1、編輯配置網卡信息方法:
1.1 編輯配置文件:vim /etc/sysconfig/network-scripts/ifcfg-lo
1.2 nmtui命令:圖形化配置
1.3 nm-connection-editor命令:圖形化配置
1.4 桌面右上角圖形化工具配置
2、IPTABLES---操作篇
2.1 動作:
1)允許 ACCEPT
2) 拒絕 REJECT #會在拒絕流量后再回復一條“您的信息已經收到,但是被扔掉了”信息,從而讓流量發送方清晰地看到數據被拒絕的響應信息
3) 丟棄 DROP #直接將流量丟棄而且不響應
4)日志 LOG
【注意】考試紅帽認證的時候,如果說要拒絕某個流量,那么就一定要使用REJECT。
【詳細iptables參考這篇文檔:http://www.zsythink.net/archives/1199】
2.2 命令:
-P 設置默認策略
-F 清空規則鏈
-L 查看規則鏈
-A 在規則鏈的末尾加入新規則
-I num 在規則鏈的頭部加入新規則
-D num 刪除某一條規則
-s 匹配來源地址 IP/MASK,加嘆號“!”表示除這個 IP 外
-d 匹配目標地址
-i 網卡名稱 匹配從這塊網卡流入的數據
-o 網卡名稱 匹配從這塊網卡流出的數據
-p 匹配協議,如 TCP、UDP、ICMP
-j 采用的動作,ACCEPT或者REJECT,DROP
--dport num 匹配目標端口號
--sport num 匹配來源端口號
【特別注意】使用 iptables 命令配置的防火牆規則默認會在系統下一次重啟時失效,如果 想讓配置的防火牆策略永久生效,還要執行保存命令:service iptables save
例子:
iptables -I INPUT -p icmp -s 192.168.232.137 -j ACCEPT
#在處理流入的數據包時,允許源IP地址192.168.232.137的主機通過icmp協議連接服務器。
iptables -I INPUT -p icmp -j REJECT
#拒絕所有以icmp協議流入的數據包。
iptables -I OUTPUT -p icmp -j REJECT
#拒絕本地所有以icmp協議出去的數據包。
iptables -D INPUT 1
#刪除規則鏈中INPUT位置的第一條,既使用iptables -L查看規則鏈,找到INPUT位置,從上往下依次從1開始計數
【練習題】
(1)向INPUT規則鏈中添加拒絕所有人訪問本機12345端口的策略規則:
iptables -I INPUT -p tcp --dport 12345 -j REJECT
(2)向INPUT規則鏈中添加拒絕192.168.10.5主機訪問本機80端口(web服務)的策略規則:
iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
(3)向INPUT規則鏈中添加拒絕所有主機訪問本機1000~1024端口的策略規則:
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT