uzverss: (Default)
uzverss ([personal profile] uzverss) wrote2018-10-02 08:38 pm
  • Add Memory
  • Share This Entry
Entry tags:

установка dokuwiki centos php nginx часть 2




установка dokuwiki centos php nginx часть 1

посмотреть часть 2

Настройка брадмаузера



https://www.certdepot.net/rhel7-get-started-firewalld/
https://www.8host.com/blog/nastrojka-brandmauera-firewalld-v-centos-7/
https://itproffi.ru/firewalld-ustanovka-i-nastrojka-zony-nat-probros-portov/
Настройка firewalld CentOS 7 с примерами команд
Использование ipset во встроенном брандмауэре CentOS 7

краткий рабочий пример
vpn pptp centos7
установка sams2 centos

firewall-cmd --state
firewall-cmd --get-default-zone
firewall-cmd --get-active-zones
firewall-cmd --list-all
firewall-cmd --get-zones
firewall-cmd --get-services

firewall-cmd --zone=public --list-ports
firewall-cmd --zone=public --list-services

firewall-cmd --zone=external --list-ports
firewall-cmd --zone=external --list-services

firewall-cmd --zone=external --change-interface=enp3s0 --permanent
firewall-cmd --zone=external --remove-service=ssh --permanent
firewall-cmd --get-active-zones

firewall-cmd --zone=public --remove-port=443/tcp --permanent
firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --zone=public --remove-port=22/tcp --permanent
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent

firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent
firewall-cmd --zone=public --add-port=3128/tcp --permanent

firewall-cmd --reload

firewall-cmd --zone=external --list-services
firewall-cmd --list-all
systemctl restart firewalld
sudo systemctl enable firewalld

http://fliplinux.com/ip-cen.html
«белый список»
firewall-cmd --permanent --zone=public --add-source=192.168.100.0/24
firewall-cmd --permanent --zone=public --add-source=192.168.222.123/32


firewall-cmd --permanent --new-ipset=IP-users --type=hash:net
firewall-cmd --ipset=IP-servers --add-entry=192.168.0.0/24 --permanent
firewall-cmd --ipset=IP-servers --add-entry=192.168.200.12 --permanent
firewall-cmd --ipset=IP-servers --add-entry=192.168.200.200 --permanent

firewall-cmd --ipset=IP-servers --remove-entry=192.168.20.0/24 --permanent

firewall-cmd --ipset=IP-servers --get-entries
firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset="IP-servers" service name="ssh" accept'

firewall-cmd --remove-rich-rule='rule source ipset=IP-users service name="http" drop' --permanent

firewall-cmd --permanent --zone=public --list-rich-rules

чтобы все пользователи (список ipset IP-users) ходили через squid несмотря на net.ipv4.ip_forward=1
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o enp1s0 -m set --match-set IP-servers src -j ACCEPT
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp1s0 -o enp3s0 -m set --match-set IP-servers src -j ACCEPT

firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o enp1s0 -j DROP
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp1s0 -o enp3s0 -j DROP

открыть Google Play
firewall-cmd --zone=public --add-port=5228/tcp --permanent
firewall-cmd --zone=external --add-port=5228/tcp --permanent

firewall-cmd --reload
systemctl restart firewalld

iptables -S

углубиться в firewall-cmd
http://notes-unix.blogspot.com/2015/06/firewalld.html
Использование firewall-cmd:
... получение списка всех поддерживаемых зон:
# firewall-cmd --get-zones
... получение активных зон
# firewall-cmd --get-active-zones
... задание зоны по умолчанию
# firewall-cmd --set-default-zone=
... добавление интерфейса в зону
# firewall-cmd [--zone=] --add-interface=
... удаление интерфейса из зоны
# firewall-cmd [--zone=] --remove-interface=
... сделать запрос, относится ли интерфейс к зоне
# firewall-cmd [--zone=] --query-interface=
... включение "режима паники", блокирующего весь сетевой трафик
# firewall-cmd --enable-panic
... Отключение "режима паники"
# firewall-cmd --disable-panic

Включение службы/маскарадинга/блока на постоянно:

Эти опции доступны только после перезагрузки или перезапуска. Для того чтобы иметь опции, изменяемые в среде выполнения, и постоянные опции, необходимо обеспечить оба варианта.
Опция --permanent должна быть первой для всех постоянных вызовов
... Пример: включение службы http в зоне public на постоянно
# firewall-cmd --permanent --zone=public --add-service=http
... Пример: Включение порта 443/TCP для https в пределах зоны home на постоянно:
# firewall-cmd --permanent --zone=home --add-port=443/tcp

