亚洲欧洲国产欧美一区精品,激情五月亚洲色五月,最新精品国偷自产在线婷婷,欧美婷婷丁香五月天社区



    

      

      考試首頁 | 考試用書 | 培訓(xùn)課程 | 模擬考場 | 考試論壇  
      

      


        當(dāng)前位置:Linux認(rèn)證 > 紅帽認(rèn)證 > 紅帽認(rèn)證輔導(dǎo) > 文章內(nèi)容
          
      

      

      

      
	
      RHCE學(xué)習(xí)筆記:如何進(jìn)行包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換和設(shè)置內(nèi)核運(yùn)行時參數(shù)
      來源:Linux中國 [ 2016年1月19日 ] 【  
      
    
    
      
		
	
      

    
      
	
      
	  
      RHEL 7 中的網(wǎng)絡(luò)包過濾
      

      當(dāng)我們討論數(shù)據(jù)包過濾的時候,我們指防火墻讀取每個試圖通過它的數(shù)據(jù)包的包頭所進(jìn)行的處理。然后,根據(jù)系統(tǒng)管理員之前定義的規(guī)則,通過采取所要求的動作過濾數(shù)據(jù)包。
      

      正如你可能知道的,從 RHEL 7 開始,管理防火墻的默認(rèn)服務(wù)是 firewalld。類似 iptables,它和 Linux 內(nèi)核的 netfilter 模塊交互以便檢查和操作網(wǎng)絡(luò)數(shù)據(jù)包。但不像 iptables,F(xiàn)irewalld 的更新可以立即生效,而不用中斷活躍的連接 - 你甚至不需要重啟服務(wù)。
      

      Firewalld 的另一個優(yōu)勢是它允許我們定義基于預(yù)配置服務(wù)名稱的規(guī)則(之后會詳細(xì)介紹)。
      

      在第一部分,我們用了下面的場景:
      

      靜態(tài)路由網(wǎng)絡(luò)示意圖
      

      靜態(tài)路由網(wǎng)絡(luò)示意圖
      

      然而,你應(yīng)該記得,由于還沒有介紹包過濾,為了簡化例子,我們停用了2號路由器的防火墻,F(xiàn)在讓我們來看看如何使接收的數(shù)據(jù)包發(fā)送到目的地的特定服務(wù)或端口。
      

      首先,讓我們添加一條永久規(guī)則允許從 enp0s3 (192.168.0.19) 到 enp0s8 (10.0.0.18) 的入站流量:
      

        

      1. # firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0-i enp0s3 -o enp0s8 -j ACCEPT
      

      上面的命令會把規(guī)則保存到 /etc/firewalld/direct.xml 中:
      

        

      1. #cat/etc/firewalld/direct.xml
      

      在 CentOS 7 中檢查 Firewalld 保存的規(guī)則
      

      檢查 Firewalld 保存的規(guī)則
      

      然后啟用規(guī)則使其立即生效:
      

        

      1. # firewall-cmd --direct --add-rule ipv4 filter FORWARD 0-i enp0s3 -o enp0s8 -j ACCEPT
      

      現(xiàn)在你可以從 RHEL 7 中通過 telnet 到 web 服務(wù)器并再次運(yùn)行 tcpdump 監(jiān)視兩臺機(jī)器之間的 TCP 流量,這次2號路由器已經(jīng)啟用了防火墻。
      

        

      1. # telnet 10.0.0.2080 

      2. #tcpdump-qnnvvv -i enp0s3 host 10.0.0.20
      

      如果你想只允許從 192.168.0.18 到 web 服務(wù)器(80 號端口)的連接而阻塞 192.168.0.0/24 網(wǎng)絡(luò)中的其它來源呢?
      

      在 web 服務(wù)器的防火墻中添加以下規(guī)則:
      

        

      1. # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' 

      2. # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'--permanent 

      3. # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' 

      4. # firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'--permanent
      

      現(xiàn)在你可以從 192.168.0.18 和 192.168.0.0/24 中的其它機(jī)器發(fā)送到 web 服務(wù)器的 HTTP 請求。第一種情況連接會成功完成,但第二種情況最終會超時。
      

      任何下面的命令可以驗(yàn)證這個結(jié)果:
      

        

      1. # telnet 10.0.0.2080 

      2. #wget10.0.0.20
      

      我強(qiáng)烈建議你看看 Fedora Project Wiki 中的 Firewalld Rich Language 文檔更詳細(xì)地了解關(guān)于富規(guī)則的內(nèi)容。
      首頁 1  2  3  4 尾頁
      

      
	
	

	

      

      




      


      

      


      

      

      

      將考試網(wǎng)添加到收藏夾 | 每次上網(wǎng)自動訪問考試網(wǎng) | 復(fù)制本頁地址,傳給QQ/MSN上的好友 | 申請鏈接 | 意見留言 TOP
      關(guān)于本站  網(wǎng)站聲明  廣告服務(wù)  聯(lián)系方式  站內(nèi)導(dǎo)航  考試論壇
      Copyright © 2007-2013 中華考試網(wǎng)(Examw.com) All Rights Reserved