服务及进程介绍及使用
一、 Firewalld服务
1. 简介
| 区域 | 默认规则策略 |
|---|---|
| trusted | 允许所有的数据包。 |
| home | 拒绝流入的数据包,除非与输出流量数据包相关或是ssh,mdns,ipp-client,samba-client与dhcpv6-client服务则允许。 |
| internal | 等同于home区域 |
| work | 拒绝流入的数据包,除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。 |
| public | 拒绝流入的数据包,除非与输出流量数据包相关或是ssh,dhcpv6-client服务则允许。 |
| external | 拒绝流入的数据包,除非与输出流量数据包相关或是ssh服务则允许。 |
| dmz | 拒绝流入的数据包,除非与输出流量数据包相关或是ssh服务则允许。 |
| block | 拒绝流入的数据包,除非与输出流量数据包相关。 |
| drop | 拒绝流入的数据包,除非与输出流量数据包相关。 |
查看防火墙状态
停止firewall
开启
禁止firewall开机启动
配置文件
2. 终端管理工具
命令行终端是一种极富效率的工作方式,firewall-cmd命令是Firewalld动态防火墙管理器服务的命令行终端。它的参数一般都是以“长格式”来执行的,但同学们也不用太过于担心,因为红帽RHEL7系统非常酷的支持了部分命令的参数补齐,也正好包括了这条命令,也就是说现在除了能够用Tab键来补齐命令或文件名等等内容,还可以用Tab键来补齐下列长格式参数啦(这点特别的棒)。
| 参数 | 作用 |
|---|---|
| –get-default-zone | 查询默认的区域名称。 |
| –set-default-zone= | 设置默认的区域,永久生效。 |
| –get-zones | 显示可用的区域。 |
| –get-services | 显示预先定义的服务。 |
| –get-active-zones | 显示当前正在使用的区域与 卡名称。 |
| –add-source= | |
| –remove-source= | 不再将此IP或子 的流量导向某个指定区域。 |
| –add-interface= | 将来自于该 卡的所有流量都导向某个指定区域。 |
| –change-interface= | 将某个 卡与区域做关联。 |
| –list-all | 显示当前区域的 卡配置参数,资源,端口以及服务等信息。 |
| –list-all-zones | 显示所有区域的 卡配置参数,资源,端口以及服务等信息。 |
| –add-service= | 设置默认区域允许该服务的流量。 |
| –add-port= | 允许默认区域允许该端口的流量。 |
| –remove-service= | 设置默认区域不再允许该服务的流量。 |
| –remove-port= | 允许默认区域不再允许该端口的流量。 |
| –reload | 让“永久生效”的配置规则立即生效,覆盖当前的。 |
查看Firewalld服务当前所使用的zone区域:
查询eno16777728 卡在Firewalld服务中的zone区域:
把Firewalld防火墙服务中eno16777728 卡的默认区域修改为external,重启后再生效:
把Firewalld防火墙服务的当前默认zone区域设置为public:
启动/关闭Firewalld防火墙服务的应急状况模式,阻断一切 络连接(当远程控制服务器时请慎用。):
查询在public区域中的ssh与https服务请求流量是否被允许:
把Firewalld防火墙服务中https服务的请求流量设置为永久允许,并当前立即生效:
把Firewalld防火墙服务中http服务的请求流量设置为永久拒绝,并当前立即生效:
把Firewalld防火墙服务中8080和8081的请求流量允许放行,但仅限当前生效:
把原本访问本机888端口 的请求流量转发到22端口 ,要求当前和长期均有效:
流量转发命令格式:firewall-cmd –permanent –zone= –add-forward-port=port=:proto=:toport=:toaddr=
在客 户机使用ssh命令尝试访问192.168.10.10主机的888端口:
在Firewalld防火墙服务中配置一条富规则,拒绝所有来自于192.168.10.0/24 段的用户访问本机ssh服务(22端口):
在客户机使用ssh命令尝试访问192.168.10.10主机的ssh服务(22端口):
3. 富规则
3.1 简介
3.2 富规则语法解释
二、 DNS服务
1. DNS 概述
DNS是互联 的一个基础服务。
? 我们知道用户在与互联 上的主机通信时,必须 知道对方的 IP 地址。但是每个 IP 地址都是由 32 位的二进制组成,即使是十进制的 IP 地址表示形式,用户想要记住也是很难的一件事,况且互联 有那么多的主机。
? 域名到 IP 地址的解析是通过许多分布在互联 上的域名服务器完成的。解析的主要过程如下:当一个主机中的进程需要把域名解析为 IP 地址时,该进程就会调用解析程序,并成为DNS的一个客户,把待解析的域名放在 DNS 的请求 中,以UDP用户数据 方式发送给本地域名服务器。本地域名服务器在查找域名后,把对应的IP地址放在回答 文中返回。获得IP地址后的主机即可进行通信。
2. DNS系统结构
- DNS是一个层次结构的分布式的数据库,如下所示:
3. 分类
-
域名服务器有以下四种类型
- 根域名服务器
- 顶级域名服务器
- 权限域名服务器
- 本地域名服务器
4. 顶级域名及详解
| 域名 | 含义 |
|---|---|
| com | 商业机构 |
| net | 络服务机构 |
| org | 非营利性组织、 会团体 |
| gov | 政府机构 |
| edu | 教育机构 |
| mil | 军事机构 |
| cn | 中国 |
| jp | 日本 |
| uk | 英国 |
| us | 美国 |
5. DNS查询过程
递归查询
迭代查询
正向查询
反向查询
6. DNS服务器功能分类
缓存域名服务器
- 也称为高速缓存服务器
- 通过向其他域名服务器查询获得域名 -> IP地址记录
- 将域名查询结果缓存到本地,提高重复查询时的速度
主域名服务器
- 特定 DNS 区域的官方服务器,具有唯一性。
- 负责维护该区域内所有域名 -> IP 地址的映射记录
从域名服务器
- 也称为辅助域名服务器
三、 Samba文件服务器
1. 概述
-
要将Samba配置为作为工作组成员来提供SMB文件共享需执行以下基本步骤:
2. Selinux 上下文及布尔值
-
要在SELinux处于强制模式时候使Samba正确运行,目录需要具有正确的SELinux上下文并且可能需要设置某些SELinux布尔值。如果将仅通过Samba来访问共享目录,则目录及其所有子目录和文件都应以samba_share_t来标记,这将为Samba提供读写访问权限。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!