使用开源路由协议栈 Quagga，使你的 Linux 系统成为一台路由器。

网络路由协议分为两大类：内部网关协议和外部网关协议。路由器使用内部网关协议在单个自治系统内共享信息。如果你用的是 Linux，则可以通过开源（GPLv2）路由协议栈 Quagga 使其表现得像一台路由器。

Quagga 是什么？

Quagga 是一个路由软件包)，并且是 GNU Zebra 的一个分支。它为类 Unix 平台提供了所有主流路由协议的实现，例如开放最短路径优先（OSPF），路由信息协议（RIP），边界网关协议（BGP）和中间系统到中间系统协议（IS-IS）。

尽管 Quagga 实现了 IPv4 和 IPv6 的路由协议，但它并不是一个完整的路由器。一个真正的路由器不仅实现了所有路由协议，而且还有转发网络流量的能力。 Quagga 仅仅实现了路由协议栈，而转发网络流量的工作由 Linux 内核处理。

架构

Quagga 通过特定协议的守护程序实现不同的路由协议。守护程序名称与路由协议相同，加了字母“d”作为后缀。Zebra 是核心，也是与协议无关的守护进程，它为内核提供了一个抽象层，并通过 TCP 套接字向 Quagga 客户端提供 Zserv API。每个特定协议的守护程序负责运行相关的协议，并基于交换的信息来建立路由表。

环境

本教程通过 Quagga 实现的 OSPF 协议来配置动态路由。该环境包括两个名为 Alpha 和 Beta 的 CentOS 7.7 主机。两台主机共享访问 192.168.122.0/24 网络。

主机 Alpha：

IP：192.168.122.100/24 网关：192.168.122.1

主机 Beta：

IP：192.168.122.50/24 网关：192.168.122.1

安装软件包

首先，在两台主机上安装 Quagga 软件包。它存在于 CentOS 基础仓库中：

yum install quagga -y

启用 IP 转发

接下来，在两台主机上启用 IP 转发，因为它将由 Linux 内核来执行：

sysctl -w net.ipv4.ip_forward = 1
sysctl -p

配置

现在，进入 /etc/quagga 目录并为你的设置创建配置文件。你需要三个文件：

• zebra.conf：Quagga 守护程序的配置文件，你可以在其中定义接口及其 IP 地址和 IP 转发
• ospfd.conf：协议配置文件，你可以在其中定义将通过 OSPF 协议提供的网络
• daemons：你将在其中指定需要运行的相关的协议守护程序

在主机 Alpha 上，

 [root@alpha]# cat /etc/quagga/zebra.conf
interface eth0
 ip address 192.168.122.100/24
 ipv6 nd suppress-ra
interface eth1
 ip address 10.12.13.1/24
 ipv6 nd suppress-ra
interface lo
ip forwarding
line vty

[root@alpha]# cat /etc/quagga/ospfd.conf
interface eth0
interface eth1
interface lo
router ospf
 network 192.168.122.0/24 area 0.0.0.0
 network 10.12.13.0/24 area 0.0.0.0
line vty

[root@alphaa ~]# cat /etc/quagga/daemons
zebra=yes
ospfd=yes

在主机 Beta 上，

[root@beta quagga]# cat zebra.conf
interface eth0
 ip address 192.168.122.50/24
 ipv6 nd suppress-ra
interface eth1
 ip address 10.10.10.1/24
 ipv6 nd suppress-ra
interface lo
ip forwarding
line vty

[root@beta quagga]# cat ospfd.conf
interface eth0
interface eth1
interface lo
router ospf
 network 192.168.122.0/24 area 0.0.0.0
 network 10.10.10.0/24 area 0.0.0.0
line vty

[root@beta ~]# cat /etc/quagga/daemons
zebra=yes
ospfd=yes

配置防火墙

要使用 OSPF 协议，必须允许它通过防火墙：

firewall-cmd --add-protocol=ospf –permanent

firewall-cmd –reload

现在，启动 zebra 和 ospfd 守护程序。

# systemctl start zebra
# systemctl start ospfd

用下面命令在两个主机上查看路由表:

