防火墙

一、防火墙的概念 　　什么是防火墙？防火墙是一台或一组设备，用以在网络间实施访问控制策略；事实上一个防火墙能够包含OSI模型中的很多层，并且可能会涉及进行数据包过滤的设备，它可以实施数据包检查和过滤，在更高的层次中对某应用程序实现某一策略，或做更多类似的事情。防火墙的功能主要是隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则定义的行为进行处理的一组功能组件，基本上的实现都是默认情况下关闭所有的访问，只开放允许访问的策略；防火墙分主机防火墙、网络防火墙、硬件防火墙、软件防火墙、网络层防火墙、应用层防火墙等；主机防火墙指定的是针对服务当前主机做的访问策略的防火墙；网络防火墙指服务范围为防火墙一侧的局域网；硬件防火墙指在专用硬件级别实现部分功能的防火墙，另一部分功能基于软件实现；软件防火墙指运行于通用硬件平台之上的防火墙应用软件；网络层防火墙指OSI模型下四层的防火墙，主要针对OSI模型下四层的网络报文的访问策略控制；应用层防火墙/代理服务器指OSI模型中的应用层的防火墙，它主要在应用层进行操作，针对应用层的程序数据报文进行访问策略控制； 二、网络型防火墙和应用层防火墙的优缺点 　　网络层防火墙主要是包过滤，网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL），通过检查数据流中每个数据的源地址，目标地址

1.临时关闭防火墙： 命令：/etc/init.d/iptables stop 出现三个OK,关闭成功，此时防火墙已经关闭，不许重启已经生效。 2.关闭后查看状态，命令: /etc/init.d/iptables status应该显示 firewall is not running 3.永久性关闭防火墙： 命令：#chkconfig --level 2345 iptables off 或者 #chkconfig iptables off 4.设置防火墙规则 /etc/sysconfig/iptables 来源： CSDN 作者： 人生如题各种痴 链接： https://blog.csdn.net/fuchen91/article/details/104182062

子网集群通过接入公网的服务器Iptables转发上网 1. 对iptables进行初始化工作 清空filter表 iptables -F 清空nat表 iptables -t nat -F 默认禁止所有传入连接 iptables -P INPUT DROP 默认允许所有传出连接 iptables -P OUTPUT ACCEPT 默认禁止路由转发 iptables -P FORWARD DROP 2.打开系统的IP转发功能 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf 不用重启,立即生效 sysctl -p 3. 配置iptables的传入连接 允许环回接口的传入连接 iptables -A INPUT -i lo -j ACCEPT 允许已建立的传入连接 iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT 允许SSH传入连接 iptables -A INPUT -i eno1 -p tcp –dport 22 -j ACCEPT 根据自己外网网卡配置 4. 配置iptables的NAT转发---实现子网上网 允许来自内网的传出连接 iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT 开启源NAT功能

服务器防火墙的使用技巧你了解多少?具体怎么使用技巧呢？ 1、更改防火墙的所有文件规则 在字面意思上，好像服务器防火墙的文件修改就是程序员几行代码，几个注释的事情，但是如果我们真的操作过的话，就会发现其实不是这样的，这之中是有不少需要注意到的地方。如果服务器防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改抵消了之前的协议更改，会导致宕机。这是一个相当高发的状况。 服务器防火墙管理产品的中央控制台能全面可视所有的服务器防火墙规则基础，因此团队的所有成员都必须达成共识，观察谁进行了何种更改。这样就能及时发现并修理故障，让整个协议管理更加简单和高效。 2、以最小的权限安装所有的访问规则 权限是一个非常重要的环节，我们的服务器之所以不会出问题，不会被攻击，一定程度上是因为黑客没有这个权限，所以我们一定要在权限这个坎看牢才能保持企业数据的安全。服务器防火墙规则是由三个域构成的：即源(IP地址)，目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些规则就会变得权限过度释放，因此就会增加不安全因素。 3、根据法规协议和更改需求来校验每项的更改 在服务器防火墙操作中，日常工作都是以寻找问题

本博客记录工作中需要的linux运维命令，会不时更新。 文章目录 一、系统监控 1、free命令 2、ulimit命令 3、top命令 4、df命令 5、ps命令 二、文件操作 1、tail命令 2、ll -ah 三、网络通信 1、netstat 2、重启网络 3、SELinux 4、防火墙 四、系统管理 1、uname 2、ip addr 一、系统监控 1、free命令 free 命令能够显示系统中物理上的空闲和已用内存，还有交换内存，同时，也能显示被内核使用的缓冲和缓存 语法：free [param] param可以为： -b：以Byte为单位显示内存使用情况； -k：以KB为单位显示内存使用情况； -m：以MB为单位显示内存使用情况； -o：不显示缓冲区调节列； -s<间隔秒数>：持续观察内存使用状况； -t：显示内存总和列； -V：显示版本信息。 Mem：表示物理内存统计 total：表示物理内存总数(total=used+free) used：表示系统分配给缓存使用的数量(这里的缓存包括buffer和cache) free：表示未分配的物理内存总数 shared：表示共享内存 buffers：系统分配但未被使用的buffers 数量。 cached：系统分配但未被使用的cache 数量。 -/+ buffers/cache：表示物理内存的缓存统计 (-buffers

