潇的博客

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux系统的防火墙体系基于内核编码实现，具有非常稳定的性能和高效率，也因此获得广泛的应用。netfilter：指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态，又称为内核空间）的防火墙功能体系。iptables：指的是用来管理Linux防火墙的命令程序，通常位于目录下，属于“用户态User Space。

firewalld的作用是为包过滤机制提供匹配规则（或称为策略），通过各种不同的规则， 告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙，firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4IPv6防火墙设置以及以太网桥，并且拥有两种配置模式：运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。

一：分离解析一：分离解析DNS的分离解析，是指根据不同的客户端提供不同的域名解析记录。来自不同地址的客户机请求析同一域名时，为其提供不同的解析结果。也就是内外网客户请求访问相同的域名时，能解析出不同的IP地址，实现负载均衡1.为dns服务器添加两个网卡ns1的ens33网卡的桥接不变（NAT模式）------->内网客户机192.168.10.106（NAT模式）ns1的ens36网卡桥接到仅主机模式------>外网客户机172.16.16.106，桥接为仅主机模式。

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 //GPG 公钥文件的位置。光盘自带的更多其他软件包（必须包括存在依赖关系的所有安装文件），除了准备相应的目录之外，还需要手动创建 repodata。命令可以获得系统中的软件安装情况，也可以查询软件仓库中可用的软件包列表，其中子命令 list。当需要将同一个目录共享给不同的客户机，且分配不同的权限时，只要以空格分隔指定多个“在客户机中只要正确指定软件仓库的地址等信息，就可以通过对应的“

若看到“Network is unreachable”的反馈信息，则表示没有可用的路由记录（如默认网关），无法达到目标主机所在的网络。除此以外，当目标主机有严格的防火墙限制时，也可能收到“Request timeout”的反馈结果。ss 命令的输出结果，可以提供 TCP 和 UDP 的 socket 信息，以及各种服务建立的持连结，熟悉这个命令有助于更好的发现与解决系统性能问题。选项使用，可以将路由记录中的地址显示为数字形式，这可以跳过解析主机名的过程，在路由表条目较多的情况下能够加快执行速度。

文件是存储在硬盘上的，硬盘的最小存储单位叫做扇区sector），每个扇区存储512字节。操作系统读取硬盘的时候，不会一个个扇区地读取，这样效率太低，而是一次性连续读取多个扇区，即一次性读取一个"块block这种由多个扇区组成的块，是文件存取的最小单位。块的大小，最常见的是4KB，即连续八个sector组成一个block。文件数据存储在块中，那么还必须找到一个地方存储文件的元信息，比如文件的创建者、文件的创建日期、文件的大小等等。

将TCP服务程序包裹起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序，如下图所示。还可以记录所有企图访问被保护服务的行为，为管理员提供丰富的安全分析资料。对于大多数Linux发行版，是默认提供的功能。CentOS 7.3中使用的软件包是 tcp_wrappers-7.6-77.el7.x86_64.rpm，该软件包提供了执行程序tcpd和共享链接库文件 libwrap.so.*，对应。

例如，若当前的 DNS 域为“bdqn.com”，则在文件中的主机地址“www”相当于“www.wind.com.”。记录中的更新序列号用来同步主、从服务器的区域数据，当从服务器判断区域更新时，若发现主服务器中的序列号与本地区域数据中的序列号相同，则不会进行下载。由于从服务器的区域数据文件是从主服务器中下载而来，因此该文件保存的名称可以自行定义，不用与主服务器中的名称一致。命令查看手册页，也可参考配置样本文件/usr/share/doc/bind-9.9.4/sample/etc/named.conf。

一：DHCP工作原理1.1：了解DHCP服务DHCP动态主机配置协议）是由Internet工作任务小组设计开发的，专门用于为 TCP/IP网络中的计算机自动分配TCP/IP参数的协议。DHCP服务避免了因手动设置IP地址所产生的错误，同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突。DHCP提供了安全、可靠且简单的TCP/IP网络设置，降低了配置 IP地址的负担1.2：使用DHCP的好处。

Enter 键确认后将自动通过网络下载安装文件，并进入图形安装程序界面，若能够成功到达这一步，说明。目录下，使客户机能够通过 ftp://192.168.4.254/centos7/ks.cfg。窗口中，可以针对基本配置、安装方法、引导装载程序选项、分区信息、网络配置等各种安装设置进行指定。命令，指定目标文件夹、文件名，将配置好的应答参数保存为文本文件，如/root/ks.cfg。远程安装服务器以后，就可以使用客户机进行安装测试了。开头的软件包列表，将不需要的软件名删除，剩下的就是系统会自动安装的软件包。

FTP是一种数据传输协议，负责将我们电脑上的数据与服务器数据进行交换。FTP（全称：File Transfer Protocol）是TCP/IP网络上两台计算机传送文件的协议，FTP是TCP/IP网络和INTERNET上最早使用的协议之一，它属于网络协议组的应用层。FTP客户机可以给服务器发出命令来下载文件，上载文件，创建或改变服务器上的目录，一般我们均是将我们电脑中的内容与服务器数据进行性传输。

用户账号是计算机使用者的身份凭证或标识，每个要访问系统资源的人，必须凭借其用户账号才能进入计算机。在 Linux 系统中，提供了多种机制来确保用户账号的正当、安全使用