防火墙

说明： OUTSIDE模拟外网：e/0接口IP：200.200.200.200/24，lo0:8.8.8.8/32，lo10:114.114.114.114/32 INSIDE模拟内网：vlan 10：10.10.10.1/24，vlan 20:10.10.20.1/24，vlan 30:10.10.30.1/24；默认路由指向ASA防火墙-10.10.10.2。 ASA防火墙默认路由指向OUTSIDE-200.200.200.200，10.0.0.0/8下一跳指向INSIDE-10.10.10.1。 需求：INSIDE-10.10.10.0/24需要访问外网（8.8.8.8） 方法一：动态NAT 1.新建network object 2.在object下做NAT（使用外网接口地址做转换） object network INSIDE-10.10.10.0 subnet 10.10.10.0 255.255.255.0 nat (inside,outside) dynamic interface exit access-list OUT-TO-INSIDE extended permit ip any 10.10.10.0 255.255.255.0 //模拟器需要作此策略，真实设备不需要 access-group OUT-TO-INSIDE in interface outside

查看状态 firewall-cmd --state　　 开启 systemctl start firewalld.service 关闭 systemctl stop firewalld.service 开放端口 firewall-cmd --list-all 端口888否开放 firewall-cmd --query-port=888/tcp 开放端口888 firewall-cmd --permanent --add-port=888/tcp 移除端口888 firewall-cmd --permanent --remove-port=888/tcp 重载配置（修改配置后需要执行） firewall-cmd --reload 来源： https://www.cnblogs.com/yuxiangsui/p/12367046.html

FTP支持两种模式，一种方式叫做Standard主动方式，缺省时默认的方式，一种是 Passive 被动方式。 下面介绍一个这两种方式的工作原理： 主动模式 ：第一步FTP客户端首先随机选择一个大于1024的端口p1，并通过此端口发送请求连接到FTP服务器的21号端口建立TCP连接，在FTP中这个连接叫做控制连接，连接成功建立后，FTP客户端会发送port命令，紧接着FTP客户端会监视自己的p1+1端口，FTP服务器接收到port命令会从自己的20号端口向FTP客户端的p1+1端口发起请求建立TCP连接，这个连接叫做数据连接，用来发送数据，数据传输完毕后数据连接随即关闭，控制连接保持开启。 被动模式 ：在建立控制连接的时候和主动模式类似，但建立连接后发送的不是Port命令，而是Pasv命令。FTP服务器收到Pasv命令后，随机打开一个临时端口（也叫自由端口，端口号大于1023小于65535）并且通知客户端在这个端口上传送数据的请求，FTP客户端发送请求连接FTP服务器此端口，成功建立连接后FTP服务器将通过这个端口进行数据的传送数据传输完毕后数据连接随即关闭，控制连接保持开启。 因为很多防火墙在设置的时候都是不允许接受外部发起的连接的，所以许多位于防火墙后或内网后的FTP客户端不支持主动模式，因为服务器无法穿过防火墙或者无法连接到NAT后的客户端。 至此，找到了原因

最近由于工作需要需要安装openstck调试spice协议,所以折腾了一下,发现按照网络上的教程走完之后,控制台访问spice web界面总是启动不了,在本机通过curl到是能访问,看了很多教程都是说开启防火墙端口6082,但是好像并没有用,经过多方尝试发现: 1.首先我们在安openstack的时候firewall是关闭的, 2.配置好spice后,通过防火墙配配置开放端口6082 ` firewall-cmd --state # 查看防火墙状态,如果是not running 就开启 systemctl start firewalld.service firewalld-cmd --add-port=6082/tcp --permanent # 开放6082端口 firewalld-cmd --reload systemctl stop firewalld.service # 配置完成关闭防火墙 ` 完毕刷新浏览器即可: 重点 : 主要是防火请的 开启--> 配置-->再关闭,如果不关闭,dashboard无法访问,如果不配置6082无法访问 来源： 51CTO 作者： 扉亦般先生 链接： https://blog.51cto.com/10412806/2449001

SSH的英文全称是Secure SHell SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。 SSH在Linux中的服务是sshd，安装openssh后才可开启。CentOS 7 安装后默认情况下是不启动sshd服务，即无法通过ssh服务远程连接。 首先查看系统是否安装openssh，一般情况想都是默认安装了， [root@localhost ~]# rpm -qa | grep ssh libssh2-1.4.3-10.el7.x86_64 openssh-server-6.6.1p1-22.el7.x86_64 openssh-clients-6.6.1p1-22.el7.x86_64 openssh-6.6.1p1-22.el7.x86_64 如果没有安装可以通过yum在线安装。 [root@localhost ~]# yum install openssh 手动设置启动ssh服务,这样做比较快捷直接，但是只能对当前状态有效，一旦重启系统就丢失了该服务。 [root@localhost ~]# systemctl start sshd [root@localhost ~]# systemctl status sshd 设置自动启动ssh服务 通过systemctl命令可以将sshd服务加到开机自启动列表里

