| # firewall-cmd --permanent --add-port=80/tcp # firewall-cmd --permanent --add-port=443/tcp |
–reload参数将这些规则应用于本届会议:
| # firewall-cmd --reload |
对防火墙上的当前设置很好奇吗?跑–list-services:
| # firewall-cmd --list-services dhcpv6-client http https ssh |
假设您添加了前面描述的浏览器访问,HTTP、HTTPS和SSH端口现在都应该是打开的dhcpv6-client,它允许Linux从本地DHCP服务器请求IPv 6 IP地址。
使用iptables配置锁定的客户信息亭
我敢肯定你见过售货亭-它们是平板电脑、触摸屏和类似ATM的个人电脑-在一个包厢里,机场、图书馆和商务室随处可见,邀请顾客和过路人浏览内容。大多数信息亭的特点是,你通常不希望用户在家里把自己当成自己的设备。它们通常不是用来浏览、观看youtube视频或对五角大楼发起拒绝服务攻击的。所以,为了确保它们不被滥用,你需要把它们锁起来。
一种方法是应用某种Kiosk模式,无论是通过聪明地使用Linux显示管理器还是在浏览器级别。但是,为了确保所有的漏洞都已堵塞,您可能还需要通过防火墙添加一些硬网络控件。在下一节中,我将描述如何使用iptable来实现它。
关于使用iptables,有两件重要的事情要记住:您给出的规则的顺序是至关重要的,仅凭它本身,Iptable规则将无法在重新启动后存活下来。我会在这里一次讲一遍。
亭工程
为了说明这一切,让我们想象一下,我们在一家名为BigMart的大型连锁商店工作。他们已经存在了几十年;事实上,我们想象中的祖父母很可能是在那里购物长大的。但如今,BigMart公司总部的人可能只是在数着亚马逊(Amazon)把他们永远赶下去之前的几个小时。
尽管如此,BigMart的IT部门正在尽力而为,他们刚刚给您发送了一些WiFi准备的信息亭设备,您可以在整个商店的战略位置安装这些设备。他们的想法是,他们将显示一个登录到BigMart.com产品页面的网页浏览器,允许他们查找商品特征、走道位置和库存级别。这些信息亭还需要访问bigmart-data.com,那里存储了许多图像和视频媒体。
除此之外,您还希望允许更新,并在必要时允许包下载。最后,您希望只允许从本地工作站访问入站SSH,并阻止其他所有人。下图说明了这一切将如何运作:
亭的交通流量由iptable控制。
剧本
下面是如何将所有这些都放入一个Bash脚本中:
