FirewallD

考试信息： IPADDR: 172.25.x.100(X 在这里指您的工作站编号) NETMASK: 255.255.255.0 GATEWAY: 172.25.x.254 DNS: 172.25.254.254 yum源地址为：ftp://172.25.x.250/pub/rhel7.0 1. 在进行考试之前 ,请先重置根用户密码为 examwestos 2. 更改主机名称为 station.domainX.example.com(X 在这里指您的工作站编号) [root@desktop Desktop]# hostnamectl set-hostname station.domain49.example.com 3 新建组 ,名称为 sysadms,指定其 GID 为 600 [root@station Desktop]# groupadd -g 600 sysadms 4 新建用户 tommy,指定 UID 为 2013,配置该用户密码为 redhat [root@station Desktop]# useradd -u 2013 tommy [root@station Desktop]# passwd tommy Changing password for user tommy. New password: BAD PASSWORD: The password is

3 月，跳不动了？>>> 安装 ifconfig 这样的命令 yum -y install net-tools 在外部访问CentOS中部署应用时，需要关闭防火墙。 关闭防火墙命令：systemctl stop firewalld.service 开启防火墙：systemctl start firewalld.service 关闭开机自启动：systemctl disable firewalld.service 开启开机启动：systemctl enable firewalld.service 从下边正式开始 yum -y install wget 安装 kafka 1，wget 路径 wget http://mirror.bit.edu.cn/apache/kafka/2.3.0/kafka_2.12-2.3.0.tgz 2，解压 3，启动zookeeper ./bin/zookeeper-server-start.sh ./config/zookeeper.properties 4 启动kafka ./bin/kafka-server-start.sh ./config/server.properties 5.创建topic ./bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication

3 月，跳不动了？>>> 环境：Centos7 ERROR: http://serverip:8080/v1 is not accessible (Failed to connect to ip port 8080: No route to host) Centos默认设置/proc/sys/net/ipv4/ip_forward 为 0，这从底层阻断了Docker所有网络。 解决办法： 1.比较麻烦 vi /usr/lib/sysctl.d/00-system.conf 添加如下代码： net.ipv4.ip_forward=1 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-arptables = 1 重启network服务 systemctl restart network 查看是否修改成功 sysctl net.ipv4.ip_forward 如果返回为 net.ipv4.ip_forward = 1 转自： https://blog.csdn.net/hb_964385339/article/details/100636176 2.办法2简单 systemctl stop firewalld 直接关闭防火墙 来源

3 月，跳不动了？>>> redis等服务启动后，外网默认是无法访问的，因为防火墙不允许，所以要开启防火墙，让其可以访问这些端口号。 使用firewall命令 开启端口 firewall-cmd --zone=public --add-port=6379/tcp --permanent # 参数含义： –zone #作用域 –add-port=80/tcp #添加端口，格式为：端口/通讯协议 –permanent #永久生效，没有此参数重启后失效 关闭端口 firewall-cmd --zone=public --remove-port=6379/tcp --permanent 重启防火墙 firewall-cmd --reload # 或者 service firewalld restart 查看端口号是否开启 firewall-cmd --query-port=6379/tcp 查看开启的全部端口号 firewall-cmd --list-ports 查看状态 systemctl status firewalld # 或者 firewall-cmd --state 关闭防火墙 systemctl stop firewalld.service 设置firewall开机自启动 systemctl enable firewalld 禁止firewall开机启动 systemctl

3 月，跳不动了？>>> 1.问题: 远程访问mysql时出错: ERROR 2003 (HY000): Can't connect to MySQL server on '118.190.158.123' (10060) 2.解决一: 启动防火墙: 打开3306端口号, 如果是关闭的就没有问题(注意:如果你是阿里云服务器,请看解决二) 执行如下命令: #开启防火墙 systemctl start firewalld #打开3306端口号 --permanent表示永久生效，没有此参数重启后失效 firewall-cmd --zone=public --add-port=3306/tcp --permanent #重新载入 firewall-cmd --reload #查看所有打开的端口： firewall-cmd --zone=public --list-ports 3.解决二: 配置阿里ECS端口权限 克隆一个3306端口出来即可 访问成功 来源： oschina 链接： https://my.oschina.net/u/4284277/blog/3207903

