《Linux系統(tǒng)管理與服務(wù)配置（CentOS 8）》 課件 工單25-27 CentOS8郵箱服務(wù)器配置、防火墻配置規(guī)則、防火墻應(yīng)用

Linux系統(tǒng)管理與服務(wù)配置(CentOS

8)

25CentOS8配置郵箱服務(wù)器

工單二十五CentOS8配置郵箱服務(wù)器

完成標(biāo)準(zhǔn)/要求前置能力質(zhì)量要求熟悉CentOS8基本命令，Centos8網(wǎng)路配置1、安裝郵件服務(wù)器Postfix2、安裝與配置收信服務(wù)器Dovecot1、能安裝郵件服務(wù)器Postfix2、能安裝與配置收信服務(wù)器Dovecot工單二十五CentOS8配置郵箱服務(wù)器

知識(shí)引入CentOS8兩種配置網(wǎng)絡(luò)連接方式：01電子郵件服務(wù)簡(jiǎn)介電子郵件服務(wù)的工作原理03電子郵件服務(wù)的工作原理02MTA和SMTP工單二十五CentOS8配置郵箱服務(wù)器

知識(shí)引入01電子郵件服務(wù)簡(jiǎn)介

電子郵件（E-mail，又稱電子函件、電郵或郵件）是指通過(guò)互聯(lián)網(wǎng)進(jìn)行書(shū)寫(xiě)、發(fā)送和接收信件，目的是達(dá)成發(fā)信人和收信人之間的信息交互，它是—種用電子手段提供信息交換的通信方式，是Internet最基本、應(yīng)用最廣、最重要的服務(wù)之一。工單二十五CentOS8配置郵箱服務(wù)器

知識(shí)引入01電子郵件服務(wù)的工作原理工單二十五CentOS8配置郵箱服務(wù)器

知識(shí)引入02MTA

MTA（MailTransferAgent）即郵件傳輸代理，在Linux主機(jī)上可以配置一個(gè)郵件傳輸代理，進(jìn)行電子郵件的傳送。MTA的主要功能是接收用戶或者其他MTA發(fā)送的郵件，如果接受的郵件是發(fā)送給本地用戶的，MTA將郵件保存到Mailbox（收件箱）中，否則MTA將郵件轉(zhuǎn)發(fā)給其他郵件服務(wù)器。工單二十五CentOS8配置郵箱服務(wù)器

知識(shí)引入02

SMTP

簡(jiǎn)單郵件傳輸協(xié)議（SimpleMailTransferProtocol，SMTP）是互聯(lián)網(wǎng)上郵件傳輸?shù)臉?biāo)準(zhǔn)協(xié)議，是一種用于由源地址到目的地址傳送郵件的規(guī)則，用它來(lái)控制郵件的傳輸方式。SMTP協(xié)議使用TCP端口25，屬于TCP/IP協(xié)議族，它幫助每臺(tái)計(jì)算機(jī)在發(fā)送或中轉(zhuǎn)信件時(shí)找到下一個(gè)目的地。通過(guò)SMTP協(xié)議所指定的服務(wù)器，就可以把E－mail寄到收信人的服務(wù)器上了，整個(gè)過(guò)程只要幾分鐘。SMTP服務(wù)器則是遵循SMTP協(xié)議的發(fā)送郵件服務(wù)器，用來(lái)發(fā)送或中轉(zhuǎn)發(fā)出的電子郵件。工單二十五CentOS8配置郵箱服務(wù)器

知識(shí)引入03主流電子郵件服務(wù)器軟件

電子郵件服務(wù)器軟件有很多，在Linux系統(tǒng)下最常用的有Sendmail、Postfix和Qmail。工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)一安裝郵件服務(wù)器Postfix

操作步驟步驟一步驟二步驟三步驟四安裝并啟動(dòng)Postfix配置Postfix設(shè)置Postfix防火墻驗(yàn)證安裝郵件服務(wù)器Postfix工單二十五CentOS8配置郵箱服務(wù)器任務(wù)一安裝郵件服務(wù)器Postfix

知識(shí)引入01安裝并啟動(dòng)Postfix命令行環(huán)境

#yumlistpostfix

工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)一安裝郵件服務(wù)器Postfix

知識(shí)引入02配置Postfix命令行環(huán)境

Postfix的主要配置文件在/etc/postfix目錄下有main.cf、master.cf和access這幾個(gè)配置文件：#vim/etc/postfix/main.cfmyhostname=#myhostname參數(shù)是指系統(tǒng)的主機(jī)名稱，此參數(shù)需要使用FQDN，并且會(huì)被很多后續(xù)參數(shù)引用?，F(xiàn)在的ISP郵件服務(wù)器一般會(huì)對(duì)接收的郵件進(jìn)行域名反向解析，因此必須配置DNS合法的A記錄及MX記錄：mydomain=#mydomain參數(shù)是指email服務(wù)器的域名，和myhostname參數(shù)類似，必須是正式域名工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)一安裝郵件服務(wù)器Postfix

知識(shí)引入02配置Postfix命令行環(huán)境myorigin=$mydomainmynetworks=/24,/8,hash:/etc/postfix/accessmydestination=$myhostname,localhost.$mydomain,localhost工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)一安裝郵件服務(wù)器Postfix

知識(shí)引入02配置Postfix命令行環(huán)境inet_interfaces=allrelay_domains=$mydestinationhome_mailbox=Maildir/alias_maps=hash:/etc/aliases工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)一安裝郵件服務(wù)器Postfix

知識(shí)引入03設(shè)置Postfix防火墻命令行環(huán)境如果Postfix安裝完成后，系統(tǒng)25端口仍然不能通信，則需要檢查郵件服務(wù)器防火墻設(shè)置，可通過(guò)添加如下iptables命令打開(kāi)系統(tǒng)的25端口，其中$EXTIF表示外網(wǎng)網(wǎng)卡接口。iptables-AINPUT-pTCP-i$EXTIF--dport25--sport1024:65534-jACCEPT因?yàn)橐呀?jīng)設(shè)置inet_interfaces=all，可以通過(guò)查看監(jiān)聽(tīng)端口是否向所有主機(jī)開(kāi)放。#netstat-tlnp|grep:25tcp00:25:*LISTEN-如果返回以上結(jié)果，則配置已經(jīng)修改成功。工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)一安裝郵件服務(wù)器Postfix

知識(shí)引入04驗(yàn)證命令行環(huán)境#cat/var/spool/mail/wjFromroot@SunJan621:50:592013Return-Path:<root@>X-Original-To:wjDelivered-To:wj@Fromroot@MonApr1802:50:462022Return-Path:<root@>X-Original-To:wjDelivered-To:wj@Received:frommail(localhost[]) by(Postfix)withESMTPid31EA13264C26 for<wj>;Mon,18Apr202202:50:03+0800(CST)Message-Id:<20220417185016.31EA13264C26@>Date:Mon,18Apr202202:50:03+0800(CST)From:root@Thisisatestmailfromroot!

郵件已經(jīng)發(fā)送成功，如果沒(méi)有修改main.cf文件中的home_mailbox參數(shù)的話郵件保存在/var/spool/mail/wj文件中，可以通過(guò)cat或者more命令查看郵件內(nèi)容。工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)二安裝與配置收信服務(wù)器Dovecot

操作步驟步驟一步驟二步驟三安裝Dovecot

配置Dovecot驗(yàn)證

安裝與配置收信服務(wù)器Dovecot工單二十五CentOS8配置郵箱服務(wù)器任務(wù)二安裝與配置收信服務(wù)器Dovecot

知識(shí)引入02安裝Dovecot

命令行環(huán)境通過(guò)yum命令安裝Dovecot。#yum-yinstalldovecot工單二十五CentOS8配置郵箱服務(wù)器任務(wù)二安裝與配置收信服務(wù)器Dovecot

知識(shí)引入02配置Dovecot

命令行環(huán)境#vim/etc/dovecot/dovecot.confprotocols=imappop3#打開(kāi)IMAP和POP3協(xié)議

#

vim/etc/dovecot/conf.d/10-ssl.confssl=no#關(guān)閉ssl啟動(dòng)Dovecot服務(wù)并且設(shè)置為開(kāi)機(jī)啟動(dòng)：

#servicedovecotstart#chkconfigdovecoton工單二十五CentOS8配置郵箱服務(wù)器任務(wù)二安裝與配置收信服務(wù)器Dovecot

知識(shí)引入02驗(yàn)證

命令行環(huán)境查看POP3以及IMAP端口是否已經(jīng)打開(kāi)。#netstat-tlnp|grepdovecottcp00:587:*LISTEN7757/dovecottcp00:110:*LISTEN7757/dovecottcp00:143:*LISTEN7757/dovecottcp600:::587:::*LISTEN7757/dovecottcp600:::110:::*LISTEN7757/dovecottcp600:::143:::*LISTEN7757/dovecot如果Dovecot安裝完成后，系統(tǒng)防火墻還需要打開(kāi)POP3的110端口以及IMAP的143端口，可通過(guò)添加如下iptables命令打開(kāi)系統(tǒng)的兩個(gè)端口，其中$EXTIF表示郵件服務(wù)器網(wǎng)卡接口。iptables-AINPUT-pTCP-i$EXTIF--dport110--sport1024:65534-jACCEPTiptables-AINPUT-pTCP-i$EXTIF--dport143--sport1024:65534-jACCEPT工單二十五CentOS8配置郵箱服務(wù)器

任務(wù)三設(shè)置電子郵件客戶端MozillaThunderbird

操作步驟步驟一步驟二步驟三步驟四

步驟五添加郵件賬號(hào)。設(shè)置郵件服務(wù)類型加密警告。設(shè)置完成。設(shè)置電子郵件客戶端MozillaThunderbird驗(yàn)證工單二十五CentOS8配置郵箱服務(wù)器任務(wù)三設(shè)置電子郵件客戶端MozillaThunderbird

知識(shí)引入03添加郵件賬號(hào)啟動(dòng)Thunderbird軟件，選擇“賬號(hào)操作”→“添加郵件賬號(hào)”命令，打開(kāi)“郵件賬號(hào)設(shè)置”對(duì)話框，輸入名字、電子郵件地址和密碼。名字表示收件人可以看到的發(fā)件人的名字，電子郵件地址這里填寫(xiě)企業(yè)郵箱的地址，密碼為郵箱密碼。工單二十五CentOS8配置郵箱服務(wù)器任務(wù)三設(shè)置電子郵件客戶端MozillaThunderbird

知識(shí)引入03設(shè)置郵件服務(wù)類型在設(shè)置“電子郵件地址”和“密碼”后，會(huì)出現(xiàn)電子郵箱服務(wù)IMAP和POP3的選項(xiàng)，這里選擇IMAP工單二十五CentOS8配置郵箱服務(wù)器任務(wù)三設(shè)置電子郵件客戶端MozillaThunderbird

知識(shí)引入03加密警告由于企業(yè)郵箱的當(dāng)前設(shè)置沒(méi)有使用加密手段，Thunderbird會(huì)出現(xiàn)警告提示框，選擇“我已了解相關(guān)風(fēng)險(xiǎn)”復(fù)選框，單擊“完成”按鈕工單二十五CentOS8配置郵箱服務(wù)器任務(wù)三設(shè)置電子郵件客戶端MozillaThunderbird

知識(shí)引入03設(shè)置完成工單二十五CentOS8配置郵箱服務(wù)器任務(wù)三設(shè)置電子郵件客戶端MozillaThunderbird

知識(shí)引入03驗(yàn)證可以使用企業(yè)郵箱正常的與外網(wǎng)以及自身郵箱收發(fā)郵件工單十三CentOS8配置網(wǎng)絡(luò)連接

實(shí)訓(xùn)目的

（1）熟悉并掌握在Linux平臺(tái)郵件服務(wù)器的安裝與配置。

（2）了解使用郵件客戶端軟件收發(fā)企業(yè)郵件的方法。工單十三CentOS8配置網(wǎng)絡(luò)連接

實(shí)訓(xùn)內(nèi)容1）設(shè)置電子郵件服務(wù)器內(nèi)網(wǎng)接口為eth0，IP地址為，外網(wǎng)接口eth1，IP地址為動(dòng)態(tài)獲取。（2）安裝Postfix軟件，將Postfix服務(wù)設(shè)置為開(kāi)機(jī)啟動(dòng)，配置防火墻，打開(kāi)SMTP對(duì)應(yīng)的25號(hào)端口。（3）配置電子郵件服務(wù)器的相關(guān)的DNS服務(wù)，添加相應(yīng)的的MX記錄和A記錄，設(shè)置本地郵件服務(wù)器域名為，添加系統(tǒng)用戶test。（4）配置Postfix服務(wù)，修改/etc/postfix/main.cf文件，設(shè)置myhostname、mydomain、myorigin、mynetworks、mydestination和inet_interfaces等相關(guān)參數(shù)。（5）重新啟動(dòng)Postfix服務(wù)，查看SMTP的端口25是否打開(kāi)。（6）設(shè)置Postfix郵箱容量，設(shè)置用戶郵箱總?cè)萘繛?GB，單個(gè)郵件容量設(shè)置為50MB。（7）設(shè)置Postfix郵箱別名，將發(fā)給test用戶的郵件讓test和root用戶都可以看到。（8）設(shè)置群郵箱別名，將發(fā)給student2013的郵件發(fā)送到test、zhang、liu、wang、xu五個(gè)賬號(hào)。（9）使用telnet命令以test@賬號(hào)收發(fā)內(nèi)網(wǎng)以及外網(wǎng)郵件。（10）安裝Dovecot服務(wù)，設(shè)置Dovecot服務(wù)開(kāi)機(jī)啟動(dòng)。（11）配置Dovecot服務(wù)，開(kāi)啟POP3和IMAP服務(wù)。（12）設(shè)置主機(jī)防火墻，打開(kāi)POP3和IMAP對(duì)應(yīng)的110和143端口。（13）使用netstat命令查看端口打開(kāi)情況。（14）下載并安裝MozillaThunderbird郵件客戶端軟件。（15）在Thunderbird軟件中添加test@郵件賬號(hào)，設(shè)置賬號(hào)密碼，使用Thunderbird軟件進(jìn)行內(nèi)外網(wǎng)的郵件收發(fā)操作。Linux系統(tǒng)管理與服務(wù)配置(CentOS