[root@alpha ~]# ip route show  
default via 192.168.122.1 dev eth0 proto static metric 100
10.10.10.0/24 via 192.168.122.50 dev eth0 proto zebra metric 20
10.12.13.0/24 dev eth1 proto kernel scope link src 10.12.13.1
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.100 metric 100

你可以看到 Alpha 上的路由表包含通过 192.168.122.50 到达 10.10.10.0/24 的路由项，它是通过协议 zebra 获取的。同样，在主机 Beta 上，该表包含通过 192.168.122.100 到达网络 10.12.13.0/24 的路由项。

[root@beta ~]# ip route show
default via 192.168.122.1 dev eth0 proto static metric 100
10.10.10.0/24 dev eth1 proto kernel scope link src 10.10.10.1
10.12.13.0/24 via 192.168.122.100 dev eth0 proto zebra metric 20
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.50 metric 100

结论

如你所见，环境和配置相对简单。要增加复杂性，你可以向路由器添加更多网络接口，以为更多网络提供路由。你也可以使用相同的方法来实现 BGP 和 RIP 协议。

via: https://opensource.com/article/20/4/quagga-linux

作者：M Umer 选题：lujun9972 译者：messon007 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

SFTP 意思是“ 安全文件传输协议 Secure File Transfer Protocol ” 或 “ SSH 文件传输协议 SSH File Transfer Protocol ”，它是最常用的用于通过 ssh 将文件从本地系统安全地传输到远程服务器的方法，反之亦然。sftp 的主要优点是，除 openssh-server 之外，我们不需要安装任何额外的软件包，在大多数的 Linux 发行版中，openssh-server 软件包是默认安装的一部分。sftp 的另外一个好处是，我们可以允许用户使用 sftp ，而不允许使用 ssh 。

当前发布的 Debian 10 代号为 ‘Buster’，在这篇文章中，我们将演示如何在 Debian 10 系统中在 “监狱式的” Chroot 环境中配置 sftp。在这里，Chroot 监狱式环境意味着，用户不能超出各自的家目录，或者用户不能从各自的家目录更改目录。下面实验的详细情况：

• OS = Debian 10
• IP 地址 = 192.168.56.151

让我们跳转到 SFTP 配置步骤，

步骤 1、使用 groupadd 命令给 sftp 创建一个组

打开终端，使用下面的 groupadd 命令创建一个名为的 sftp_users 组：

root@linuxtechi:~# groupadd sftp_users

步骤 2、添加用户到组 sftp\_users 并设置权限

假设你想创建新的用户，并且想添加该用户到 sftp_users 组中，那么运行下面的命令，

语法：

#  useradd -m -G sftp_users <用户名>

让我们假设用户名是 jonathan：

root@linuxtechi:~# useradd -m -G sftp_users jonathan

使用下面的 chpasswd 命令设置密码：

root@linuxtechi:~# echo "jonathan:<输入密码>" | chpasswd

假设你想添加现有的用户到 sftp_users 组中，那么运行下面的 usermod 命令，让我们假设已经存在的用户名称是 chris：

root@linuxtechi:~# usermod -G sftp_users chris

现在设置用户所需的权限：

root@linuxtechi:~# chown root /home/jonathan /home/chris/

在各用户的家目录中都创建一个上传目录，并设置正确地所有权：

root@linuxtechi:~# mkdir /home/jonathan/upload
root@linuxtechi:~# mkdir /home/chris/upload
root@linuxtechi:~# chown jonathan /home/jonathan/upload
root@linuxtechi:~# chown chris /home/chris/upload

注意: 像 Jonathan 和 Chris 之类的用户可以从他们的本地系统上传文件和目录。

步骤 3、编辑 sftp 配置文件 /etc/ssh/sshd\_config

正如我们已经陈述的，sftp 操作是通过 ssh 完成的，所以它的配置文件是 /etc/ssh/sshd_config，在做任何更改前，我建议首先备份文件，然后再编辑该文件，接下来添加下面的内容：

root@linuxtechi:~# cp /etc/ssh/sshd_config /etc/ssh/sshd_config-org
root@linuxtechi:~# vim /etc/ssh/sshd_config
......
#Subsystem      sftp    /usr/lib/openssh/sftp-server
Subsystem       sftp    internal-sftp

Match Group sftp_users
  X11Forwarding no
  AllowTcpForwarding no
  ChrootDirectory %h
  ForceCommand internal-sftp
......