防火墙 一、iptables 基于数据链路层的防火墙服务，将配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理。 防火墙策略一般设置两种：一种是放行，一种是阻止 。 iptables规则链根据数据包处理位置的不同进行分类： 在进行路由选择前处理数据包（ PREROUTING ） 处理流入的数据包（ INPUT ） 处理流出的数据包（ OUTPUT ） 处理转发的数据包（ FORWARD ） 在进行路由选择后处理数据包（ POSTROUTING ） 对于命中的数据流量，iptables服务有四种操作： ACCEPT——允许流量通过 REJECT——有respond的拒绝流量通过 LOG——记录日志信息 DROP—— 无respond的拒绝流量通过 iptables中常用的参数及作用 参数 作用 -P 设置默认策略 -F 清空规则链 -L 查看规则链 -A 在规则链尾部加入新规则 -I 在规则链头部加入新规则 -D 删除某条规则 -s 匹配来源地址IP/MASK，加“!”表示除这个IP外 -d 匹配目标地址 -i 网卡名称 匹配从该网卡流入的数据包 -o 网卡名称 匹配从该网卡流出的数据包 -p 匹配协议 -j 执行动作 匹配规则后，执行处理数据包的动作 --dport 匹配目的端口号 --sport 匹配源端口号 tips：规则链的默认拒绝动作只能是DROP

centos7安装GitLab 服务器配置一定不低于4G内存，4个CPU内核，否则GitLab安装过程或者启动过程，会出现各种问题，切记！ 1. 安装ssh和python依赖 执行安装命令： sudo yum install -y curl policycoreutils-pythonopenssh-server 执行设置ssh开机启动命令： sudo systemctl enable sshd 执行安装命令： sudo yum install -y curl policycoreutils-python 2. 安装防火墙 安装命令： yum install firewalld systemd -y 启动防火墙命令： service firewalld start 添加http服务到firewalld,pemmanent表示永久生效，若不加--permanent系统下次启动后就会失效。 sudo firewall-cmd --permanent --add-service=http 重启防火墙命令：sudo systemctl reload firewalld 3. 安装Postfix 安装Postfix，执行命令： sudo yum install postfix 将postfix服务设置成开机自启动，执行命令： sudo systemctl enable postfix

防火墙管理工具 iptables 策略与规则链 基本的命令参数 Firewalld 终端管理工具 图形管理工具 服务的访问控制列表 防火墙管理工具 防火墙虽然有软件或硬件之分，但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制，然后防火墙使用预先定制的策略规则监控出入的流量，若流量与某一条策略规则相匹配，则执行相应的处理，反之则丢弃。这样一来，就可以保证仅有合法的流量在企业内网和外部公网之间流动了 iptables与firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具而已，或者说，它们只是一种服务 。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理，而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。网络的连通是防火墙运行的基础 iptables rhel5-6-7 最新版本仅支持到rhel7.0-7.1 版本 （后续版本已排除） 首先配置IP的四种方式 前三种修改完网络配置都需要重启网络服务才能生效 1.修改网卡文件 ： vim /etc/sysconfig/network-scripts/ifcfg- xxx 重启网络服务 ： systemctl restart network 2.nmtui

( 一) iptables 与Firewalld 防火墙 防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制。在RHEL7系统中，firewalld防火墙取代了iptables防火墙。iptables与firewalld都不是真正的防火墙，而是一种服务，是用来定义防火墙策略的防火墙管理工具。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理，而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。 1.1 、iptables iptables 服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下： 在进行路由选择前处理数据包（PREROUTING）； 即SNAT源地址转换 。 处理流入的数据包（INPUT）； WAN à LAN 。 处理流出的数据包（OUTPUT）； LAN à WAN 。 处理转发的数据包（FORWARD）； 在进行路由选择后处理数据包（POSTROUTING）； 即DNAT目的地址转换 。 ACCEPT(

iptables与firewalld都是用来定义防火墙策略的防火墙管理工具，或者说只是一种服务。 iptables服务会把配置好的防火墙策略交由内核的netfilter网络过滤器来处理。 firewalld服务则是把配置好的防火墙策略交由内核netables包过滤框架处理。 1.iptables iptables服务在RHEL7.2以后的版本中已经没有了。 防火墙会从上到下的顺序来读取配置的策略规则，找到匹配项后就立即结束匹配工作并执行匹配项中定义的行为。 从上到下匹配，上面的规则优先级更高。 iptables规则链 INPUT 外部到内部的规则链，处理流入的数据包 OUTPUT 内网到外部的规则链，处理流出的数据包 FORWARD 转发的规则链，处理转发的数据包 iptables的处理动作： REJECT 拒绝流量通过，并反馈拒绝信息 DROP 拒绝流量通过，且不响应 ACCEPT 允许流量通过 LOG 记录日志信息 防火墙策略规则的设置有两种： 一种是通，默认策略为允许时，就要设置拒绝规则 一种是堵，默认策略为拒绝时，就要设置允许规则 iptables 常用参数 参数 作用 -P 设置默认策略 -F 清空规则链 -L 查看规则链 -A 在规则链的 末尾 加入新规则 -I num 在规则链的 头部 加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK，加叹号