8)

26CentOS8防火墻配置規(guī)則

工單二十六CentOS8防火墻配置規(guī)則完成標(biāo)準(zhǔn)/要求前置能力質(zhì)量要求掌握CentOS8的安裝，熟悉CentOS8基本命令，熟悉Linux軟件安裝方法1、了解Linux系統(tǒng)防火墻和firewalld防火墻基本概念2、掌握使用firewall-cmd管理防火墻的規(guī)則掌握f(shuō)irewalld防火墻富規(guī)則管理方法1、配置Linux防火墻參數(shù)2、使用iptables配置防火墻規(guī)則2、使用firewall-cmd配置防火墻規(guī)則工單二十六CentOS8防火墻配置規(guī)

任務(wù)一Linux防火墻簡(jiǎn)介

知識(shí)引入Linux防火墻簡(jiǎn)介：

防火墻是部署在網(wǎng)絡(luò)邊界上的一種安全系統(tǒng)，其概念比較寬泛，根據(jù)需求的不同，它可以工作在開(kāi)放式系統(tǒng)互聯(lián)（OpenSystemInterconnection，OSI）網(wǎng)絡(luò)模型的一層或多層上。一般情況下，防火墻會(huì)和路由器搭配使用，或者說(shuō)路由器能夠承擔(dān)部分防火墻的功能，從而對(duì)網(wǎng)絡(luò)進(jìn)行隔離。

根據(jù)實(shí)現(xiàn)方式和功能的不同，防火墻可以分為3種類型：包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和狀態(tài)檢測(cè)防火墻。不同的防火墻在性能和防護(hù)能力上有各自的特點(diǎn)，適用于不同的場(chǎng)合。防火墻分類如圖工單二十六CentOS8防火墻配置規(guī)

任務(wù)一Linux防火墻簡(jiǎn)介

知識(shí)引入

包過(guò)濾防火墻工作在網(wǎng)絡(luò)層和傳輸層上。在這兩個(gè)層級(jí)中，網(wǎng)絡(luò)請(qǐng)求都是以TCP或者UDP數(shù)據(jù)包的形式進(jìn)行流動(dòng)的。

應(yīng)用網(wǎng)關(guān)防火墻以代理的模式工作在應(yīng)用層。所謂“代理”，即接收客戶端發(fā)出的請(qǐng)求，然后以客戶端的身份將請(qǐng)求再發(fā)往服務(wù)端。大部分的系統(tǒng)和應(yīng)用都是工作在應(yīng)用層的，因此，應(yīng)用網(wǎng)關(guān)防火墻能夠獲取到系統(tǒng)和應(yīng)用的全部信息，從而實(shí)現(xiàn)更復(fù)雜的功能。

狀態(tài)檢測(cè)防火墻是包過(guò)濾防火墻的一種升級(jí)，它同樣工作在網(wǎng)絡(luò)層和傳輸層上。狀態(tài)檢測(cè)防火墻和包過(guò)濾防火墻最大的不同在于，它會(huì)以連接的形式來(lái)“看待”低層級(jí)的TCP和UDP數(shù)據(jù)包。工單二十六CentOS8防火墻配置規(guī)

任務(wù)一Linux防火墻簡(jiǎn)介

知識(shí)引入Linux系統(tǒng)內(nèi)核中還包含nftables，這是一個(gè)新的過(guò)濾器和數(shù)據(jù)包分類子系統(tǒng)，其增強(qiáng)了netfilter的部分代碼，但仍保留了netfilter的架構(gòu)，nftables更新的優(yōu)勢(shì)在于更快的數(shù)據(jù)包處理速度、更快的規(guī)則集更新速度，以及以相同的規(guī)則同時(shí)處理IPv4和IPv6。nftables與原始netfilter之間的另一個(gè)主要區(qū)別是它們的接口。netfilter通過(guò)多個(gè)實(shí)用程序框架進(jìn)行配置，其中包括iptables、ip6tables、arptables和ebtables。工單二十六CentOS8防火墻配置規(guī)