Включение/Отключение службы в пределах зоны:
... получение списка всех поддерживаемых служб
# firewall-cmd --get-services
... включение службы в пределах зоны
# firewall-cmd [--zone=] --add-service=
... отключение службы для зоны
# firewall-cmd [--zone=] --remove-service=
... сделать запрос, включена ли служба в пределах зоны
# firewall-cmd [--zone=] --query-service=
... включение службы в пределах зоны на постоянно
# firewall-cmd --permanent [--zone=] --add-service=
Включение/Отключения маскарадинга:
... включение маскарадинга в пределах зоны
# firewall-cmd [--zone=] --add-masquerade
... отключение маскарадинга для зоны
# firewall-cmd [--zone=] --remove-masquerade
Включение/Отключения блока ICMP:
... включение блока ICMP в пределах зоны:
# firewall-cmd [--zone=] --add-icmp-block=
... отключение блока ICMP для зоны:
# firewall-cmd [--zone=] --remove-icmp-block=
Включение/Отключение перенаправления или переназначения портов:
... включение перенаправления или переназначения портов в пределах зоны
# firewall-cmd [--zone=] --add-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
| :toport=[-]:toaddr=
}
... отключение перенаправления или переназначения портов для зоны
# firewall-cmd [--zone=] --remove-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
| :toport=[-]:toaddr=
}

... Пример: Перенаправление ssh на узел 127.0.0.2 в пределах зоны home:
# firewall-cmd --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2
Запуск/Останов/Перезапуск службы firewalld:
# systemctl stop/start/restart firewalld.service
Если хотите использовать собственные правила статического брандмауэра совместно со службами iptables и ip6tables, установите iptables-services, отключите FirewallD, а также включите iptables и ip6tables:
# yum install iptables-services
# systemctl mask firewalld.service
# systemctl enable iptables.service
# systemctl enable ip6tables.service
Для задействования своих правил статического межсетевого экрана используйте /etc/sysconfig/iptables и /etc/sysconfig/ip6tables.

проверить какие порты открыты:
netstat -nlp
netstat -anp | grep 8080
nmap -sT -O localhost
lsof -i | grep 8080

iptables -L -v -n
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

сохранить:
/usr/libexec/iptables/iptables.init save

Стандартные зоны FirewallD:

Drop - неизменяемая зона
Все входящие сетевые пакеты сбрасываются, ответ на них недопустим. Возможны только исходящие сетевые соединения.
Block - неизменяемая зона
Все входящие сетевые соединения отклоняются с сообщениями icmp-host-prohibited (для IPv4) и
icmp6-adm-prohibited (для IPv6). Возможны только инициированные в рамках данной системы сетевые соединения.
Trusted - неизменяемая зона
Разрешены все сетевые соединения.
Public
Разрешены лишь отдельные входящие соединения. Остальные компьютеры сети считаются ненадёжными.
Предназначено для использования в общественных местах.
External
Разрешены лишь отдельные входящие соединения. Остальные компьютеры сети считаются ненадёжными. Предназначено для использования во "внешних" сетях с активированным режимом маскарадинга, особенно с применением роутеров.
DMZ
Разрешены лишь отдельные входящие соединения.Предназначено для компьютеров в личной "безоружной" зоне с ограниченным общественным доступом к внутренней сети.
Work
Разрешены лишь отдельные входящие соединения. Остальные компьютеры сети, по большей части, считаются надёжными.
Предназначено для использования в рабочем пространстве.
Home
Разрешены лишь отдельные входящие соединения. Остальные компьютеры сети, по большей части, считаются надёжными. Предназначено для использования в домашних сетях.
Internal
Предназначено для использования во "внутренних" сетях. Остальные компьютеры сети, по большей части, считаются надёжными. Разрешены лишь отдельные входящие соединения.


http://linux-notes.org/udalit-iptables-pravilo/

iptables -L your_chain_name -n -v
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -D INPUT номер_строки

очистить все правила iptables
iptables -F
iptables -X


# iptables -L INPUT --line-numbers
# iptables -L INPUT -n --line-numbers | less
# iptables -L INPUT -n --line-numbers | grep 172.16.0.101

посмотреть правила
iptables -S

проверка открытых портов
netstat -ltup; netstat -lntup; netstat -lntupc
ss -lntu; ss -lntup
nmap -n -Pn -sS -sU -p- localhost
lsof -i; lsof -i :80
  • Add Memory
  • Share This Entry
(0 comments)

Post a comment in response:

This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.