2. 程式人生 > >日常運維(五)

日常運維(五)

阿新 發佈:2018-03-06
firewalled

CentOS 7

firewalled

  1. 打開firewalled

     systemctl disable iptables     #關閉服務
 systemctl stop iptables         #停止運行的服務
 systemctl enable firewalld    #開啟firewalld服務
 systemctl start firewalld        #打開firewalld服務

firewalld默認有9個zone (zone是個單位)
默認zone 為public
每個zone是一個規則集

firewall-cmd --get-zones      ##查看所有zone
firewall-cmd --get-default-zone    ##查看默認zone

9個zone、

 drop、 block、 public、 external、 dmz、 work、 home、 internal、trusted  

drop( 丟棄),任何接收的網絡數據包都被丟棄,沒有任何回復。
僅能有發送出去的網絡連接。

block( 限制) 任何接收的網絡連接都被PV4 的icmp-host-prohibited信息和PV6 的icmp6-adm-prohibited 信息所拒絕

public (公共)在公共區域內使用,
不能相信網絡內的其他計算機不會對你的計算機造成危害,只能接收經過選取的連接。

external (外部)特別是為路由器啟用了偽裝功能的外部網。
你不能信任來自網絡的其他計算,不能相信它們不會對你的計算機造成危害,只能接收經過選擇的連接。

dmz (非軍事區)用於你的非軍事區內的電腦,
此區域內可公開訪問,可以有限地進入你的內部網絡,僅僅接收經過選擇的連接。

work( 工作) 用於工作區。
你可以基本相信網絡內的其他電腦不會危害你的電腦。僅僅接收經過選擇的連接。

home (家庭)用於家庭網絡。
你可以基本信任網絡內的其他計算機不會危害你的計算機。僅僅接收經過選擇的連接。

internal (內部) 用於內部網絡。
你可以基本上信任網絡內的其他計算機不會威脅你的計算機。僅僅接受經過選擇的連接。

trusted (信任)可接受所有的網絡連接。

關於zone的操作

firewall-cmd --set-default-zone=work  #設定默認zone
firewall-cmd --get-zone-of-interface=ens37  #查找指定的網卡
firewall-cmd --zone=public --add-interface=lo #給指定網卡設置zone
firewall-cmd --zone=dmz --change-interface=lo #針對網卡更改zone
firewall-cmd --zone=dmz --remove-interface=lo #針對網卡刪除zone
firewall-cmd --get-active-zones  #查看系統所有網卡所在的zone

[root@huidou01 ~]$ firewall-cmd --get-zone-of-interface=ens37
no zone
#需要手動關閉systemctl stop NetworkManager 服務  

[root@huidou01 ~]$ firewall-cmd --zone=work --add-interface=ens37
    success
[root@huidou01 ~]$ firewall-cmd --get-zone-of-interface=ens37  
work

services 概念

zone下面的一個單元,或者說是一個指定的端口

firewall-cmd --get-service    //查看所有的service
firewall-cmd --list-service     //查看當前zone下面有哪些service
firewall-cmd --zone=public --add-service=http      //把http增加到public zone下面
firewall-cmd --zone=public --remove-service=http    //在public zone中刪除

ls /usr/lib/firewalld/zones/ zone的配置文件模板

firewall-cmd --zone=public --add-service=http --permanent 更改配置文件,之後會在/etc/firewalld/zones目錄下面生成配置文件

#需求:ftp服務自定端口1121,需要在work zone下面放行ftp

cp /usr/lib/firewalld/services/ftp.xml  /etc/firewalld/services
vi /etc/firewalld/service/ftp.xml    把21端口改成1121
cp /usr/lib/firewalld/zones/work.xml  /etc/firwalld/zones/
vi /etc/firewalld/zones/work.xml    增加一行
    <service name="ftp"/>
firewall-cmd --reload    重新加載
firewall-cmd --zone=work --list-services

firewalld zone 規則集合每個zone都有iptables規則

每個zone下面都有 service,如果有service 就作為白名單放行,把服務增加到配置文件裏去然後reload就行

日常運維(五)

相關推薦

日常

firewalledCentOS 7 firewalled 打開firewalled systemctl disable iptables #關閉服務 systemctl stop iptables #停止運行的服務 systemctl enable firewalld

日常

系統命令監控系統狀態 w、uptime 查看系統負載 w 查看系統負載 系統時間、運行時間、登錄用戶數、平均負載1min 5min 15min tty1 系統登錄用戶 pts/0 遠程登錄用戶 cat /proc/cpuinfo 查看cup核數 processor 0 為 1顆 1為2顆 邏

日常

iostat ps top tcpdump netstat iostat iostat 直接查看 iostat 1 iostat -x 磁盤使用 %util:表示I/O等待,占用CPU的等待時間,這個數字大,可能硬盤有故障 iotop iotop 磁盤使用y