保存并退出文件。

为使上述更改生效，使用下面的 systemctl 命令来重新启动 ssh 服务：

root@linuxtechi:~# systemctl restart sshd

在上面的 sshd_config 文件中，我们已经注释掉了以 Subsystem 开头的行，并添加了新的条目 Subsystem sftp internal-sftp 和新的行。而

Match Group sftp_users –> 它意味着如果用户是 sftp_users 组中的一员，那么将应用下面提到的规则到这个条目。

ChrootDierctory %h –> 它意味着用户只能在他们自己各自的家目录中更改目录，而不能超出他们各自的家目录。或者换句话说，我们可以说用户是不允许更改目录的。他们将在他们的目录中获得监狱一样的环境，并且不能访问其他用户的目录和系统的目录。

ForceCommand internal-sftp –> 它意味着用户仅被限制到只能使用 sftp 命令。

步骤 4、测试和验证 sftp

登录到你的 sftp 服务器的同一个网络上的任何其它的 Linux 系统，然后通过我们放入 sftp_users 组中的用户来尝试 ssh 和 sftp 服务。

[root@linuxtechi ~]# ssh root@linuxtechi
root@linuxtechi's password:
Write failed: Broken pipe
[root@linuxtechi ~]# ssh root@linuxtechi
root@linuxtechi's password:
Write failed: Broken pipe
[root@linuxtechi ~]#

以上操作证实用户不允许 ssh ，现在使用下面的命令尝试 sftp：

[root@linuxtechi ~]# sftp root@linuxtechi
root@linuxtechi's password:
Connected to 192.168.56.151.
sftp> ls -l
drwxr-xr-x    2 root     1001         4096 Sep 14 07:52 debian10-pkgs
-rw-r--r--    1 root     1001          155 Sep 14 07:52 devops-actions.txt
drwxr-xr-x    2 1001     1002         4096 Sep 14 08:29 upload

让我们使用 sftp 的 get 命令来尝试下载一个文件：

sftp> get devops-actions.txt
Fetching /devops-actions.txt to devops-actions.txt
/devops-actions.txt                                                                               100%  155     0.2KB/s   00:00
sftp>
sftp> cd /etc
Couldn't stat remote file: No such file or directory
sftp> cd /root
Couldn't stat remote file: No such file or directory
sftp>

上面的输出证实我们能从我们的 sftp 服务器下载文件到本地机器，除此之外，我们也必须测试用户不能更改目录。

让我们在 upload 目录下尝试上传一个文件：

sftp> cd upload/
sftp> put metricbeat-7.3.1-amd64.deb
Uploading metricbeat-7.3.1-amd64.deb to /upload/metricbeat-7.3.1-amd64.deb
metricbeat-7.3.1-amd64.deb                                                                        100%   38MB  38.4MB/s   00:01
sftp> ls -l
-rw-r--r--    1 1001     1002     40275654 Sep 14 09:18 metricbeat-7.3.1-amd64.deb
sftp>

这证实我们已经成功地从我们的本地系统上传一个文件到 sftp 服务中。

现在使用 winscp 工具来测试 sftp 服务，输入 sftp 服务器 IP 地址和用户的凭证：

在 “Login” 上单击，然后尝试下载和上传文件：

现在，在 upload 文件夹中尝试上传文件：

上面的窗口证实上传是完好地工作的，这就是这篇文章的全部。如果这些步骤能帮助你在 Debian 10 中使用 chroot 环境配置 SFTP 服务器s，那么请分享你的反馈和评论。

via: https://www.linuxtechi.com/configure-sftp-chroot-debian10/

作者：Pradeep Kumar 选题：lujun9972 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

单用户模式，也被称为维护模式，超级用户可以在此模式下恢复/修复系统问题。

通常情况下，这类问题在多用户环境中修复不了。系统可以启动但功能不能正常运行或者你登录不了系统。

在基于 Red Hat（RHEL）7/8 的系统中，使用 runlevel1.target 或 rescue.target 来实现。

在此模式下，系统会挂载所有的本地文件系统，但不开启网络接口。

系统仅启动特定的几个服务和修复系统必要的尽可能少的功能。

当你想运行文件系统一致性检查来修复损坏的文件系统，或忘记 root 密码后重置密码，或要修复系统上的一个挂载点问题时，这个方法会很有用。

你可以用下面三种方法以单用户模式启动 CentOS/RHEL 7/8 系统。

• 方法 1：通过向内核添加 rd.break 参数来以单用户模式启动 CentOS/RHEL 7/8 系统
• 方法 2：通过用 init=/bin/bash 或 init=/bin/sh 替换内核中的 rhgb quiet 语句来以单用户模式启动 CentOS/RHEL 7/8 系统
• 方法 3：通过用 rw init=/sysroot/bin/sh 参数替换内核中的 ro 语句以单用户模式启动 CentOS/RHEL 7/8 系统

方法 1

通过向内核添加 rd.break 参数来以单用户模式启动 CentOS/RHEL 7/8 系统。

重启你的系统，在 GRUB2 启动界面，按下 e 键来编辑选中的内核。你需要选中第一行，第一个是最新的内核，然而如果你想用旧的内核启动系统你也可以选择其他的行。

根据你的 RHEL/CentOS 版本，找到 linux16 或 linux 语句，按下键盘上的 End 键，跳到行末，像下面截图中展示的那样添加关键词 rd.break，按下 Ctrl+x 或 F10 来进入单用户模式。

如果你的系统是 RHEL/CentOS 7，你需要找 linux16，如果你的系统是 RHEL/CentOS 8，那么你需要找 linux。

这个修改会让你的 root 文件系统以 “只读（ro）” 模式挂载。你可以用下面的命令来验证下。下面的输出也明确地告诉你当前是在 “ 紧急模式 Emergency Mode ”。

# mount | grep root

为了修改 sysroot 文件系统，你需要用读写模式（rw）重新挂载它。

# mount -o remount,rw /sysroot

运行下面的命令修改环境，这就是大家熟知的 “监禁目录” 或 “chroot 监狱”。

# chroot /sysroot

现在，单用户模式已经完全准备好了。当你修复了你的问题要退出单用户模式时，执行下面的步骤。

CentOS/RHEL 7/8 默认使用 SELinux，因此创建下面的隐藏文件，这个文件会在下一次启动时重新标记所有文件。

# touch /.autorelabel

最后，用下面的命令重启系统。你也可以输入两次 exit 命令来重启你的系统。

# reboot -f

方法 2

通过用 init=/bin/bash 或 init=/bin/sh 替换内核中的 rhgb quiet 语句来以单用户模式启动 CentOS/RHEL 7/8 系统。

重启你的系统，在 GRUB2 启动界面，按下 e 键来编辑选中的内核。

找到语句 rhgb quiet，用 init=/bin/bash 或 init=/bin/sh 替换它，然后按下 Ctrl+x 或 F10 来进入单用户模式。

init=/bin/bash 的截图。

init=/bin/sh 的截图。

默认情况下，上面的操作会以只读（ro）模式挂载你的 / 分区，因此你需要以读写（rw）模式重新挂载 / 文件系统，这样才能修改它。

# mount -o remount,rw /

现在你可以执行你的任务了。当结束时，执行下面的命令来开启重启时的 SELinux 重新标记。

# touch /.autorelabel

最后，重启系统。

# exec /sbin/init 6

方法 3

通过用 rw init=/sysroot/bin/sh 参数替换内核中的 ro 单词，以单用户模式启动 CentOS/RHEL 7/8 系统。

为了中断自动启动的过程，重启你的系统并在 GRUB2 启动界面按下任意键。

现在会展示你系统上所有可用的内核，选择最新的内核，按下 e 键来编辑选中的内核参数。

找到以 linux 或 linux16 开头的语句，用 rw init=/sysroot/bin/sh 替换 ro。替换完后按下 Ctrl+x 或 F10 来进入单用户模式。

运行下面的命令把环境切换为 “chroot 监狱”。

# chroot /sysroot

如果需要，做出必要的修改。修改完后，执行下面的命令来开启重启时的 SELinux 重新标记。

# touch /.autorelabel

最后，重启系统。

# reboot -f

via: https://www.2daygeek.com/boot-centos-7-8-rhel-7-8-single-user-mode/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：lxbwolf 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

防火墙是你的计算机防止网络入侵的第一道屏障。为确保你的安全，请下载我们的备忘单。

合理的防火墙是你的计算机防止网络入侵的第一道屏障。你在家里上网，通常互联网服务提供会在路由中搭建一层防火墙。当你离开家时，那么你计算机上的那层防火墙就是仅有的一层，所以配置和控制好你 Linux 电脑上的防火墙很重要。如果你维护一台 Linux 服务器，那么知道怎么去管理你的防火墙同样重要，只要掌握了这些知识你才能保护你的服务器免于本地或远程非法流量的入侵。

安装防火墙

很多 Linux 发行版本已经自带了防火墙，通常是 iptables。它很强大并可以自定义，但配置起来有点复杂。幸运的是，有开发者写出了一些前端程序来帮助用户控制防火墙，而不需要写冗长的 iptables 规则。

在 Fedora、CentOS、Red Hat 和一些类似的发行版本上，默认安装的防火墙软件是 firewalld，通过 firewall-cmd 命令来配置和控制。在 Debian 和大部分其他发行版上，可以从你的软件仓库安装 firewalld。Ubuntu 自带的是 简单防火墙 Uncomplicated Firewall （ufw），所以要使用 firewalld，你必须启用 universe 软件仓库：

$ sudo add-apt-repository universe
$ sudo apt install firewalld

你还需要停用 ufw：

$ sudo systemctl disable ufw

没有理由不用 ufw。它是一个强大的防火墙前端。然而，本文重点讲 firewalld，因为大部分发行版都支持它而且它集成到了 systemd，systemd 是几乎所有发行版都自带的。

不管你的发行版是哪个，都要先激活防火墙才能让它生效，而且需要在启动时加载：

$ sudo systemctl enable --now firewalld

理解防火墙的域

Firewalld 旨在让防火墙的配置工作尽可能简单。它通过建立 域 zone 来实现这个目标。一个域是一组的合理、通用的规则，这些规则适配大部分用户的日常需求。默认情况下有九个域。

• trusted：接受所有的连接。这是最不偏执的防火墙设置，只能用在一个完全信任的环境中，如测试实验室或网络中相互都认识的家庭网络中。
• home、work、internal：在这三个域中，接受大部分进来的连接。它们各自排除了预期不活跃的端口进来的流量。这三个都适合用于家庭环境中，因为在家庭环境中不会出现端口不确定的网络流量，在家庭网络中你一般可以信任其他的用户。
• public：用于公共区域内。这是个偏执的设置，当你不信任网络中的其他计算机时使用。只能接收选定的常见和最安全的进入连接。
• dmz：DMZ 表示隔离区。这个域多用于可公开访问的、位于机构的外部网络、对内网访问受限的计算机。对于个人计算机，它没什么用，但是对某类服务器来说它是个很重要的选项。
• external：用于外部网络，会开启伪装（你的私有网络的地址被映射到一个外网 IP 地址，并隐藏起来）。跟 DMZ 类似，仅接受经过选择的传入连接，包括 SSH。
• block：仅接收在本系统中初始化的网络连接。接收到的任何网络连接都会被 icmp-host-prohibited 信息拒绝。这个一个极度偏执的设置，对于某类服务器或处于不信任或不安全的环境中的个人计算机来说很重要。
• drop：接收的所有网络包都被丢弃，没有任何回复。仅能有发送出去的网络连接。比这个设置更极端的办法，唯有关闭 WiFi 和拔掉网线。

