防火墙

第四期 目标 熟悉seLinux，了解seLinux的用途，关闭seLinux 熟悉iptables防火墙，掌握打开关闭，配置等基本选项 熟悉firewalled防火墙，掌握打开关闭，配置等基本选项 配合使用scanport进行 1.seLiunx 安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 由于linux的权限采用的是文件-用户-用户组的模式，创建文件的用户具有文件的所有权限，一旦某个用户被突破，系统的风险的无限加大。而selinux不太一样，由管理员来创建安全规则，控制资源访问，比如定义了http进程可以访问哪些文件、哪些目录，即便root有所有文件的修改和访问权限，违反了管理员应用规则，一样无法访问，当然配置会比较复杂。 进入/etc/selinux目录中，查看config文件 selinux配置有三项：缺省是强制策略。 enforcing - 强制打开,拒绝违反安全策略 permissive - 遇到违反安全策略仍正常执行，但输出警告 disabled - 关闭安全策略 输入getenforce查看当前的状态为enforcing

📖摘要 今天分享下 —— Liunx 添加防火墙访问端口的一些基本知识，欢迎关注！ 🌂分享 说明是防火墙阻挡了80端口，将80端口放开就行 开启防火墙 systemctl start firewalld 关闭防火墙 systemctl stop firewalld 添加 firewall - cmd -- zone=public -- add - port=80 / tcp -- permanent 重新载入 firewall - cmd -- reload 查看 firewall - cmd -- zone=public -- query - port=8089 / tcp 查看开启访问的端口 firewall - cmd -- permanent -- zone=public -- list - ports 🎉最后 更多参考精彩博文请看这里： 《陈永佳的博客》 喜欢博主的小伙伴可以加个关注、点个赞哦，持续更新嘿嘿！ 来源： CSDN 作者： 陈永佳 链接： https://blog.csdn.net/Mrs_chens/article/details/104691017

CentOS7配置网络ip地址 CentOS 7.x版本中没有ifcfg-eth0文件 只有ifcfg-ens33文件（为了符合日常习惯） (1)将文件ifcfg-ens33重命名为ifcfg-eth0;（root用户下） mv ifcfg-ens33 ifcfg-eth0 (2)将ifcfg-eth0文件中的NAME=ens33改为NAME=eth0 vi /etc/sysconfig/network-scripts/ifcfg-eth0 (3) #修改 BOOTPROTO=static #这里将dhcp修改成static ONBOOT=yes #这里将no修改成yes #新增 IPADDR=192.168.20.100 #静态IP GETWAY=192.168.20.1#默认网关 DNS1=192.168.20.1 NETMASK=255.255.255.0 #子网掩码 （4）重启网卡 service network restart /etc/resolv.conf nameserver 8.8.8.8 nameserver 114.114.114.114 配置主机名 1.Linux系统 (1)查看本机的主机名 hostname (2)配置主机名称 vi /etc/sysconfig/network 配置内容：NETWORKING=yes HOSTNAME=hadoop100

1.修改SSH远程端口为12345，验证能用12345端口登陆即可。 输入vi /etc/ssh/sshd_config编辑SSH文件 将Port 22改为 Port 12345 保存退出，重启ssh 在防火墙中放行12345端口： 执行：vi /etc/sysconfig/iptables 添加命令放行12345端口 保存退出，重启防火墙 2.设置开启防火墙，并通过TCP的12345和3306端口，只能设置一条规则. 执行：vi /etc/sysconfig/iptables 添加以下命令： 保存退出，重启防火墙。 3.在配置文件里关闭SELINUX，在不重启系统的情况下生效： 执行命令：setenforce 0 设置SELINUX成为permissive模式 来源： 51CTO 作者： wx5ad8937ebaf3e 链接： https://blog.51cto.com/13711526/2122251

CentOS系统基本设置（考试20分钟） 1.修改ssh远程端口为12345,验证能用12345端口登录即可。 2.设置开启CentOS防火墙，并通过tcp的12345和3306端口，只能设置一条规则。 3.在配置文件里面关闭SELINUX，在不重启系统的情况下生效。 环境： 测试机 IP：192.168.1.123 centos6.4 用户：root 密码：rootroot 本地机 IP：192.168.1.118 windows10 用户：ming 密码：ming 远程测试软件：putty 一、修改ssh远程端口为12345,验证能用12345端口登录即可。 1-1默认得远程端口是22，修改远程端口要修改配置文件。配置文件是/etc/ssh下的sshd_config文件。 远程上去修改的IP是192.168.1.123，默认远程端口是22。 1-2修改配置文件。 vi /etc/ssh/sshd_config 找到配置文件中的Port 22修改或者注释，按照注释图直接22添加12345端口，修改后保存退出。 1-3、修改配置文件后要重启ssh服务。 重启ssh服务命令 service sshd restart 1-4、重启ssh服务后，刚刚用22端口远程上去的窗口不会马上断开。 1-5、修改远程端口后，重启ssh服务，还是无法远程的。因为防火墙还没有放行12345端口。