任務(wù)一Linux防火墻簡(jiǎn)介

知識(shí)引入RHEL7引入了一種與netfilter交互的新方法——firewalld。firewalld是一個(gè)可以配置和監(jiān)控系統(tǒng)防火墻規(guī)則的系統(tǒng)守護(hù)進(jìn)程。firewalld守護(hù)進(jìn)程從firewalld軟件包安裝，此軟件包屬于基本安裝的一部分，不屬于最小化安裝的一部分。firewalld將所有網(wǎng)絡(luò)流量分為多個(gè)區(qū)域，從而簡(jiǎn)化防火墻管理。firewalld配置文件存儲(chǔ)在兩個(gè)位置：/etc/firewalld和/usr/lib/firewalld。如果名稱相同的配置文件同時(shí)存儲(chǔ)在兩個(gè)位置，則將使用/etc/firewalld中的版本。firewalld服務(wù)對(duì)防火墻策略的配置默認(rèn)是當(dāng)前生效模式（RunTime），因此配置信息會(huì)隨著計(jì)算機(jī)重啟而失效。如果想要讓配置的策略一直存在，那就要使用永久生效模式（Permanent），即在命令中加入permanent參數(shù)。集更新速度，以及以相同的規(guī)則同時(shí)處理IPv4和IPv6。

工單二十六CentOS8防火墻配置規(guī)

任務(wù)一Linux防火墻簡(jiǎn)介

知識(shí)引入01

通過(guò)將網(wǎng)絡(luò)劃分成不同的區(qū)域，制定出不同區(qū)域之間的訪問(wèn)控制策略來(lái)控制不同程序區(qū)域間傳送的數(shù)據(jù)流。預(yù)定義區(qū)域一、預(yù)定義區(qū)域

系統(tǒng)防火墻初始化區(qū)域及功能序號(hào)區(qū)域功能1阻塞區(qū)域（block）任何傳入的網(wǎng)絡(luò)數(shù)據(jù)包都將被阻止2工作區(qū)域（work）信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)3家庭區(qū)域（home）信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)4公共區(qū)域（public）不信任網(wǎng)絡(luò)上的任何計(jì)算機(jī)，只選擇接受傳入的網(wǎng)絡(luò)連接。firewalld的默認(rèn)區(qū)域是public5隔離區(qū)域（DMZ）隔離區(qū)域是在內(nèi)外網(wǎng)絡(luò)之間增加的一層網(wǎng)絡(luò)，起到緩沖作用。對(duì)于隔離區(qū)域，只選擇接受傳入的網(wǎng)絡(luò)連接6信任區(qū)域（trusted）所有的網(wǎng)絡(luò)連接都可以接受7丟棄區(qū)域（drop）任何傳入的網(wǎng)絡(luò)連接都被拒絕8內(nèi)部區(qū)域（internal）信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)。只選擇接受傳入的網(wǎng)絡(luò)連接9外部區(qū)域（external）不信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)。只選擇接受傳入的網(wǎng)絡(luò)連接工單二十六CentOS8防火墻配置規(guī)

任務(wù)一Linux防火墻簡(jiǎn)介

知識(shí)引入02

操作系統(tǒng)管理員可以通過(guò)3種方式與firewalld交互，第一種方式是直接編輯/etc/firewalld中的配置文件，第二種方式是使用firewall-config圖形化工具，第三種方式是使用firewall-cmd命令行工具。firewalld防火墻配置二、firewalld防火墻配置

firewall-cmd命令參數(shù)及作用序號(hào)參數(shù)作用1--set-default-zone=<區(qū)域名稱>設(shè)置默認(rèn)的區(qū)域，使其永久生效2--get-zones顯示可用的區(qū)域3--get-services顯示預(yù)先定義的服務(wù)4--get-active-zones顯示當(dāng)前正在使用的區(qū)域與網(wǎng)卡名稱5--add-source=將源自此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域6--remove-source=不再將源自此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域7--add-interface=<網(wǎng)卡名稱>將源自該網(wǎng)卡的所有流量都導(dǎo)向某個(gè)指定區(qū)域8--change-interface=<網(wǎng)卡名稱>將某個(gè)網(wǎng)卡與區(qū)域進(jìn)行關(guān)聯(lián)9--list-all顯示當(dāng)前區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息10--list-all-zones顯示所有區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息11--add-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域允許該服務(wù)的流量12--add-port=<端口號(hào)/協(xié)議>設(shè)置默認(rèn)區(qū)域允許該端口的流量13--remove-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域不再允許該服務(wù)的流量14--remove-port=<端口號(hào)/協(xié)議>設(shè)置默認(rèn)區(qū)域不再允許該端口的流量15--reload讓“永久生效”的配置規(guī)則立即生效，并覆蓋當(dāng)前的配置規(guī)則工單二十六CentOS8防火墻配置規(guī)

任務(wù)一Linux防火墻簡(jiǎn)介

知識(shí)引入03

firewalld上有一些預(yù)定義服務(wù)，這些預(yù)定義服務(wù)可幫助你識(shí)別要配置的特定網(wǎng)絡(luò)服務(wù)。預(yù)定義服務(wù)三、預(yù)定義區(qū)域

初始防火墻區(qū)域配置中使用的預(yù)定義服務(wù)序號(hào)服務(wù)名稱配置內(nèi)容1SSH本地SSH服務(wù)器。到22/tcp的流量2dhcpv6-client本地DHCPv6客戶端。到fe80::/64IPv6網(wǎng)絡(luò)中546/udp的流量3ipp-client本地IPP打印。到631/udp的流量4samba-client本地Windows文件和打印共享客戶端。到137/udp和138/udp的流量5mDNS多播DNS（mDNS）本地鏈路名稱解析。到5353/udp指向51（IPv4）或ff02::fb（IPv6）多播地址的流量工單二十六CentOS8防火墻配置規(guī)

任務(wù)二firewalld防火墻管理

操作步驟步驟一步驟二步驟三步驟四（1）查詢系統(tǒng)當(dāng)前防火墻信息。[root@server～]#firewall-cmd--list-all（2）查詢預(yù)定義firewalld服務(wù)。[root@server～]#firewall-cmd--get-services（3）查看系統(tǒng)存在的防火墻區(qū)域。[root@server～]##firewall-cmd--get-zones（4）查看firewalld服務(wù)當(dāng)前所使用的區(qū)域。[root@server～]#firewall-cmd--get-default-zone（5）將firewalld防火墻服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public。[root@server～]#firewall-cmd--set-default-zone=public[root@server～]#firewall-cmd--get-default-zone[root@server～]#firewall-cmd--get-active-zones[root@server～]#firewall-cmd--get-active-zones（6）查詢eno16777728網(wǎng)卡在firewalld服務(wù)中的區(qū)域。[root@server～]#firewall-cmd--get-zone-of-interface=eno16777728（7）將firewalld防火墻服務(wù)中eno16777736網(wǎng)卡的默認(rèn)區(qū)域修改為external。[root@server～]#firewall-cmd--permanent--zone=external[root@server～]#firewall-cmd--get-zone-of-interface=eno16777736（8）查詢?cè)趐ublic區(qū)域中的ssh與https服務(wù)請(qǐng)求是否被允許。[root@server～]#firewall-cmd--zone=public--query-service=ssh[root@server～]#firewall-cmd--zone=public--query-service=https（9）將firewalld防火墻服務(wù)中https服務(wù)的請(qǐng)求流量設(shè)置為永久允許。[root@server～]#firewall-cmd--permanent--zone=public--add-service=https[root@server～]#firewall-cmd--reload（10）將firewalld防火墻服務(wù)中8899/tcp端口的請(qǐng)求流量設(shè)置為允許放行。[root@server～]#firewall-cmd--zone=public--permanent[root@server～]#firewall-cmd--list-portsfirewalld防火墻管理工單二十六CentOS8防火墻配置規(guī)

任務(wù)三iptables防火墻管理

知識(shí)引入02

iptables是運(yùn)行在用戶空間的應(yīng)用軟件，通過(guò)控制Linux內(nèi)核netfilter模塊，來(lái)管理網(wǎng)絡(luò)數(shù)據(jù)包的處理和轉(zhuǎn)發(fā)。iptables防火墻管理一、iptables防火墻管理

在大部分Linux發(fā)行版中，可以通過(guò)手冊(cè)頁(yè)（頁(yè)面存檔備份，存于互聯(lián)網(wǎng)檔案館）或maniptables獲取用戶手冊(cè)。

通常iptables需要內(nèi)核模塊支持才能運(yùn)行，此處相應(yīng)的內(nèi)核模塊通常是Xtables。因此，iptables操作需要超級(jí)用戶權(quán)限，其可執(zhí)行文件通常位于/sbin/iptables或/usr/sbin/iptables。同時(shí)，需要說(shuō)明的是，以上命令通常只用于處理IPv4數(shù)據(jù)包；而對(duì)于IPv6數(shù)據(jù)包，則使用類似的ip6tables命令。工單二十六CentOS8防火墻配置規(guī)

任務(wù)三

firewalld防火墻管理

操作步驟步驟一步驟二步驟三步驟四查詢iptables規(guī)則[root@server～]##iptables-L（2）刪除已有規(guī)則在開(kāi)始創(chuàng)建[root@server～]#iptables-F（3）設(shè)置鏈的默認(rèn)策略[root@server～]#iptables-PINPUTDROP[root@server～]#iptables-PFORWARDDROP[root@server～]#iptables-POUTPUTDROP[root@server～]#iptables-AINPUT-ieth0-s"$BLOCK_THIS_IP"-jDROP[root@server～]#iptables-AINPUT-ieth0-ptcp-s"$BLOCK_THIS_IP"-jDROP（4）允許所有SSH的連接請(qǐng)求[root@server～]#iptables-AINPUT-ieth0-ptcp--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT（5）僅允許來(lái)自指定網(wǎng)絡(luò)的SSH連接請(qǐng)求[root@server～]#iptables-AINPUT-ieth0-ptcp-s/24--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT工單二十六CentOS8防火墻配置規(guī)

任務(wù)三

firewalld防火墻管理

操作步驟步驟一步驟二步驟三步驟四（6）允許http和https的連接請(qǐng)求[root@server～]#iptables-AINPUT-ieth0-ptcp--dport80-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT[root@server～]#iptables-AINPUT-ieth0-ptcp--dport443-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport443-mstate--stateESTABLISHED-jACCEPT（7）僅允許從本地發(fā)起到一個(gè)指定的網(wǎng)絡(luò)域的SSH請(qǐng)求/24。[root@server～]#iptables-AOUTPUT-oeth0-ptcp-d/24--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AINPUT-ieth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT（10）端口轉(zhuǎn)發(fā)[root@server～]#iptables-tnat-APREROUTING-ptcp-d7--dport422-jDNAT--to7:22（11）防止DoS攻擊。[root@server～]#iptables-AINPUT-ptcp--dport80-mlimit--limit25/minute--limit-burst100-jACCEPT（8）允許從本地發(fā)起的HTTPS連接請(qǐng)求[root@server～]#iptables-AOUTPUT-oeth0-ptcp--dport443-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AINPUT-ieth0-ptcp--sport443-mstate--stateESTABLISHED-jACCEPT（9）允許來(lái)自指定網(wǎng)絡(luò)的MySQL連接請(qǐng)求[root@server～]#iptables-AINPUT-ieth0-ptcp-s/24--dport3306-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport3306-mstate--stateESTABLISHED-jACCEPT工單二十六CentOS8防火墻配置規(guī)

實(shí)訓(xùn)目的理解Linux系統(tǒng)防火墻和firewall防火墻服務(wù)基本概念。掌握f(shuō)irewalld防火墻服務(wù)策略的實(shí)施和管理方法。實(shí)訓(xùn)內(nèi)容使用firewald設(shè)置防火墻規(guī)則使用iptables設(shè)置防火墻規(guī)則Linux系統(tǒng)管理與服務(wù)配置(CentOS

8)

27CentOS8防火墻應(yīng)用

工單二十七CentOS8防火墻應(yīng)用完成標(biāo)準(zhǔn)/要求前置能力質(zhì)量要求掌握CentOS8的安裝，熟悉CentOS8基本命令，熟悉Linux軟件安裝方法1、了解Linux系統(tǒng)防火墻和firewalld防火墻基本概念2、掌握使用firewall-cmd管理防火墻的規(guī)則掌握f(shuō)irewalld防火墻富規(guī)則管理方法1、配置Linux防火墻參數(shù)2、使用firewall-cmd配置防火墻富規(guī)則2、使用SELinux配置安全規(guī)則工單二十七CentOS8防火墻應(yīng)用

任務(wù)一防火墻富規(guī)則和SELinux

知識(shí)引入CentOS8兩種配置網(wǎng)絡(luò)連接方式：01

firewalld富規(guī)則為管理員提供了一種表達(dá)性語(yǔ)言，通過(guò)這種語(yǔ)言可表達(dá)firewalld的基本語(yǔ)法中未涵蓋的自定義防火墻規(guī)則；支持配置更復(fù)雜的防火墻配置。防火墻富規(guī)則02通過(guò)相關(guān)的網(wǎng)絡(luò)配置命令端口轉(zhuǎn)發(fā)工單二十七CentOS8防火墻應(yīng)用任務(wù)一防火墻富規(guī)則和SELinux

知識(shí)引入01防火墻富規(guī)則富規(guī)則基本語(yǔ)法：rule[source][destination]service|port|protocol|icmp-block|masquerade|forward-port[log][audit][accept|reject|drop]富規(guī)則參數(shù)序號(hào)參數(shù)作用1--add-rich-rule='<RULE>'向指定區(qū)域中添加<RULE>，如果未指定區(qū)域，則向默認(rèn)區(qū)域中添加2--remove-rich-rule='<RULE>'從指定區(qū)域中刪除<RULE>，如果未指定區(qū)域，則從默認(rèn)區(qū)域中刪除3--query-rich-rule='<RULE>'查詢指定區(qū)域中刪除的<RULE>，如果未指定區(qū)域，則從默認(rèn)區(qū)域中查詢

