我已经从命令行使用netfilter设置了一些IPTables规则(在Centos上)。 SSH是允许的,FTP不是。 当我testing这个,它工作正常。
但是,如果我连接到GNOME桌面,看看系统 – >pipe理 – >安全级别和防火墙(我认为是graphics用户界面的system-config-securitylevel),它显示防火墙启用,并没有任何可用的服务信任,包括SSH 。
我期待它反映我创build的iptables规则。
这表明IPTables和system-config-securitylevel规则是独立的,并且IPTables规则优先。 然而,我所做的这本书和阅读和冲浪似乎表明,它们只是同一防火墙的两个接口。
任何人都可以为我清除这个。 提前致谢。 C
SSH通常位于22端口,这是我的iptables规则:
Chain INPUT (policy DROP 1000 packets, 144K bytes) pkts bytes target prot opt in out source destination 9024 900K fail2ban-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 11393 1107K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 29519 3091K ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 17465 1952K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 1287 735K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 55448 packets, 37M bytes) pkts bytes target prot opt in out source destination Chain fail2ban-SSH (1 references) pkts bytes target prot opt in out source destination 8987 895K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 在GNOME桌面上的系统 – >pipe理 – >安全级别和防火墙我有一个窗口,显示启用防火墙和服务,我可以勾选可信任的列表:FTP,邮件,NS4,SSH,桑巴,HTTPS, HTTP,telnet尽pipe有上面的IPtables规则,但是没有出现勾号。
对于初学者是SSH上运行一个自定义的端口?
其次,你可以发布你的iptables规则集的副本,以及gui接口集的描述。
列出iptables:
iptables -L -n -v
更新:
它看起来是一些事情,其中一个是fail2ban的增加。 更不用说system-config-securitylevel以一种非常具体的方式configuration防火墙,除了这个确切的设置以外的任何东西都会导致它不能识别这些服务,因为它没有以相同的方式configuration。 这是差异的原因,也是可以预料的。
iptables中列出的是有效的规则。 不pipe什么system-config-securitylevel状态,iptables -L将总是显示现有的和活动的规则集。
防火墙与SELinux不同。 防火墙用于通过networking端口停止访问,SELinux是本地保护(增强的权限,文件标签和进程安全性)。 他们可以分开configuration,而且他们独立行事。
两者都没有优先权,只是如果被防火墙阻止,SSHstream量根本无法到达您的盒子。 SELinux的SSH规则可以确保SSH进程在实际服务器上运行时不会试图超越它的边界(写入怪异文件,更新不应该更新的东西等)。
简而言之,您可以将SELinux视为本地保护,将防火墙视为远程保护(大多数情况下为真)。