你可以查看你发行版本的所有域，或通过配置文件 /usr/lib/firewalld/zones 来查看管理员设置。举个例子：下面是 Fefora 31 自带的 FedoraWorkstation 域：

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Fedora Workstation</short>
  <description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="samba-client"/>
  <port protocol="udp" port="1025-65535"/>
  <port protocol="tcp" port="1025-65535"/>
</zone>

获取当前的域

任何时候你都可以通过 --get-active-zones 选项来查看你处于哪个域：

$ sudo firewall-cmd --get-active-zones

输出结果中，会有当前活跃的域的名字和分配给它的网络接口。笔记本电脑上，在默认域中通常意味着你有个 WiFi 卡：

FedoraWorkstation
  interfaces: wlp61s0

修改你当前的域

要更改你的域，请将网络接口重新分配到不同的域。例如，把例子中的 wlp61s0 卡修改为 public 域：

$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public

你可以在任何时候、任何理由改变一个接口的活动域 —— 无论你是要去咖啡馆，觉得需要增加笔记本的安全策略，还是要去上班，需要打开一些端口进入内网，或者其他原因。在你凭记忆学会 firewall-cmd 命令之前，你只要记住了关键词 change 和 zone，就可以慢慢掌握，因为按下 Tab 时，它的选项会自动补全。

更多信息

你可以用你的防火墙干更多的事，比如自定义已存在的域，设置默认域，等等。你对防火墙越了解，你在网上的活动就越安全，所以我们创建了一个备忘单便于速查和参考。

• 下载你的 防火墙备忘单。（需注册）

via: https://opensource.com/article/20/2/firewall-cheat-sheet

作者：Seth Kenlon 选题：lujun9972 译者：lxbwolf 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

网络防火墙，顾名思义：为了阻止不需要的网络连接而设置的防护性屏障。在与外界建立连接或是提供网络服务时常常会用到。例如，在学校或是咖啡厅里使用笔记本电脑时，你一定不想某个陌生人窥探你的电脑。

每个 Fedora 系统都内置了一款防火墙。这是 Linux 内核网络功能的一部分。本文介绍如何通过 firewall-cmd 命令修改防火墙的配置。

网络基础

本文并不教授计算机网络的所有知识，但还是会简单介绍一些网络基础。

网络中的所有计算机都有一个 IP 地址，可以把它想象成一个邮箱地址，有了邮箱地址，邮件才知道发往何处。每台计算机还会拥有一组端口，端口号范围从 0 到 65535。同样的，你可以把这些端口想象成用来连接邮箱地址的连接点。

通常情况下，端口会是一个标准端口号或是根据应用程序的应答要求选定的一个端口范围。例如，一台 Web 服务器通常会保留 80 端口用于 HTTP 通信，443 端口用于 HTTPS。小于 1024 的端口主要用于系统或常见用途，1024-49151 端口是已经注册的，49152 及以上端口多为临时使用（只限短时间使用）。

互联网传输中最常见的两个协议，TCP 和 UDP。当要传输的数据很重要，不能有丢包时，就使用 TCP 协议，如果数据包没有按顺序到达，还需要重组为正确的顺序。UDP 协议则更多用于对时间敏感的服务，为了保证时效性，有时允许丢失部分数据。

系统中运行的应用，例如 Web 服务器，会保留一些端口（例如上文提到的 80 和 443）。在网络传输过程中，主机会为传输的两端建立一个链接，一端是源地址和源端口，另一端是目的地址和目的端口。

