实战精品 2.iptablesautofs

企业需求：
一、配置ssh允许sisi用户访问，拒绝remote.com域访问
二、配置ftp允许匿名从/var/ftp/pub目录中下载,拒绝remote.com域访问
三、将/root/cdrom.iso挂到/opt/data下，并设置为开机自动挂载
 
实施步骤:
一、配置ssh允许sisi用户访问，拒绝remote.com域访问。
1.sshd默认是安装，并开机启动。为了保险：可以重写一遍！针对iptables，也一样！
  [root@dtop30 ~]# chkconfig sshd on
  [root@dtop30 ~]# service sshd restart
  [root@dtop30 ~]# chkconfig iptables on
  [root@dtop30 ~]# service iptables restart
2.防火墙默认策略是：ACCEPT。先清空！
  [root@dtop30 ~]# iptables -L
  [root@dtop30 ~]# iptables -F
  [root@dtop30 ~]# iptables -X
  [root@dtop30 ~]# iptables -Z
  [root@dtop30 ~]# iptables -t nat -F
  [root@dtop30 ~]# iptables -t nat -X
  [root@dtop30 ~]# iptables -t nat -Z
3.添加控制条目。因为都是拒绝为172.25.0.0/16提供服务。所以一条命令，就搞定所有了。
    注意：网段掩码“16”
   [root@dtop30 ~]# iptables -A INPUT -s 172.25.0.0/16 -j REJECT  注意：这里只能用REJECT
   [root@dtop30 ~]# service iptables save                            千成别忘了保存！
   [root@dtop30 ~]# iptables -nvL                查看配置结果！
 
也可以这样：按要求，一条条写！
 iptables -F
 iptables -X
 iptables -Z
 iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 22 -j REJECT
 iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -j REJECT
 iptables -A INPUT -s 172.16.0.0/16 -p udp --dport 21 -j REJECT
 service iptables save
 iptables -nvL
 
二、配置ftp允许匿名从/var/ftp/pub目录中下载,拒绝remote.com域访问。
    注意：也可能要求匿名用户有上载的权限
1.安装vsftpd，并开机启动。  
    [root@dtop30 ~]# yum -y install vsftpd
    [root@dtop30 ~]# chkconfig vsftpd on
    [root@dtop30 ~]# service vsftpd start
2.编辑vsftpd服务。
    [root@dtop30 ~]# vim /etc/vsftpd/vsftpd.conf
     anonymous_enable=YES                第12行：匿名用户访问。默认就是。
     anon_upload_enable=YES              第27行：匿名用户上传。
     anon_mkdir_write_enable=YES         第31行：匿名用户可写入。上传要有这条写入的功能！
     2.iptables&autofs_iso" height=68 alt="RHCE_RHEL6_实战精品 2.iptables&autofs_iso"

3.服务有入的功能，同时文件夹也有写入的权限！
   [root@dtop30 ~]# chmod o+w /var/ftp/pub/
4.ftp服务还受selinux的保护，所以也要开启相应的功能！
   [root@dtop30 ~]# getsebool –a |grep ftpd
   [root@dtop30 ~]# setsebool –P allow_ftpd_full_access on   注意：大写的“P”
5.测试：
   [root@dtop30 ~]# service vsftpd restart
   [root@dtop30 ~]# lftp localhost
     Localhost:~> cd pub

6.拒绝remote.com域访问。已经在上一步和sshd一起搞定了！
 
三、将/root/cdrom.iso挂到/opt/data下，并设置为开机自动挂载
1.创建挂载点，写入/etc/fstab。注意文件系统类型是：iso9660
   [root@dtop30 ~]# mkdir /opt/data
   [root@dtop30 ~]# mount /root/cdrom.iso /opt/data
   [root@dtop30 ~]# vim /etc/fstab
   ...                  挂载点     文件系统类型
   /root/cdrom.iso   /opt/data   iso9660   defaults 0 0
   ...
2.挂载。查看验证。
   [root@dtop30 ~]# mount -a
   [root@dtop30 ~]# mount