10.12 firewalld和netfilter

Linux防火牆-netfilter

• selinux臨時關閉 setenforce 0
• selinux永久關閉 vi /etc/selinux/config
• centos7以前使用netfilter防火牆
• centos7開始使用firewalld防火牆
• 關閉firewalld開啓netfilter方法
• systemctl stop firewalld
• systemctl disable firewalled
• yum install -y iptables-services
• systemctl enable iptables
• systemctl start iptables

selinux防火牆

• setenforce 0 臨時關閉 selinux
• vi /etc/selinux/config 永久關閉 selinux
• selinux通常都是關閉的，由於開啓selinux會增大運維管理成本，由於不少服務受限於selinux
  • 在關閉selinux後，也不會存在太大的安全問題

[root@hanfeng-001 ~]# vi /etc/selinux/config

將SELINUX=enforcing更改成SELINUX=disabled
而後在重啓系統，就會永久關閉selinux

（如果將SELINUXTYPE=targeted 這裏更改了，就會沒法開啓系統！！！千萬注意）

Enforcing和Permissive區別

[root@hanfeng-001 ~]# getenforce
Enforcing   
[root@hanfeng-001 ~]# setenforce 0    //臨時關閉
[root@hanfeng-001 ~]# getenforce
Permissive    
[root@hanfeng-001 ~]#

• 區別：
• Permissive是selinux開啓了，可是僅僅是遇到這種須要發生阻斷的時候，他不須要真正的去阻斷，僅僅是一個提醒

netfilter防火牆

• netfilter防火牆是centos7以前的叫法

• 在centos7的時候，叫作firewalld

• 這 netfilter 和firewalld 兩個防火牆機制不太同樣，但內部的工具（iptables）用法是同樣的

  • 能夠經過iptables工具，去添加一些規則（好比，開放80端口，開放22端口，關閉8080端口）

• 在centos7中，默認使用的是firewalld，而netfilter防火牆是沒有開啓的

  • 在centos7中，關閉firewalld，去使用netfilte防火牆也是沒有問題的
  • 關閉firewalld，開啓netfilter
    • 先systemctl disabled firewalld 停掉firewalld，就是限制開機啓動
    • 而後systemctl stop firewalld 關閉firewalld服務
    • 開啓netfilter以前安裝 iptables-services 包
      • 在安裝完成後，就會產生一個iptables服務
    • 再systemctl enable iptables 設置開啓激動——>(必定要關閉selinux，不然這裏操做不了)
    • 再systemctl stat iptables 開啓iptables服務

關閉firewalld
[root@hf-01 ~]# systemctl disable firewalld    //停掉firewalld，就是限制開機啓動
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
[root@hf-01 ~]# systemctl stop firewalld    //關閉firewalld服務
開啓netfilter
在開啓以前，須要先安裝一個iptables-services包
[root@hf-01 ~]# yum install -y iptables-services

[root@hf-01 ~]# systemctl enable iptables    //設置開啓激動
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@hf-01 ~]# systemctl start iptables    //開啓iptables服務
[root@hf-01 ~]#

• 在iptables服務啓動以後，用 iptables -nvL 命令查自帶的規則
• iptables -nvL 查看默認規則

[root@hf-01 ~]# iptables -nvL    //查看默認規則
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   35  2436 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 22 packets, 3152 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@hf-01 ~]#

• iptables 僅僅是netfilter防火牆的一個工具