网络防火墙就是基于地址、端口及其他标准的一组规则集，来对网络数据的传输进行屏蔽或阻断的。通过 firewall-cmd 命令，我们就可以查看或修改防火墙的工作配置。

防火墙域（zone）

为了验证防火墙是否开启，使用 firewall-cmd 命令，输入时要加上 sudo。（通常，在运行了 PolicyKit 的环境中，你也可以不加 sudo）

$ sudo firewall-cmd --state
running

firewalld 服务支持任意数量的域。每个域都可以拥有独立的配置和防护规则。一台 Fedora 工作站的外部接口（例如 WIFI 或有线网卡）其默认域为 FedoraWorkstation。

要看有哪些域是激活状态，可以使用 -–get-active-zones 选项。在本示例中，有两个网卡，有线以太网卡 wlp2s0 和虚拟（libvirt）桥接网卡 virbr0：

$ sudo firewall-cmd --get-active-zones
FedoraWorkstation
  interfaces: wlp2s0
libvirt
  interfaces: virbr0

如果想看看默认域是什么，或是直接查询所有域：

$ sudo firewall-cmd --get-default-zone
FedoraWorkstation
$ sudo firewall-cmd --get-zones
FedoraServer FedoraWorkstation block dmz drop external home internal libvirt public trusted work

查询默认域中防火墙放行了哪些系统，使用 -–list-services 选项。下例给出了一个定制系统的查询结果，你可以看到与常见的结果有些不同。

$ sudo firewall-cmd --list-services
dhcpv6-client mdns samba-client ssh

该系统对外开启了四个服务。每个服务都对应一个常见端口。例如 ssh 服务对应 22 端口。

如果要查看当前域中防火墙还开启了哪些端口，可以使用 --list-ports 选项。当然，你也可以随时对其他域进行查询：

$ sudo firewall-cmd --list-ports --zone=FedoraWorkstation
1025-65535/udp 1025-65535/tcp

结果表明，从 1025 到 65535 端口（包含 UDP 和 TCP）默认都是开启的。

修改域、端口及服务

以上的配置都是预先设计好的防火墙策略。是为了确保新手用户安装的应用都能够正常访问网络。如果你确定自己心里有数，想要一个保护性更强的策略，可以将接口放入 FedoraServer 域，明确禁止所有端口的访问。（警告：如果你的服务器之前是联网状态，这么做可能会导致连接中断，那你就得到机房里去修改更多的配置项！）

$ sudo firewall-cmd --change-interface=<ifname> --zone=FedoraServer
success

本文并不讨论如何制定防火墙策略，Fedora 社区里已经有很多讨论了。你大可以按照自身需要来修改配置。

如果你想要开放某个服务的常见端口，可以将该服务加入默认域（或使用 --zone 指定一个不同的域）。还可以一次性将其加入多个域。下例开放了 HTTP 和 HTTPS 的常见端口 80、443：

$ sudo firewall-cmd --add-service=http --add-service=https
success

并非所有的服务都有默认端口，不过大部分都是有的。使用 -–get-services 选项可以查看完整列表。

如果你想指定某个特定端口号，可以直接用数字和协议进行配置。（多数情况下，-–add-service 和 -–add-port 这两个选项是合在一起使用的）下例开启的是 UDP 协议的网络启动服务：

$ sudo firewall-cmd --add-port=67/udp
success

重要：如果想要在系统重启或是 firewalld 服务重启后，配置仍然生效，必须在命令中加上 -–permanent 选项。本文中的例子只是临时修改了配置，下次遇到系统重启或是 firewalld 服务重启，这些配置就失效了。

