1.9 selinux介绍
配置文件:/etc/selinux/config
获得当前selinux的状态: getenforce
临时关闭: setenforce 0
打开: setenforce 1
临时关闭打开只能selinux值为enforcing时才能用
setenforce命令不存在: rpm -qf `which setenforce`
当使用 setenforce 0 这个命令后,再 getenforce 会输出 “permissive”
永久关闭:
vim /etc/selinux/config
改:SELINUX=disabled
重启机器方可生效
2.0 iptables详解-1
防火墙:netfilter 表table-->链chain-->规则
查看filter表:iptables -t filter -nvL
查看nat表:iptables -t nat -nvL
查看mangle表:iptables -t mangle -nvL
主要filter INPUT OUPUT
增加规则:iptables -t filter -I INPUT -p tcp --dport 80 -s 12.12.12.12 -j REJECT
-p tcp:协议; --dport 80:端口; -s: 来源ip; -j REJECT:行为
即把80端口和来源IP12.12.12.12的包过滤掉不让访问
查看定义的规则:iptables -nvL (默认为filter表)
-D去掉规则
-A增加规则,增加到表的最下面
-I增加(插入)规则,增加到表的最上面,表最上面的规则先生效
2.1 iptables详解-2
三种行为:REJECT:拒绝; DROP:直接扔掉; ACCEPT:允许
iptables -Z 清空规则计数器,重置包数字节数为0
iptables -F 清空规则
增加规则后要保存:service iptables save
重启:service iptables restart
配置文件:cat /etc/sysconfig/iptables
备份:iptables-save > 1.ipt
恢复:iptables-restore < 1.ipt
2.2 iptables详解-3
filter表主要用来限制进入本机的包和出去的包
INPUT作用于进入本机的包;OUTPUT作用于本机送出的包;FORWARD作用于那些跟本机无关的包
nat表主要用于网络地址转换,比如家用的小路由器就是用nat表实现的
mangle表主要用于给数据包打标记,然后根据标记去操作哪些包
2.3 iptables详解-4
-P后面跟链名,策略内容或者为DROP或者为ACCEPT,默认是ACCEPT
这个策略一旦设定后,只能使用 iptables -P ACCEPT 才能恢复成原始状态,而不能使用-F参数
定义策略:
#!/bin/bash
ipt="/sbin/iptables"
$ipt -F
$ipt -P INPUT ACCEPT
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -s 192.168.0.105 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -p tcp --dport 22 -j DROP
编辑回复