HQY 一个和谐有爱的空间

https://pan.baidu.com/s/1Efc2dTUsHJ7J7XRlRBItrw#list/path=%2F sy7q https://pan.baidu.com/share/init?surl=P3ftVg3Yw-XD6bOEiGe3_Q cgnt https://pan.baidu.com/share/init?surl=DoVYE1rx2OpHWlVW8cqVOg 99pq https://pan.baidu.com/share/init?surl=tIL_3pBFDhdOZ

一、概念iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。1. 链链是一些按顺序排列的规则的列表。默认情况下，任何链中都没有规则。可以向链中添加自己想用的规则。链的默认规则通常设置为 ACCEPT，如果想确保任何包都不能通过规则集，那么可以重置为 DROP。默认的规则总是在一条链的最后生效，所以在默认规则生效前数据包需要通过所有存在的规则。5种链说明如下：PREROUTING链——对数据包作路由选择前应用此链中

参考地址：https://blog.csdn.net/qq_14940627/article/details/79998931     防火墙没有放行keepalived的vrrp协议。如何放行vrrp：https://www.cnblogs.com/ralphdc/p/7113491.htmlhttps://www.aliyun.com/jiaocheng/137678.html本人最后将selinux和防火墙关闭了之后，keepalived就不存在两个maste

1.相关概念2.iptables相关用法3.NAT（DNAT与SNAT）相关概念防火墙除了软件及硬件的分类，也可对数据封包的取得方式来分类，可分为代理服务器（Proxy）及封包过滤机制（IP Filter）。代理服务是一种网络服务，通常就架设在路由上面，可完整的掌控局域网的对外连接。IP Filter这种方式可以直接分析最底层的封包表头数据来进行过滤，所以包括 MAC地址, IP, TCP, UDP, ICMP 等封包的信息都可以进行过滤分析的功能，用途非常广泛。其实Iptables服务不是真正

直接看iptables的nat表PRETOUTING链的规则就可以了 #iptables -t nat -nL 

iptables防火墙规则导致端口不通的案例分析问题现象：一台服务器的8080端口访问不通，但其他端口正常，例如ssh的22端口，ping也正常。从其他机器上进行telnet连接8080端口测试，显示是下边这个结果。[root@iZ25a9b7bpcZ ~]# telnet xx.xx.xx.xx 8080Trying xx.xx.xx.xx... telnet: connect to address x

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls

介绍　　通过iptables做nat转发实现所有内网服务器上网。操作　　首先开启可以上网的服务器上的内核路由转发功能。这里我们更改/etc/sysctl.conf 配置文件。[root@web1 /]# sed -i  '$a net.ipv4.ip_forward = 1' /etc/sysctl.conf  [root@web1 /]# cat 

CentOS7下Firewall防火墙配置用法详解centos 7中防火墙是一个非常的强大的功能了，但对于centos 7中在防火墙中进行了升级了，下面我们一起来详细的看看关于centos 7中防火墙使用方法。FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-f

Firewalld  ip伪装和端口转发    伪装:此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，常用于路由。由于内核的限制，伪装功能仅可用于IPv4。  # firewall-cmd --permanent --zone=<ZONE> --add-masquerade# firewall-cmd --permanent --zone=<ZONE> --a

Centos7做NAT路由器配置准备三台实验机器：模拟内网：Ubuntu14.04  192.168.104.10模拟外网：Ubuntu14.04  10.20.20.100模拟nat服务器（作为网关）：centos7  192.168.104.2  10.20.20.2 环境：vsphere虚拟化平台 1.配置内网服务器网络（关闭内网服务器防火墙）2.配置外网服务器网络（关闭外网服务器防火墙） 3.配置nat服务器 

  iptables也叫netfilter，是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具，他的功能十分强大，使用也非常灵活，可以对流入、流出、流经服务器的数据包进行精细的控制。但是iptables在CentOS7的版本上已经被阉割掉了，我们需要自行安装，以下是在CentOS7下安装iptables和使用方式。一、安装iptables1.1、查看是否安装成功命令：systemctl status iptables输出结果表示没有iptables的相关服务，我们需要安装1.2

一、禁用/停止自带的firewalld服务    1.停止firewalld服务    systemctl stop firewalld    2.禁用firewalld服务    systemctl mask firewalld二、安装iptable iptable-service    1.先检查是否安装了iptables    service iptables statu

tcp,udp都是网络传输协议，承载数据包传输的。tcp是可靠传输，有3次握手机制保证数据传输的可靠性。如果有丢包，则重新传数据。像FTP文件传送，远程登录，POP3电子邮件，这些都是基于TCP协议的，他们要保证传输的完整性。udp实时性较强，但可靠性不强，有丢包还继续传输，通常想语音，电话，视频是udp传输，偶尔丢几个包不影响通信。icmp是TCP/IP协议簇的一个子协议。不承载数据，不是用来传输用户数据，而是用来传递控制消息的，即：网络通不通、主机是否可达。ping命令就是基于ICMP的。c

在传统的网络结构中，每个子网都有一个网关，子网内的主机通过这个网关进行上网，网关进行地址转换，修改IP报文的源地址等，具体的原理有兴趣的百度一下就知道了。在传统机房内几乎都是有路由器的，而路由器也自带网关的功能，基本用不到自建NAT，但是在如今横行的公有云中，却是有着很大的需求，例如阿里云，阿里云内网中没有公网IP的电脑如何通过有公网IP的电脑进行上网，这就需要NAT网关。其他公有云也类似，这里以阿里云进行举例：在阿里云的传统网络中，是不支持自建NAT网关，配置SNAT的。只有在专有网络VPC中

官方文档RHELFIREWALLDFirewalld概述动态防火墙管理工具定义区域与接口安全等级运行时和永久配置项分离两层结构 核心层 处理配置和后端，如iptables、ip6tables、ebtables、ipset和模块加载器顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具原理图 Firewalld与iptables对比firewalld 是 iptables 的前端控制器iptables 静态防火墙 任一策略变更需要rel

firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。firewalld的配置模式firewalld的配置文件以xml格式为主（主配置文件firewalld.conf例外），他们有两个存储位置1、/etc/firewalld/ 用户配置文件2、/

例1：对外暴露1234端口firewall-cmd --permanent --add-port=1234/tcp1例2：使mysql服务的3306端口只允许192.168.1.0/24网段的服务器能访问#添加富规则firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp&

在 CentOS 7 中，引入了一个新的服务，Firewalld，下面一张图，让大家明确的了解 Firewall 与 iptables 之间的关系与区别。安装它，只需yum install firewalld如果需要图形界面的话，则再安装yum install firewall-config一、介绍防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-c

一、firewalld 守护进程firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。当我们修改了某些配置之后（尤其是配置文件的修改），firewall并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式，前一种是重启fir