追蹤
NEIL's_學而時習之x不學無術~私藏IT技術經驗分享部落
關於部落格
NEIL. Cheng....寫作只是為了日後工作之備忘操作參考

本部落格文章撰寫前進邁向第五年(since 2009 ~至今)仍繼續推進分享IT學習!!About Windows/Linux Server,Virtualization


分享網誌: 由於,本人預先完成LAB後,才補上撰寫文章與截圖,若發現文圖對照說明有誤..本人將盡快校正,也請不吝指教! Thanks!

  • 174780

    累積人氣

  • 11

    今日人氣

    1

    追蹤人氣

RedHat RHCE EX300 5/20 Pass By Near

 由於權限防火牆開啟,我還特別寫成一個開機Script.sh 檔案掛載/etc/rc.local

方便讓這些服務開機時可自動載入相關防火牆條例類似如下

註: 資安機制機制是可以使用TCP-wrapper  , host.deny 來阻檔來源端網段亦OK

      不過本人在參與此次考試時很快速建立各服務之防火牆設定


考試當天我開了Web,FTP,NFS,Samba,Postfix 幾個服務之Port ,參考如下

題幹有要求允許哪個網段可以過?允許哪些User可以存取該服務?哪些網段或主機不可存取

..等等目標要求.


 ------------------------------/usr/local/bin/firewall.sh---------------------------------

#!/bin/bash

###FLUSH RULES###

A=/sbin/iptables

$A  -F

##### MODULES for FTP####

modprobe nf_conntrack_ftp

modprobe nf_nat_ftp

#########Port Define########

web=80,443
ftp=21
nfs=111,2049,892,875,32803
smb_u=137,138
smb_t=139,445
mail=25,110,143
dns=53
ntp=123
iscsi=3260

###########ACCEPT NETWORK##########

home=192.168.11.0/24

 
######RULES START#######

$A -A INPUT -m state --state INVALID -j DROP

$A -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$A -A INPUT -p icmp --icmp-type 8 -j REJECT  #尚須把其他TYPE設為ACCEPT本機才可以對外ping

$A -A INPUT -i lo -s 127.0.0.1 -j ACCEPT

$A -A INPUT -p tcp -s $home -d 192.168.11.88 --dport 22 -j ACCEPT

#########################SMB###############################################

$A -A INPUT -p udp  -s $home  -m multiport --dports $smb_u -j ACCEPT

$A -A INPUT -p tcp --syn -s $home  -m multiport --dports $smb_t -j ACCEPT

#########################NFS#############################################

$A -A INPUT -p tcp --syn -s $home  -m multiport --dports $nfs -j ACCEPT

$A -A INPUT -p udp  -s $home  -m multiport --dports $nfs -j ACCEPT

#######################HTTP_WEB###########################################

$A -A INPUT -p tcp --syn -s $home  -m multiport --dports $web -j ACCEPT

######################VSFTPD#############################################

$A -A INPUT -p tcp --syn -s $home  -m multiport --dports $ftp -j ACCEPT

#############E-MAIL#############

$A -A INPUT -p tcp --syn -s $home  -m multiport --dports $mail -j ACCEPT

############################NTP########################################

$A -A INPUT -p udp  -s $home  --dport $ntp -j ACCEPT

##########################ISCSI########################################

$A -A INPUT -p tcp --syn -s $home --dport $iscsi -j ACCEPT

###########Dafault Policy############

$A -A INPUT -j REJECT

---------------------------------

> chmod +x /usr/local/bin/firewall.sh                  #設定該script可以被execute

> echo " /usr/local/bin/firewall.sh" >> /etc/rc.local   #寫入rc.local,讓防火牆開機時可被載入Rules

#由於本人最近有興趣摸應用層Layer 7 iptables 組態與Transparent(透通式) mode 防火牆 

  希望,有機會可以在日後發表測試配置成果分享


考試心得總論:

本期待這次考試可以出 Https(SSL 加密), Cgi-bin(支援Cgi 語言) DNS Cache Only

NTP Server 進階配置...等章節內容以平均比例出題...反而考出來題幹跟我所想不同

呵呵(苦笑..題目方向與本人猜測真不易匹配) 最後還是
Cheers My RHCE !!!!!!!!!!!!!!!!!!!
     
       分享Near''s RHCSA 上課濃縮要點筆記(增修中,供有需要考RHCE同仁參考)

 

分享Near's RHCE 上課濃縮要點筆記  (增修中,供有需要考RHCE同仁參考) 
   

 
相簿設定
標籤設定
相簿狀態