以上只是 firewall-cmd 和 firewalld 服务诸多功能中的一小部分。firewalld 项目的主页还有更多信息值得你去探索和尝试。

via: https://fedoramagazine.org/control-the-firewall-at-the-command-line/

作者：Paul W. Frields 选题：lujun9972 译者：tinyeyeser 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我们来研究下 Linux 上的 ufw（简单防火墙），为你更改防火墙提供一些见解和命令。

ufw（ 简单防火墙 Uncomplicated FireWall ）真正地简化了 iptables，它从出现的这几年，已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单，这对新管理员来说是一个福音，否则他们可能需要投入大量时间来学习防火墙管理。

ufw 也有 GUI 客户端（例如 gufw），但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令，并研究了它的工作方式。

首先，快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置，使用 grep 来抑制了空行和注释（以 # 开头的行）的显示。

$ grep -v '^#\|^$' /etc/default/ufw
IPV6=yes
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的，默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。

ufw 命令的基本语法如下所示，但是这个概要并不意味着你只需要输入 ufw 就行，而是一个告诉你需要哪些参数的快速提示。

ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令，但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集，因此你要做有好多行输出的准备。

要检查 ufw 的状态，请运行以下命令。注意，即使是这个命令也需要使用 sudo 或 root 账户。

$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       192.168.0.0/24
9090                       ALLOW       Anywhere
9090 (v6)                  ALLOW       Anywhere (v6)

否则，你会看到以下内容：

$ ufw status
ERROR: You need to be root to run this script

加上 verbose 选项会提供一些其它细节：

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    192.168.0.0/24
9090                       ALLOW IN    Anywhere
9090 (v6)                  ALLOW IN    Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接：

$ sudo ufw allow 80         <== 允许 http 访问
$ sudo ufw deny 25              <== 拒绝 smtp 访问

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

$ grep 80/ /etc/services
http            80/tcp          www             # WorldWideWeb HTTP
socks           1080/tcp                        # socks proxy server
socks           1080/udp
http-alt        8080/tcp        webcache        # WWW caching service
http-alt        8080/udp
amanda          10080/tcp                       # amanda backup services
amanda          10080/udp
canna           5680/tcp                        # cannaserver

或者，你可以命令中直接使用服务的名称。

$ sudo ufw allow http
Rule added
Rule added (v6)
$ sudo ufw allow https
Rule added
Rule added (v6)

进行更改后，你应该再次检查状态来查看是否生效：

$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       192.168.0.0/24
9090                       ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere         <==
443/tcp                    ALLOW       Anywhere         <==
9090 (v6)                  ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)    <==
443/tcp (v6)               ALLOW       Anywhere (v6)    <==

ufw 遵循的规则存储在 /etc/ufw 目录中。注意，你需要 root 用户访问权限才能查看这些文件，每个文件都包含大量规则。

$ ls -ltr /etc/ufw
total 48
-rw-r--r-- 1 root root 1391 Aug 15  2017 sysctl.conf
-rw-r----- 1 root root 1004 Aug 17  2017 after.rules
-rw-r----- 1 root root  915 Aug 17  2017 after6.rules
-rw-r----- 1 root root 1130 Jan  5  2018 before.init
-rw-r----- 1 root root 1126 Jan  5  2018 after.init
-rw-r----- 1 root root 2537 Mar 25  2019 before.rules
-rw-r----- 1 root root 6700 Mar 25  2019 before6.rules
drwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d
-rw-r--r-- 1 root root  313 Mar 18 17:30 ufw.conf
-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules
-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules

本文前面所作的更改，为 http 访问添加了端口 80 和为 https 访问添加了端口 443，在 user.rules 和 user6.rules 文件中看起来像这样：

# grep " 80 " user*.rules
user6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPT
user.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPT
You have new mail in /var/mail/root
# grep 443 user*.rules
user6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPT
user.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT

使用 ufw，你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接：

$ sudo ufw deny from 208.176.0.50
Rule added

status 命令将显示更改：

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    192.168.0.0/24
9090                       ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
Anywhere                   DENY IN     208.176.0.50             <== new
9090 (v6)                  ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)

总而言之，ufw 不仅容易配置，而且且容易理解。

via: https://www.networkworld.com/article/3533551/linux-firewall-basics-with-ufw.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出