--list-rich-rules輸出指定區(qū)域的所有富規(guī)則，如果未指定區(qū)域，則從默認(rèn)區(qū)域富規(guī)則端口轉(zhuǎn)發(fā)工單二十七CentOS8防火墻應(yīng)用任務(wù)一防火墻富規(guī)則和SELinux

知識(shí)引入02

firewalld支持兩種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換：偽裝和端口轉(zhuǎn)發(fā)。端口轉(zhuǎn)發(fā)

第一種NAT形式是偽裝，通過(guò)偽裝，系統(tǒng)會(huì)將非直接尋址到自身的包轉(zhuǎn)發(fā)到指定接收方，同時(shí)將通過(guò)的包的源地址更改為其自己的公共IP地址。

第二種NAT形式是端口轉(zhuǎn)發(fā)，通過(guò)端口轉(zhuǎn)發(fā)，指向單個(gè)端口的流量將轉(zhuǎn)發(fā)到相同計(jì)算機(jī)上的不同端口，或者轉(zhuǎn)發(fā)到不同計(jì)算機(jī)上的端口。工單二十七CentOS8防火墻應(yīng)用任務(wù)一防火墻富規(guī)則和SELinux

知識(shí)引入03

安全增強(qiáng)式Linux是一個(gè)Linux操作系統(tǒng)內(nèi)核的安全模塊，已經(jīng)被添加到各種Linux操作系統(tǒng)發(fā)行版中。SELinux基本概念

安全增強(qiáng)式Linux是一個(gè)Linux操作系統(tǒng)內(nèi)核的安全模塊，已經(jīng)被添加到各種Linux操作系統(tǒng)發(fā)行版中。

SELinux的主要目標(biāo)是防止已遭泄露的系統(tǒng)服務(wù)訪問(wèn)用戶數(shù)據(jù)，大多數(shù)Linux操作系統(tǒng)管理員都熟悉標(biāo)準(zhǔn)的用戶/組/其他權(quán)限安全模型。這種基于用戶和組的模型稱為“自由決定的訪問(wèn)控制”它基于對(duì)象并由更加復(fù)雜的規(guī)則控制，稱為“強(qiáng)制訪問(wèn)控制”工單二十七CentOS8防火墻應(yīng)用任務(wù)一防火墻富規(guī)則和SELinux

知識(shí)引入04

SELinux是用于確定哪個(gè)進(jìn)程可以訪問(wèn)哪些文件、目錄和端口的一組安全規(guī)則。SELinux上下文

SELinux標(biāo)簽具有多種上下文：用戶、角色、類型和敏感度。目標(biāo)策略會(huì)根據(jù)第三個(gè)上下文（即類型上下文）來(lái)制定自己的規(guī)則。類型上下文名稱通常以_t結(jié)尾。

SELinux管理過(guò)程中，進(jìn)程是否可以正確地訪問(wèn)文件資源，取決于它們的安全上下文。進(jìn)程和文件都有自己的安全上下文，SELinux會(huì)為進(jìn)程和文件添加安全信息標(biāo)簽，工單二十七CentOS8防火墻應(yīng)用任務(wù)一防火墻富規(guī)則和SELinux

知識(shí)引入05

SELinux不僅進(jìn)行文件和進(jìn)程標(biāo)記，還嚴(yán)格實(shí)施網(wǎng)絡(luò)流量規(guī)則。SELinux端口標(biāo)記

SELinux用來(lái)控制網(wǎng)絡(luò)流量的一種方法是標(biāo)記網(wǎng)絡(luò)端口。

當(dāng)某個(gè)進(jìn)程系統(tǒng)偵聽(tīng)端口時(shí)，SELinux將檢查是否允許與該進(jìn)程（域）相關(guān)聯(lián)的標(biāo)簽綁定該端口標(biāo)簽。這可以阻止惡意服務(wù)控制本應(yīng)由其他合法網(wǎng)絡(luò)服務(wù)使用的端口。工單十三CentOS8配置網(wǎng)絡(luò)連接任務(wù)一防火墻富規(guī)則和SELinux

操作步驟步驟一步驟二步驟三步驟四（1）防火墻基本規(guī)則[root@server～]#firewall-cmd--permanent--add-rich-rule="rule

family="ipv4"sourceaddress="/24"servicename="ssh"reject"[root@server～]#firewall-cmd--reload[root@server～]#firewall-cmd--list-rich-rulesrulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject

（2）端口轉(zhuǎn)發(fā)防火墻規(guī)則在server上配置防火墻，將端口443/tcp轉(zhuǎn)發(fā)到22/tcp。[root@server～]#firewall-cmd--permanent