防火墙

最近由于工作需要，在服务器上部署cloud项目，一台崭新的centos7测试服务器，当注册中心启动后无法访问，第一个感觉应该是端口未开放，经查询果然防火墙开全状态且没有任何开放端口，一般碰到这样情况，为了图个简单，直接关闭防火墙即可，不过出于对服务器安全考虑，最安全的做法肯定是开启特定端口访问，于是乎就现学现用了。 一、关于Centos7防火墙相关操作命令 注意：Centos升级到7之后，内置的防火墙已经从iptables变成了firewalld，更多关于CentOs防火墙的最新内容，请参考Redhat官网。 查看防火墙状态 firewall-cmd --state 3. 启动/关闭/重启防火墙 systemctl start firewalld systemctl stop firewalld firewall-cmd --reload 查看防火墙开放端口列表 firewall-cmd --permanent --zone = public --list-ports 开放/取消一个新的端口（以8080 tcp为例）（permanent 永久生效） firewall-cmd --zone = public --add-port = 8080/tcp --permanent firewall-cmd --zone = public --remove-port = 8080/tcp -

查看一下源码 发现计算的时候请求了一个calc.php 发现过滤了一些特殊字符 直接传num=phpinfo() ,发现请求失败，应该是被防火墙过滤掉 利用php的解析特性，绕过防火墙检测。因为php解析GET POST请求的时候会自动过滤掉空格，而防火墙不会。如： num=phpinfo() %20num=phpinfo() 在php解析的时候就是一个东西，防火墙则会当成两个变量 成功绕过，利用scandir("/")读出目录，不过由于“/”被过滤掉了我们chr（47）代替，于是有 % 20 num = var_dump ( scandir ( chr ( 47 ) ) ) 发现有个flagg文件,构造payload读取文件 payload % 20 num = var_dump ( file_get_contents ( chr ( 47 ) . chr ( 102 ) . chr ( 49 ) . chr ( 97 ) . chr ( 103 ) . chr ( 103 ) ) ) 来源： CSDN 作者： Fstone1 链接： https://blog.csdn.net/qq_42158602/article/details/104040007

http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html 华为防火墙产品线 安全区域 1. 默认防火墙区域 Trust区域，该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。 DMZ区域，该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。 Untrust区域，该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。 特殊区域Local区域：（防火墙上提供了Local区域，代表防火墙本身） 凡是由防火墙主动发出的报文均可认为是从Local区域中发出 凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local区域接收。 也就是说，报文通过接口去往某个网络时，目的安全区域是该接口所在的安全区域；报文通过接口到达防火墙本身时，目的安全区域是Local区域。 2. 安全级别 每个安全区域都有一个唯一的安全级别，用1～100的数字表示，数字越大，则代表该区域内的网络越可信。对于默认的安全区域，它们的安全级别是固定的： Local区域的安全级别是100 Trust区域的安全级别是85 DMZ区域的安全级别是50 Untrust区域的安全级别是5。 inbound/outbound 报文从低级别的安全区域向高级别的安全区域流动时为入方向（Inbound）

一、iptables防火墙 1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # 永久关闭后重启 chkconfig iptables on　　 2、开启80端口 vim /etc/sysconfig/iptables # 加入如下代码 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 保存退出后重启防火墙 service iptables restart 二、firewall防火墙 1、查看firewall服务状态 systemctl status firewalld 出现Active: active (running)切高亮显示则表示是启动状态。 出现 Active: inactive (dead)灰色表示停止，看单词也行。 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 # 开启 service firewalld start #

一、系统远程桌面设置 　　win7右键我的电脑-属性，在弹出对话框里，系统属性-远程：只有"远程协助"标签，没有"远程桌面"标签。家庭版本的win7或简易版本的win7都没有这个功能。 　　家庭基础版win7的远程控制没有远程桌面的选项。家庭基础版是不能被远程的，只能远程别的电脑，只能换系统。 　　但无法使用远程桌面连接来连接到运行 Windows 7 简易版、Windows 7 家庭普通版或 Windows 7 家庭高级版的计算机上。但这些系统可以使用远程桌面连接到运行 Windows 7 专业版、Windows 7 旗舰版或 Windows 7 企业版的计算机上。　　 　　win7旗舰版电脑本地的用户和远程桌面连接同时运行是有冲突的.难道服务器操作系统是可以的? 　　windows 远程终端服务是单用户的，也就是说通过远程登录到服务器时，服务器本地将黑屏。如何做到不管用本地登录还是远程登录，同一时刻容许多个用户操作服务器计算机 　　win7远程桌面连接怎么实现多用户登录(已验证!) 　　1、首先到网上去百度下载“补丁UniversalTermsrvPatch”，这个补丁主要目的是在于去除“单用户登陆的限制”，允许多人多用户同时并行访问登录;(主要是破解termsrv.dll) 　　2、然后根据自己的系统运行对应的程序： 　　系统是32位，则运行

