【オリジナル】Centos 7.0の中iptables、firewall、SELINUX
【オリジナル】Centos 7.0の中iptables、firewall、SELINUX
の原因となる
の原因となる
今日はUDPマルチキャスト通信を勉強していますが、2台のホスト間でうまく通信できません.
Aマシン-Ubuntu 12.04,Bマシン-Centos 7.0は、互いにpingすることができます.
Aは送信側、Bは受信側、Bはデータを受信できない.
Bは送信側、Aは受信側、Aはデータを受信することができる.
原因:B機のファイアウォールの問題で、ファイアウォールを閉じた後、通信は正常です.
CentOS 7.0ではデフォルトでfirewallをファイアウォールとして使用していますが、ここではiptablesファイアウォールに変更します.
firewall
Firewallはどのサービスが利用可能か、それらのポートが利用可能か...より高いレベルのファイアウォールに属します.Firewallの下位層はiptablesを用いてデータフィルタリングを行い、iptablesの上に構築される.
Firewallはダイナミックファイアウォールで、D-BUS方式を使用しており、構成を変更して既存のデータリンクを破壊することはありません.
firewallを閉じる
systemctl stop firewalld.サービス停止サービス#firewall起動禁止
iptables
iptablesはパケットをフィルタリングためのネットワーク層ファイアウォールに属する.
iptablesを設定した後、iptablesを再起動する必要がある場合は、ファイアウォールモジュールが再ロードされ、モジュールのマウントはステータスファイアウォールと確立された接続を破壊します.外部にデータリンクを提供したプログラムが破壊されます.プログラムを再起動する必要があるかもしれません.
iptablesファイアウォール
yum install iptables-services#iptables vi/etc/sysconfig/iptables#iptablesファイアウォールプロファイルのインストール# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
:wq! #
systemctl restart iptables.サービス#最後にファイアウォールを再起動して構成を有効にします
systemctl enable iptables.サービス#ファイアウォールの起動を設定
SELinux
SELinux(Security-Enhanced Linux)は、米国国家安全保障局(NSA)の強制アクセス制御の実現であり、Linux史上最も優れた新しいセキュリティサブシステムである.ファイアウォールの設定ではありません.しかし、Linuxシステムのセキュリティに役立ちます.Linuxカーネル(Kernel)は2.6からSELinuxがあります.
SELinuxはドメインタイプモデル(domain-type)に基づく強制アクセス制御(MAC)セキュリティシステムであり、NSAによってカーネルモジュールがカーネルに含まれるように設計され、対応するいくつかのセキュリティ関連アプリケーションにもSELinuxのパッチが適用され、最後に対応するセキュリティポリシーがある.いかなるプログラムもその資源に対して完全な制御権を有する.あるプログラムが潜在的な重要な情報を含むファイルを/tmpディレクトリに捨てようとすると、DACの場合、誰も彼を止めることができません.SELinuxは、従来のUNIX権限よりも優れたアクセス制御を提供します.
SELINUXを閉じる
vi/etc/selinux/config #SELINUX=enforcing #
#SELINUXTYPE=targeted #
SELINUX=disabled #
:wq! #保存終了
setenforce 0#構成をすぐに有効にします
テキストリンク
http://blog.csdn.net/geng823/article/details/41806205
リファレンスリンク
http://www.111cn.net/sys/CentOS/63646.htm
http://www.tuicool.com/articles/qYnuMj
Firewallはどのサービスが利用可能か、それらのポートが利用可能か...より高いレベルのファイアウォールに属します.Firewallの下位層はiptablesを用いてデータフィルタリングを行い、iptablesの上に構築される.
Firewallはダイナミックファイアウォールで、D-BUS方式を使用しており、構成を変更して既存のデータリンクを破壊することはありません.
firewallを閉じる
systemctl stop firewalld.サービス停止サービス#firewall起動禁止
iptables
iptablesはパケットをフィルタリングためのネットワーク層ファイアウォールに属する.
iptablesを設定した後、iptablesを再起動する必要がある場合は、ファイアウォールモジュールが再ロードされ、モジュールのマウントはステータスファイアウォールと確立された接続を破壊します.外部にデータリンクを提供したプログラムが破壊されます.プログラムを再起動する必要があるかもしれません.
iptablesファイアウォール
yum install iptables-services#iptables vi/etc/sysconfig/iptables#iptablesファイアウォールプロファイルのインストール# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
:wq! #
systemctl restart iptables.サービス#最後にファイアウォールを再起動して構成を有効にします
systemctl enable iptables.サービス#ファイアウォールの起動を設定
SELinux
SELinux(Security-Enhanced Linux)は、米国国家安全保障局(NSA)の強制アクセス制御の実現であり、Linux史上最も優れた新しいセキュリティサブシステムである.ファイアウォールの設定ではありません.しかし、Linuxシステムのセキュリティに役立ちます.Linuxカーネル(Kernel)は2.6からSELinuxがあります.
SELinuxはドメインタイプモデル(domain-type)に基づく強制アクセス制御(MAC)セキュリティシステムであり、NSAによってカーネルモジュールがカーネルに含まれるように設計され、対応するいくつかのセキュリティ関連アプリケーションにもSELinuxのパッチが適用され、最後に対応するセキュリティポリシーがある.いかなるプログラムもその資源に対して完全な制御権を有する.あるプログラムが潜在的な重要な情報を含むファイルを/tmpディレクトリに捨てようとすると、DACの場合、誰も彼を止めることができません.SELinuxは、従来のUNIX権限よりも優れたアクセス制御を提供します.
SELINUXを閉じる
vi/etc/selinux/config #SELINUX=enforcing #
#SELINUXTYPE=targeted #
SELINUX=disabled #
:wq! #保存終了
setenforce 0#構成をすぐに有効にします
テキストリンク
http://blog.csdn.net/geng823/article/details/41806205
リファレンスリンク
http://www.111cn.net/sys/CentOS/63646.htm
http://www.tuicool.com/articles/qYnuMj
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
:wq! # SELinux(Security-Enhanced Linux)は、米国国家安全保障局(NSA)の強制アクセス制御の実現であり、Linux史上最も優れた新しいセキュリティサブシステムである.ファイアウォールの設定ではありません.しかし、Linuxシステムのセキュリティに役立ちます.Linuxカーネル(Kernel)は2.6からSELinuxがあります.
SELinuxはドメインタイプモデル(domain-type)に基づく強制アクセス制御(MAC)セキュリティシステムであり、NSAによってカーネルモジュールがカーネルに含まれるように設計され、対応するいくつかのセキュリティ関連アプリケーションにもSELinuxのパッチが適用され、最後に対応するセキュリティポリシーがある.いかなるプログラムもその資源に対して完全な制御権を有する.あるプログラムが潜在的な重要な情報を含むファイルを/tmpディレクトリに捨てようとすると、DACの場合、誰も彼を止めることができません.SELinuxは、従来のUNIX権限よりも優れたアクセス制御を提供します.
SELINUXを閉じる
vi/etc/selinux/config
#SELINUX=enforcing #
#SELINUXTYPE=targeted #
SELINUX=disabled # setenforce 0#構成をすぐに有効にします