1、什么是Docker? Docker是一个开源的应用容器引擎，基于Go语言，并且遵守Apache2.0协议；其可以允许开发者打包他们的应用以及依赖包到一个轻量级、并且可移植的容器中，然后发布到任何流行的linux机器上，也可以实现虚拟化；Docker从17.03版本之后分为CE（Community Edition）社区版和EE（Enterprise Edition)企业版，一般我们使用的是免费的社区版； 2、Docker能解决什么问题？ 1、我们都知道软件开发最麻烦的是就说环境配置，软件从开发、测试、运维、上线，每个人计算机环境都不一样；我们开发人员必须保证开发出来的软件必须在每一台机器上都能跑起来，因此，Docker技术孕育而生；开发人员可以利用docker来解决“软件在我的机器上能够正确运行”的问题，它允许将程序运行的相关配置打包（打包成一个镜像），然后直接搬到新机器上运行； 3、Docker安装环境 1、从上面这只鲸鱼可以看出来，我们的Docker需要一个宿主机！ 2、Docker官方建议是在Ubuntu中安装，因为Docker是基于Ubuntu发布的，而且Docker最先出现的问题Ubuntu是最先更新或者打补丁的，但是由于大多数的公司采用的是CentOS，所以我这次给机子安装的环境也是CentOS7； 4、在安装Docker之前，我们需要先安装一个虚拟机(VMware

1、xshell链接上linux机器 2、检查本机是否安装有tomcat： 3、然后百度搜索tomcat，并找到要下载的tomcat，然后右键复制链接地址出来 4、输入 wget 命令，进行联网下载： 注意：这时候注意切换进入某目录下进行下载，避免后续来移动文件位置 yum install -y wget 安装wget命令 rpm -qa | grep wget 检查是否安装成功wget 刚刚复制出来的tomcat链接地址 ---这一步会进行自动联网下载tomcat的.tar.gz压缩包 5、解压缩 tar -zxvf apache-tomcat-xxxxxx.tar.gz 然后： 切换至tomcat文件夹内 ./bin/startuop.sh 启动tomcat（停止-shutdown.sh） 6、关闭防火墙 （大多数情况没有关闭防火墙，外部浏览器访问不了） systemctl stop firewalld关闭防火墙 systemctl status firewalld查看当前关闭的状态是否正确 systemctl disable firewalld开机自动关闭防火墙 注意：如果出现某端口访问不了，是因为防火墙拦截，可手动添加 firewall-cmd --zone= public -- add-port= 8081/tcp --permanent 添加8081到可信空间

安装 下载 wget http://mirrors.cnnic.cn/apache/tomcat/tomcat-8/v8.0.22/bin/apache-tomcat-8.0.22.tar.gz 解压 tar xvfz apache-tomcat-8.0.22.tar.gz 移动 mv apache-tomcat-8.0.22 /usr/local 启动 /usr/local/apache-tomcat-8.0.22/bin/startup.sh 验证 在浏览器打开 http://ip:8080 出现Tomcat 默认管理界面，说明已经安装启动成功。 问题 如果打不开 Tomcat 默认管理界面，请确认防火墙是否开放了 Tomcat 访问端口 还有非常重要的一点是阿里云里面有个安全组需要把8080端口加入进去(被坑了很久) 方法一 firewall（推荐）： centos7默认使用的是firewall作为防火墙 firewall-cmd --permanent --zone=public --add-port=8080/tcp 这样就开放了相应的端口。 firewall-cmd --reload 使最新的防火墙设置规则生效。 方法二iptables： centos7默认使用的是firewall作为防火墙，这里改为iptables防火墙步骤 1、关闭firewall：

一、配置防火墙，开启80端口、3306端口 CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙。 1、关闭firewall： systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 IT网，http://www.it.net.cn yum install iptables-services #安装 vi /etc/sysconfig/iptables #编辑防火墙配置文件 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. IT网，http://www.it.net.cn *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] Linux学习，http:// linux.it.net.cn -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT

entOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙。 1、关闭firewall： systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 yum install iptables-services #安装 vi /etc/sysconfig/iptables #编辑防火墙配置文件 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j