first commit

防火墙/centos7使用Firewalld-基本.txt

@@ -0,0 +1,68 @@
+1、firewalld的基本使用
+启动： systemctl start firewalld
+查看状态： systemctl status firewalld 
+禁用： systemctl disable firewalld
+停止： systemctl stop firewalld
+
+
+2.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。
+启动一个服务：systemctl start firewalld.service
+关闭一个服务：systemctl stop firewalld.service
+重启一个服务：systemctl restart firewalld.service
+显示一个服务的状态：systemctl status firewalld.service
+在开机时启用一个服务：systemctl enable firewalld.service
+在开机时禁用一个服务：systemctl disable firewalld.service
+查看服务是否开机启动：systemctl is-enabled firewalld.service
+查看已启动的服务列表：systemctl list-unit-files|grep enabled
+查看启动失败的服务列表：systemctl --failed
+
+3.配置firewalld-cmd
+
+查看版本： firewall-cmd --version
+查看帮助： firewall-cmd --help
+显示状态： firewall-cmd --state
+查看所有打开的端口： firewall-cmd --zone=public --list-ports
+更新防火墙规则： firewall-cmd --reload
+查看区域信息:  firewall-cmd --get-active-zones
+查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
+拒绝所有包：firewall-cmd --panic-on
+取消拒绝状态： firewall-cmd --panic-off
+查看是否拒绝： firewall-cmd --query-panic
+ 
+那怎么开启一个端口呢
+添加
+firewall-cmd --zone=public --add-port=80/tcp --permanent    （--permanent永久生效，没有此参数重启后失效）
+firewall-cmd --zone=public --query-port=80/tcp
+firewall-cmd --zone=public --query-port=8080/tcp
+firewall-cmd --zone=public --query-port=3306/tcp
+firewall-cmd --zone=public --add-port=8080/tcp --permanent
+firewall-cmd --zone=public --add-port=3306/tcp --permanent
+firewall-cmd --zone=public --query-port=3306/tcp
+firewall-cmd --zone=public --query-port=8080/tcp
+firewall-cmd --reload  # 重新加载后才能生效
+firewall-cmd --zone=public --query-port=3306/tcp
+firewall-cmd --zone=public --query-port=8080/tcp
+4.参数解释
+–add-service #添加的服务
+–zone #作用域
+–add-port=80/tcp #添加端口，格式为：端口/通讯协议
+–permanent #永久生效，没有此参数重启后失效
+
+查看
+firewall-cmd --zone=public --query-port=80/tcp
+删除
+firewall-cmd --zone=public --remove-port=80/tcp --permanent
+
+5.详细使用
+firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept'    //设置某个ip访问某个服务
+firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept' //删除配置
+firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'     //设置某个ip访问某个端口
+firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'     //删除配置
+
+firewall-cmd --query-masquerade  # 检查是否允许伪装IP
+firewall-cmd --add-masquerade    # 允许防火墙伪装IP
+firewall-cmd --remove-masquerade # 禁止防火墙伪装IP
+
+firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
+firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
+firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口

防火墙/centos7使用firewalld-高级.txt

@@ -0,0 +1,76 @@
+CentOS 7 firewall防火墙屏蔽除指定IP外的所有IP
+允许192.168.1.10所有访问所有端口
+
+firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" accept' --permanent
+移除192.168.1.10所有访问所有端口
+
+firewall-cmd --zone=public --remove-rich-rule 'rule family="ipv4" source address="192.168.1.10" accept' --permanent
+
+允许192.168.2.0/24(0-255)所有访问所有端口
+
+firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.2.0/24" accept' --permanent
+
+允许192.168.1.10所有访问TCP协议的22端口
+
+firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject' --permanent
+
+移除192.168.1.10所有访问TCP协议的22端口
+
+firewall-cmd --zone=public --remove-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject' --permanent
+
+1：对特定ip 禁止访问shh服务 （ip shh可以自己改别的 最后面的reject是禁止的意思也可以换成允许的英文，）
+firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
+2：下面的是对特定ip允许访问8080端口（你也可以自己改）
+firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"
+
+
+防火墙重新载入(必须重新载入后才能生效)
+
+firewall-cmd --reload
+
+查看rich-rules（富规则)
+
+firewall-cmd --list-rich-rules
+查看防火墙服务规则
+
+firewall-cmd --list-services
+查看 防火墙所有规则
+
+firewall-cmd --list-all
+查看防火墙所有区域的配置规则
+
+firewall-cmd --list-all-zones
+查看默认区域
+
+firewall-cmd --get-default-zone
+查看网络接口使用区域
+
+firewall-cmd --get-active-zones
+查看默认的可用服务
+
+firewall-cmd --get-services
+要启用或禁用HTTP服务
+
+firewall-cmd --zone=public --add-service=http --permanent
+firewall-cmd --zone=public --remove-service=http --permanent 
+
+提示
+可以根据自己的需求更改设置
+accept 允许
+reject 拒绝 drop 拒绝
+
+--add-rich-rule 添加设置
+--remove-rich-rule 移除设置
+--permanent 永久生效, 需要重新载入后生效
+
+其他参考
+
+firewall-cmd --list-all-zones    #查看所有的zone信息
+firewall-cmd --get-default-zone     #查看默认zone是哪一个
+firewall-cmd --zone=internal --change-zone=p3p1  #临时修改接口p3p1所属的zone为internal
+firewall-cmd --add-service=http    #暂时开放http
+firewall-cmd --permanent --add-service=http  #永久开放http
+firewall-cmd --zone=public --add-port=80/tcp --permanent  #在public中永久开放80端口
+firewall-cmd --permanent --zone=public --remove-service=ssh   #从public zone中移除服务
+firewall-cmd --reload   #重新加载配置
+systemctl restart firewalld    #重启firewalld服务，使配置生效/可查

防火墙/curl只打印状态信息.txt

@@ -0,0 +1,33 @@
+curl -I -m 10 -o /dev/null -s -w %{http_code} www.baidu.com
+
+-I 仅测试HTTP头
+-m 10 最多查询10s
+-o /dev/null 屏蔽原有输出信息
+-s silent 模式，不输出任何东西
+-w %{http_code} 控制额外输出
+
+
+常用参数：
+-v/--verbose 小写的v参数，用于打印更多信息，包括发送的请求信息，这在调试脚本是特别有用。
+
+-m/--max-time <seconds> 指定处理的最大时长
+
+-H/--header <header> 指定请求头参数
+
+-s/--slient 减少输出的信息，比如进度
+
+--connect-timeout <seconds> 指定尝试连接的最大时长
+
+-x/--proxy <proxyhost[:port]> 指定代理服务器地址和端口，端口默认为1080
+
+-T/--upload-file <file> 指定上传文件路径
+
+-o/--output <file> 指定输出文件名称
+
+-d/--data/--data-ascii <data> 指定POST的内容
+
+--retry <num> 指定重试次数
+
+-e/--referer <URL> 指定引用地址
+
+-I/--head 仅返回头部信息，使用HEAD请求