# 1.看防火墙：service iptables status 2.在Linux下输入：/etc/init.d/iptables stop关闭防火墙 3.输入 service iptables start打开防火墙 4.输入命令：ps –e|grep ssh 安装ssh-server后是这个样子滴 5.安装ssh:yum install openssh-server 6.开启ssh-server服务器:service sshd start 7.检查端口开启否？输入命令： ss -lnt 下图为开启22端口的情况 再连接 个人情况不同，我的没有权限。 步骤 参考 https://blog.csdn.net/u013067756/article/details/76086835 来源： CSDN 作者： who程序 链接： https://blog.csdn.net/weixin_44489006/article/details/103808771

一．iptables简介 防火墙，其实说白了讲，就是用于实现Linux下访问控制功能的，它分为硬件的或者软件的防火墙两种。无论是在哪个网络中，防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作，这就是防火墙的策略，规则，以达到让它对出入网络的IP、数据进行检测，它的功能十分强大，使用非常灵活，毫不逊色于一些企业级防火墙。 二．Netfilter、table、chains、policy之间的关系。 Netfilter是table的容器，而table（表）是chains（链）的容器，policy（规则）属于chain（链）。 为了方便读者理解，举个例子：如果把Netfilter比作一栋楼，那么他们的关系如下： 三．iptables的工作原理 匹配规则原理图 防火墙规则的执顺序默认是从前到后，遇到匹配规则（不管是deny或者accept）后就不再往下检查，如果遇到不到匹配的规则会继续向下检查直到遇到匹配规则为止，若检查完所有规则还没有匹配就会使用默认规则进行匹配。 iptable表和链的对应关系 防火墙默认使用的是Fileter表，负责过滤本机流入、流出的数据包 INPUT：负责过滤所有目标地址是本机地址的数据包 FORWARD：负责转发流经本机但不进入本机的数据包，起转发的作用 OUTPUT：处理所有从本机发出去的数据包。 PROWARD

安装zookeeper-3.3.2的时候，启动正常没报错，但zkServer.sh status查看状态的时候却出现错误，如下： JMX enabled by default Using config: /hadoop/zookeeper/bin/../conf/zoo.cfg Error contacting service. It is probably not running. jps查看进程,却发现进程已启动 7313 QuorumPeerMain 在网上查阅资料一共有三种解决方法： 1,打开zkServer.sh 找到status) STAT=`echo stat | nc localhost $(grep clientPort "$ZOOCFG" | sed -e 's/.*=//') 2> /dev/null| grep Mode` 在nc与localhost之间加上 -q 1 （是数字1而不是字母l） 如果已存在则去掉 注:因为我用的zookeeper是3.4.5版本，所以在我的zkServer.sh脚本文件里根本没有这一行,所以没有生效 2,调用sh zkServer.sh status 遇到这个问题。百度，google了后发现有人是修改sh脚本里的一个nc的参数来解决，可在3.4.5的sh文件里并没有找到nc的调用。配置文档里指定的log目录没有创建导致出错

1． 主机名配置 hostname 查看主机名 hostname xxx 修改主机名 重启后无效 如果想要永久生效，可以修改/etc/sysconfig/network文件 2． IP地址配置 ifconfig 查看(修改)ip地址(重启后无效) ifconfig eth0 192.168.12.22 修改ip地址 如果想要永久生效 修改 /etc/sysconfig/network-scripts/ifcfg-eth0文件 DEVICE=eth0 #网卡名称 BOOTPROTO=static #获取ip的方式(static/dhcp/bootp/none) HWADDR=00:0C:29:B5:B2:69 #MAC地址 IPADDR=12.168.177.129 #IP地址 NETMASK=255.255.255.0 #子网掩码 NETWORK=192.168.177.0 #网络地址 BROADCAST=192.168.0.255 #广播地址 NBOOT=yes # 系统启动时是否设置此网络接口，设置为yes时，系统启动时激活此设备。 3． 域名映射 /etc/hosts文件用于在通过主机名进行访问时做ip地址解析之用,相当于windows系统的C:\Windows\System32\drivers\etc\hosts文件的功能 4． 网络服务管理 service network

https://blog.csdn.net/xiaoxuetu_/article/details/77098028 来源： CSDN 作者： 世界需要爱和和平 链接： https://blog.csdn.net/weixin_41836744/article/details/103841701