日常

日常運維ifconfig ifconfig 查看網卡IP (yum install -y net-tools) 和 ip add 一樣ifconfig -a 當宕了網卡,沒有IP時,不顯示 ifup / ifdown ifup / ifdown 開啟關閉網卡 用於指定的網卡設定虛擬網卡 將配置文件復制一份

日常

iptablesiptables 規則 默認規則保存在配置文件中/etc/sysconfig/iptables iptables -F 清空規則 service iptables save 保存當前規則到配置文件裏 ###默認規則在 filter 表裏 +t 更改指定的表 默認就是filter表 ipta

日常

crontab chkconfig systemd unit target crontab crontab 任務計劃 crond服務crontab -u -e -l -r5個*格式:分,時,日,月,周 user command/etc/crontab 配置文件 crontab -e

日常

rsyncrsync 文件同步工具 rsync rsync -av /etc/passwd /tmp/1.txt `-v 可以查看過程` rsync -av /etc/passwd [email protected]:/tmp/1.txt 遠程同步 本機 -

日常

系統日誌系統日誌 /var/log/messages 系統總日誌syslogs /etc/logrotate.conf 日誌切割配置文件 logrotate 參考https://my.oschina.ne00675log/9818 dmesg命令 把系統硬件相關日誌列出來。這些日誌是保存在內存中的

第十章、日常

抓取 進入 fff 0.11 cpu rip 筆記 裏來 ifd 10.1 使用w查看系統負載 10.2 vmstat命令 10.3 top命令 10.4 sar命令 10.5 nload命令 10.6 監控io性能 10.7 free命令 10.8 ps命令 10.9 查

第十章、日常

日常:w命令 vmstat命令 top命令 sar命令 nload命令

一 w檢視當前系統的負載 -f  開啟或關閉顯示使用者從何處登入系統。 -h  不顯示各欄位的標題資訊列。 -l  使用詳細格式列表,此為預設值。 -s  使用簡潔格式列表,不顯示使用者登入時間,終端機

Linux日常

10.4 Linux的防火牆 SELinux SELinux是linux系統特有的安全機制,這種機制限制較多,配置也比較繁瑣,所以一般把SELinux關閉。 檢視selinux的狀態有兩種方法: getenforce 命令是單詞get(獲取)和enforce(

0413 第十三次課:日常

日常運維(上) 系統監控 使用w檢視系統負載 vmstat命令 top命令 sar命令 nload命令 監

Linux日常rsync通過服務連接,linux日誌,screen

rsync 通過 服務鏈接 一、rsync通過服務同步分為服務端(server1) 和客戶端(server2)服務端(server1):[root@litongyao ~]# vim /etc/rsyncd.confport=873

第13章 linux系統管理技巧日常管理技巧

linux第13章 linux系統管理技巧(日常運維管理技巧)這一章的內容是核心,以後會用的幾率也是很大的,只要掌握必備的基礎知識,做初級系統管理員是不成問題的。13.1監控系統的狀態作為一個運維工程師、系統管理員,如果對自己的系統不了解的話,那怎麽排查問題呢?如果出現問題的話,肯定要查一下是什麽問題,哪裏的

日常 0413任務

讀取 swap 以及 inux 修改配置 中斷 vmstat 十個 設備 1. 使用w查看系統負載 linux 日常運維管理技巧 <1>? 監控系統狀態 w/uptime?? 查看系統負載:第一行從左到右顯示的信息依次為:時間、系統運行時間、登錄用戶數、平

linux日常crond,systemd,chkconfing,unit,target)

target unit systemd chkconfing crond 1、任務計劃:crond[root@litongyao ~]# cat /etc/crontab (crontab配置文件) SHELL=/bin/bash

linux安全

系統 gop shutdown ace sim -s user nbsp 服務 1.刪除特殊的用戶和用戶組: linux提供了各種不同角色的系統賬號,在系統安裝完成後,默認會安裝很多不必要的用戶和用戶組,如果不需要某些用戶或用戶組,應立即刪除他們,因為賬號越多,系統就越不

Ansible自動化安裝與配置

安裝Ansible 使用包管理工具安裝 因為RHEL、CentOS的官方yum源中沒有Ansible安裝包。需要安裝EPEL作為部署Ansible的預設yum源。 CentOS7版本: rpm -Uvh http://mirrors.zju.edu.cn/epel/7/x86_64/

Linux初級——vim編輯器

一、VIM介紹         vim是一個類似於vi的著名的功能強大的、高度可定製的文字編輯器,在vi的基礎上改進和增加了很多特性。vim是自由軟體。vim是從vi發展出來的一個文字編輯器。程式碼補全、編譯及錯誤跳轉等方面