以上拓扑是我在工作中遇到的一个小型网络架构，图画了有点丑但是不影响知识的分享。和学习CCNA的时候很相似，这种传统的网络架构一定要非常熟悉（知道每个设备位置的作用及大概需要配置点什么操作）。和学习CCNA时不同的是出口防火墙这边没有，直接是个三层路由器（实际工作中一般出口都是防火墙，很难想象没有安全设备直接将网络暴露在公网时多么的糟糕）。 下面具体说说设备位置的作用。首先配置最多的是在出口防火墙这里，内网的终端需要上网游览网页、DMZ区域的服务器(拓扑上未画)需要将端口映射公网给员工在家里访问。核心交换机起着承上启下的作用，连接几个楼层的交换机。以上大致需要用到技术：防火墙(安全策略)，三层(NAT,静态路由)，二层(Trunk,access,svi)。 总结，当网络工程师在看资料的时候第一先要抓住重点，配置最多的区域是需求最集中的。一定要严格知道每一条路由走向及策略是干什么的。话说回来其他复杂点的架构是在这种基本的架构需求基础上扩展的，以上这种架构客户端电脑基本50-100台左右，虽然使用人数不多但是麻雀虽小五脏俱全对于刚从事网络工程师这一块的朋友可以好好了解下这种架构。它的特点是结构简单、排错方便、后期可扩展性强。在今后的时间这个博客将定义成网络工程师案例及工作分析的平台希望大家一起进步。 来源： 51CTO 作者： 蓝天飞飞 链接： https://blog.51cto

Centos7 的防火墙 firewalld比较常见 　　简单介绍使用 　　详细介绍链接推荐： https://blog.csdn.net/buster_zr/article/details/80604933 　　　　　　　　　　　　 http://blog.51cto.com/13503302/2095633 　　　　　　　　　　　　 https://www.jianshu.com/p/c06890b7739e firewalld 使用： 　　iptables firewalld 都是防火墙程序，并且firewalld内部也是通过iptables实现防火墙配置，但是两个程序不能同时运行 　　 安装 　　如果iptables在运行，先关闭 　　systemctl stop iptables　　　　#关闭iptables 　　systemctl disable iptables　　#禁止iptables 开机启动 　　systemctl status firewalld　　#查看防火墙firewalld状态 　　如果运行，会显示Active: active (running)　　 　　firewall-cmd --state　　　　　　#查看防火墙firewalld状态的另一种方式 　　no runing 表示没有运行 　　yum -y install firewalld　　　　

CentOS7操作防火墙的相关命令： 1. 查看防火墙状态 systemctl status firewalld.service 执行后可以看到绿色字样标注的 “active（running）” ，说明防火墙是开启状态 2. 关闭运行的防火墙 systemctl stop firewalld.service 执行后可以看到字样标注的 disavtive（dead） 的字样，说明防火墙已经关闭 3. 禁止防火墙服务器（设置永久关闭防火墙） systemctl disable firewalld.service ， 来源： CSDN 作者： Xxacker的Latitude 链接： https://blog.csdn.net/Xxacker/article/details/104490176

阿里云已经配置安全组了还是报错 一： 在防火墙开放端口号,否则无法远程访问 vi /etc/sysconfig/iptables – 修改防火墙配置 添加下面这条配置，并保存重启防火墙 -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 二： systemctl restart iptables.service 重启生效 （本人centos7.3） 或 service iptables restart 重启生效 二还是不行的话 使用三。 三、 firewall的状态： –state ##查看防火墙的状态 –reload ##重新加载防火墙，中断用户的连接，将临时配置清掉，加载配置文件中的永久配置 –complete-reload ##重新加载防火墙，不中断用户的连接（防火墙出严重故障时使用） –panic-on ##紧急模式，强制关闭所有网络连接,–panic-off是关闭紧急模式 例: 添加80端口为允许： firewall-cmd --zone=public --add-port=80/tcp --permanent （–permanent 没有此参数重启后失效） 添加范围例外端口 如 5000-10000： firewall-cmd --zone=public --add-port=5000

【简介】我们已经知道了可以在策略里指定某些IP允许上网，也可以指定某些IP禁止上网，但是如果某个员工知道了某个IP是可以上网的，把他自己的电脑改成这个IP，那不是也能上网了？为了防止修改IP地址后可以上网，我们需要将IP地址与网卡的MAC地址绑定在一起，这样即使修改了IP地址，但MAC地址不符，也是不能上网的。 接口环境 防火墙的内网接口常见的有硬件交换和各自独立两种，我们以各自独立的接口为例。 ① 这里配置内网接口5，IP地址为172.20.5.1，打开了DHCP服务，允许自动分配IP地址。 ② 在这个接口只允许部分IP地址上网，因此建立一个地址对象，指定可以上网的IP地址范围。 ③ 建立上网策略，指定172.20.5.180-172.20.5.200这个IP范围的电脑，可以通过Wan1接口上网。 ④ 在internal5接口上接上电脑，自动获取IP地址，根据DHCP服务的启始IP，获得的IP地址是172.20.5.20，但在策略里只允许180-200可以上网，因此这台电脑是不能上网的。 ⑤ 手动将电脑IP地址修改为172.20.5.188，符合上网地址范围180-200，因此可以看到，这个IP地址的电脑是可以上网的。 MAC 地址占用 手动修改IP地址允许上网，很显然会工作量比较大并且效率低，其实我们只要记录下允许上网电脑的网卡MAC地址，将MAC地址与可以上网的IP地址绑定