tenth day for learning

2024-01-09 08:58:46

配置yum仓库源:

1.光盘默认指向rhel8镜像文件,识别为/dev/cdrom

2.创建目录/media/cdrom ,并挂载/dev/cdrom ,注意他的文件系统格式为iso9660

3.配置/etc/yum.repos.d/下面新建一个以.repo结尾的文件再编辑

     [haha]

     name=rhel8_BaseOS

     baseurl=file:///media/cdrom/BaseOS 安装系统使用

     enabled=1

    gpgcheck=0

    [heihei]

    name=rhel8_AppsStream

    baseurl=file:///media/cdrom/AppStream 软件包

    enabled=1

     gpgcheck=0

注:rhel5/6/7只需写出/media/cdrom这个根目录就行,rhel8需要写出BaseOS和

AppStream这俩具体位置

防火墙:

iptables:

   允许:ACCEPT 拒绝:DROP 不会有回应,直接丢弃,并不能知道是否在线

   拒绝:REJECT 会得到回应,明确拒绝了你 日志:LOG

   IPtables: 策略从上到下依次匹配,上面优先级高

   iptables -L 查看规则链 ; iptables -F 清空所有规则链 ;-P 表名 策略 :设置表策略

   -I 表 在规则链头部插入,存放优先级高的 ; -A 表 在规则链尾部添加

   -D 表名 数字 :删除第几条规则 -p 跟协议

    iptables -I INPUT -p tcp --dport 22 -j ACCEPT 允许ssh

     iptables -I INPUT -p icmp -j ACCEPT 允许ping

    iptables -D INPUT 2 删除第二条规则

    service iptables save 保存配置,重启就不会丢失

Firewalld:默认是runtime

   runtime:当前生效,而重启后失效

   permanent: 当前不生效,而重启后生效,可以firewall-cmd --reload重启服务使当前生效

   查询某一端口号:firewalld-cmd --zone=public --query-port=80/tcp

   列举允许的所有端口 : firewalld-cmd --zone=public --list-ports

   添加某一端口:firewalld-cmd --zone=public --add-port=80/tcp

   查询某一服务:firewalld-cmd --zone=public --query-service=ssh

  列举允许的所有服务: firewall-cmd --zone=public --list-services

  移除某一服务: firewall-cmd --zone=public --remove-service=**

   永久开启某一服务:firewalld-cmd --permanent --zone=public --add-service=**

    查询重启后的状态(=永久):firewalld-cmd --permanent --zone=public --query-service=**

扩展:设置到36000端口的tcp包转发到主机192.168.159.128的22端口

firewall-cmd --permanent --zone=public --add-forward-port=port=36000:proto=tcp:toport=22:toaddr=192.168.159.128

注: 重启或者reload后生效

富(复)规则:拒绝来自192.168.159.1的ssh服务

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.159.1" service name="ssh" reject"

注:重启或者reload后生效

总结:firewall与iptables的不同:

        iptables是以规则组成,规则具有优先级(自上而下)

       firewall是针对服务,服务开启(add)即允许,服务(remove)即--list-services显示所有服务里面没有即拒绝。只有“富规则”里可添加某一规则,产生优先级!!!!!!!!!!!

扩展一:以网页形式配置主机各种东西(网络、存储、账户等)

yum install cockpit

systemctl restart cockpit

systemctl enable cockpit.socket

物理机打开浏览器输入:虚拟机ip:9090 账户为虚拟机账户,即可实现

扩展二:rhel5/6/7里面:/etc/hosts.allow天使文件 /etc/hosts.deny恶魔文件

可以直接编辑这两个文件达到允许/拒绝某服务访问

如:allow:添加一行 sshd :192.168.159.1 允许.1主机访问sshd服务

deny:添加一行 sshd :192.168.159.0/24 不允许159.0 网段访问sshd服务

结果:除了.1主机可访问sshd服务,该网段其余主机不可访问

上一篇:Linux配置本地端口映射


下一篇:Centos6.8防火墙配置