3 --zone=external --permanent

    # firewall-cmd --change-interface=enp0s8 --zone=internal

    # firewall-cmd --change-interface=enp0s8 --zone=internal --permanent

    关于咱们当前的设置,内部区域(internal) - 以及和它一同启用的任何器械都是默许区域:

    # firewall-cmd --set-default-zone=internal

    下一步,让咱们重载防火墙规矩并坚持状况信息:

    # firewall-cmd --reload

    终极,在 web 效劳器中增添2号路由器为默许网关:

    # ip route add default via 10.0.0.18

    如今你会发如今 web 效劳器中你能够 ping 1号路由器和外部网站(例如 tecmint.com):

    # ping -c 2 192.168.0.1

    # ping -c 2 tecmint.com

    在 RHEL 7 中设置内核运转时参数

    在 Linux 中,准许你变动、启用以及停用内核运转时参数,RHEL 也不破例当操作前提发生变更时,/proc/sys 接口(sysctl)准许你实时澳门集美娱乐场设置运转时参数篡改体系行动,而不需太多费事

    为了完成这个意图,会用 shell 内建的 echo 写 /proc/sys/ 中的文件,其间平日因此下目录中的一个:

    dev: 毗连到机械中的特定设备的参数

    fs: 文件体系设置设备摆设(例如 quotas 和 inodes)

    kernel: 内核设置设备摆设

    net: 收集设置设备摆设

    vm: 内核的虚拟内存的运用

    要显现统统当前可用值的列表,运转

    # sysctl -a | less

    在榜首有些中,咱们颠末以下指令篡改了 net.ipv4.ip_forward 参数的值以准许 Linux 机械作为一个路由器

    # echo 1 > /proc/sys/net/ipv4/ip_forward

    另一个你大概想要设置的运转时参数是 kernel.sysrq,它会启用你键盘上的 Sysrq 键,以使体系异常好的运转一些底层功用,例如要是由于某些身分冻结了后重启体系:

    # echo 1 > /proc/sys/kernel/sysrq

    要显现特定参数的值,能够依照下面措施运用 sysctl:

    # sysctl

    例如,

    # sysctl net.ipv4.ip_forward

    # sysctl kernel.sysrq

    有些参数,例如上面说到的某个,只需求一个值,而其它一些(例如 fs.inode-state)请求多个值

    不管什么状况下,做任何变动之前你都需求阅览内核文档

    请留意体系重启后这些设置会损掉落要使这些变动历久见效,咱们需求增添内容到 /etc/sysctl.d 目录的 .conf 文件,像下面这么:

    # echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/10-forward.conf

    (其间数字 10 注解相对同一个目录中其它文件的处置惩罚序次)

    大发888游戏黄金版_大发888游戏黄金版官网》》》并用下面指令启用变动:

    # sysctl -p /etc/sysctl.d/10-forward.conf

    总结

    在这篇指南中咱们讲解了根本的包过滤、收集地址改换和在运转的体系中设置内核运转时参数并使重启后能历久化我期望这些信息能对你有用.

    免费收取兄弟连IT教授教化自创linux运维工程师视频/细说linux教程,概况咨询官网客服:http://www.lampbrother.net/linux/

    或许勾搭Q

    等候参加linux沟通群

  • 相关内容

友情链接: