Linux網卡配置的四種模式以及防火牆設置的四種方式（CentOS 7.4）

一、網卡配置的四種模式

1、直接修改配置文件

vim /etc/sysconfig/network-scripts/ifcfg-ens33

BOOTPROTO代表地址的分配方式，有dhcp、static、none
ONBOOT代表開機是否啓用網卡，參數有yes、no
子網掩碼可以寫成NETMASK=255.255.255.0，也可以寫成PREFIX0=24
修改完網卡配置文件後需要重啓網絡服務
systemctl restart network

---

2、nmtui（CentOS 5、6爲setup）

---

3、nm-connection-editor

下面兩個選項要勾選，等同於ONBOOT的yes或no

---

4、小圖標

---

二、防火牆設置的四種方式

1、iptables

• 從外到內爲INPUT
• 從內到外爲OUTPUT
• 防火牆的策略從上至下來執行，當匹配後直接執行，並且不會執行下面的語句了。
  

• 其中拒絕流量分爲兩種
  ①REJECT——直接拒絕，對方看到的是直接你拒絕他的消息
  ②DROP——丟包策略，對方看到你是不在線的（起到隱藏主機的作用）

• 實驗

  iptables -L
  #-L代表查看已有的規則列表，INPUT從外到內默認規則是放行所有流量

  iptables -F
  #清空原有的防火牆策略

  iptables -I INPUT -p icmp -j REJECT
  #-I代表放在規則鏈的頭部，優先級最高（-A代表末尾），-p代表協議，-j表示後面接動作

  iptables -I INPUT -p icmp -j ACCEPT
  #恢復允許icmp流量

  iptables -P INPUT DROP
  #-P代表修改默認策略，禁止所有流量（默認策略只能是DROP，不能是REJECT）

iptables -I INPUT -p icmp -j ACCEPT
#允許icmp，會發現又可以ping通了

iptables -I INPUT -p tcp --dport 22 -j ACCEPT
#允許使用SSH（默認端口爲22），--dport 22代表是目標的端口號22

#如果不知道對應的協議，可以查看/etc/services文件
cat /etc/services | grep ssh
#因爲內容太多，可以使用grep來過濾查看

iptables -F
#將防火牆策略清除，因爲之前將默認的策略修改爲了禁止所有流量，所以SSH遠程連接斷開了，需要重新到本機上修改回ACCEPT
service iptables save
#清空後保存一下當前策略狀態
#再次連接，正常。

iptables -D INPUT 1
#刪除編號爲1的策略

iptables -L
#刪除後再進行查看

iptables -I INPUT -s 192.168.152.129 -p icmp -j REJECT
#拒絕某臺主機ping本機

2、firewall-cmd

• public是系統默認當前使用的策略
• trusted放行所有的流量
• drop拒絕所有流量
• 使用firewall-cmd時，可以先iptables -F清空一下iptables的策略，然後service iptables save保存一下策略狀態，這樣就不會影響firewall-cmd的使用了
  

  firewall-cmd --get-default-zone
  #正式使用時，可以查看一下默認的區域是什麼

firewall-cmd --get-zone-of-interface=ens33
#針對網卡查看此網卡使用的區域

• 策略生效的兩種情況：Runtime（默認）；permanent永久生效，但當前不會生效，需要重啓後生效。如果想不想重啓，執行以下firewall-cmd --reload即可。

firewall-cmd --set-default-zone=work
#修改默認區域爲work

緊急模式

它會切斷所有連接，如果遠程操作時候，需要提前將自己加入到緊急模式的白名單中

firewall-cmd --panic-on
#打開緊急模式，centos 7無法ping通了，我們的ssh連接也斷開了。

firewall-cmd --panic-off
#登陸實體機關閉緊急模式後，恢復正常了。

放行某一服務或端口

• ①服務

  firewall-cmd --zone=public --query-service=http
  #查看http是否放行
  firewall-cmd --zone=public --add-service=http
  #放行http服務，但是重啓後會失效

firewall-cmd --zone=public --query-service=http
#查看當前http服務是否被放行
firewall-cmd --permanent --zone=public --query-service=http
#查看重啓後http服務是否被放行
firewall-cmd --permanent --zone=public --add-service=http
#通過加上--permanent參數後，當前不會生效，需要重啓或者使用--reload參數後纔會生效。

• ②端口

  firewall-cmd --zone=public --query-port=8080/tcp
  #查看當前8080端口是否被放行
  firewall-cmd --permanent --zone=public --add-port=8080/tcp
  #永久放行8080端口,當前不生效，需要重啓或者firewall-cmd --reload纔會生效

• 實驗：流量轉發

SSH默認端口號爲22，如果想訪問666端口時候也同樣能夠訪問SSH服務。
步驟：
①在192.168.152.129主機使用以下命令

firewall-cmd --permanent --zone=public --add-forward-port=port=666:proto=tcp:toport=22:toaddr=192.168.152.129

需要再firewall-cmd --reload後生效
②在192.168.152.126主機使用以下命令
ssh 192.168.152.129 -p 666
通過192.168.152.126主機進行使用端口666來ssh登陸192.168.152.129，結果如下圖

在192.168.152.126主機上使用netstat -ntpe可以查看結果如下

• 實驗：富規則
  步驟：
  ①在主機192.168.152.126主機輸入以下命令

  firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.152.0/24" service name="ssh" reject"
  #拒絕192.168.152.0網段的ssh服務

  firewall-cmd --reload
  #使上條命令立即生效

  ②在主機192.168.152.129上ssh 192.168.152.126發現無法連接了。
  

  firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" source address="192.168.152.0/24" service name="ssh" reject"
  #將添加富規則移除
  firewall-cmd --permanent --zone=public --query-rich-rule="rule family="ipv4" source address="192.168.152.0/24" service name="ssh" reject"
  #查看富規則使用情況

3、firewall-config

• 實驗
  通過命令查看http服務是沒有允許放行的
  

我們將firewall-config中的http服務勾選後，再進行查看，還是顯示的no，因爲我們上圖中使用的查詢命令是沒有帶參數--permanent的，但是我們選擇的配置是permanent

需要在左上角的Options中Reload Firewalld（等同於命令行的firewall-cmd --reload），再進行查看就顯示yes了。

4、tcp_wrappers

優先級應該是最低的

先去匹配hosts.allow，再去匹配hosts.deny
如果hosts.allow中已經允許了，則會放行；如果兩個裏面都沒有，默認也是放行的。

• 實驗
  ①在主機192.168.152.126上進行如下操作
  vim /etc/hosts.deny
  加入以下參數
  sshd:192.168.152.（格式爲 服務名稱:網段、IP）
  保存並退出後，無需重啓等操作。
  ②此時從主機192.168.152.129上執行
  ssh 192.168.152.126，發現已經無法登陸了
  

③此時再在主機192.168.152.126的hosts.allow文件中加入sshd:192.168.152.後，從主機192.168.152.129上進行ssh 192.168.152.126發現可以正常登陸了，如下圖。也說明了開始將的，匹配上了hosts.allow後就會放行！

④只允許某一個IP地址進行ssh登陸。