要求在虚拟机安装centos 7.0 实现下列要求 1.修改ssh远程端口为12345,验证能用12345端口登录即可。 2.设置开启CentOS防火墙，并通过tcp的12345和3306端口，只能设置一条规则。 3.在配置文件里面关闭SELINUX，在不重启系统的情况下生效。 具体实现过程： 修改ssh远程端口为12345,验证能用12345端口登录即可。 借助xshell 5 远程登录到到系统 使用 root 用户进入 /etc/ssh/ 目录: cd /etc/ssh/ 使用 vi/vim 打开 sshd_config 文件: vim sshd_config 具体命令如下： [root@localhost ~]# cd /etc/ssh/ [root@localhost ssh]# ls moduli sshd_config ssh_host_ecdsa_key.pub ssh_host_rsa_key.pub ssh_config ssh_host_ecdsa_key ssh_host_rsa_key [root@localhost ssh]# vi sshd_config [root@localhost ssh]# 进入sshd_config 文件 按i 编辑 在修改端口之前,先添加一个端口，找到 Port 进行修改 修改之后，进行保存 设置开启CentOS防火墙

最近做一个项目用到FTP和其它系统进行文件传输，结果在FTP网络连接的问题上花了很多时间，由于太久没搞多FTP，忘记了FTP不单单开放21端口，客户端采用不同连接模式对网络有不同。在此重温一下FTP的主动模式和被动模式的相关知识。 在使用FTP时，如果客户端机器和FTP服务器双方之间的所有端口都是开放的，那连接不存在问题。如果客户端与服务器之间有防火墙，如果没配置好防火策略和采用合适的连接模式，会导致登录成功，但无法List列表的问题。要避免出现这样的问题，首先要了解FTP的工作模式。 1.FTP的PORT（主动模式）和PASV（被动模式） (1) PORT（主动模式） PORT中文称为主动模式，工作的原理： FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，客户端随机开放一个端口（1024以上），发送 PORT命令到FTP服务器，告诉服务器客户端采用主动模式并开放端口；FTP服务器收到PORT主动模式命令和端口号后，通过服务器的20端口和客户端开放的端口连接，发送数据，原理如下图： (2) PASV（被动模式） PASV 是Passive的缩写，中文成为被动模式，工作原理： FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，发送PASV命令到FTP服务器，

iptables版 #vi /etc/sysconfig/iptables 添加以下语句 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 3690 -j ACCEPT 重启iptables #service iptables restart firewalld版 一、防火墙相关命令 　　1、查看防火墙状态 ： systemctl status firewalld.service 　　　　注：active是绿的running表示防火墙开启 　　2、关闭防火墙 ：systemctl stop firewalld.service 　　3、开机禁用防火墙自启命令 ：systemctl disable firewalld.service 　　4、启动防火墙 ：systemctl start firewalld.service 　　5、防火墙随系统开启启动 ： systemctl enable firewalld.service 　　6、重启防火墙 ： firewall-cmd --reload 二、端口开放相关命令 　　1、查询已经开放的端口 ：firewall-cmd --list-port 　　2、查询某个端口是否开放 ：firewall-cmd --query-port=80/tcp 　　3、开启端口

1、查看firewall服务状态 systemctl status firewalld 2、查看firewall的状态 firewall-cmd --state 3、开启、 重启、关闭、 firewalld.service服务 # 开启 service firewalld start # 重启 service firewalld restart # 关闭 service firewalld stop 4、查看防火墙规则 firewall-cmd --list-all 5、查询、开放、关闭端口 # 查询端口是否开放 firewall-cmd --query-port=8080/tcp # 开放80端口 firewall-cmd --permanent --add-port=80/tcp # 移除端口 firewall-cmd --permanent --remove-port=8080/tcp #重启防火墙(修改配置后要重启防火墙) firewall-cmd --reload # 参数解释 1、firwall-cmd：是Linux提供的操作firewall的一个工具； 2、--permanent：表示设置为持久； 3、--add-port：标识添加的端口； 来源： https://www.cnblogs.com/shizhengwen/p/12446288.html

1. 查看已打开的端口 # netstat -anp 2. 查看想开的端口是否已开 # firewall-cmd --query-port=666/tcp 若此提示 FirewallD is not running 表示为不可知的防火墙 需要查看状态并开启防火墙 3. 查看防火墙状态 # systemctl status firewalld running 状态即防火墙已经开启 dead 状态即防火墙未开启 4. 开启防火墙，# systemctl start firewalld 没有任何提示即开启成功 5. 开启防火墙 # service firewalld start 关闭防火墙 # systemctl stop firewalld centos7.3 上述方式可能无法开启，可以先#systemctl unmask firewalld.service 然后 # systemctl start firewalld.service 6. 查看想开的端口是否已开 # firewall-cmd --query-port=666/tcp 提示no表示未开 7. 开永久端口号 firewall-cmd --add-port=666/tcp --permanent 提示 success 表示成功 8. 重新载入配置 # firewall-cmd --reload 比如添加规则之后