Firewall命令
一、Firewall的基本命令 # 查看firewall运行状态 systemctl status firewall # 停止firewall systemctl stop firewall # 启动firewall systemctl start firewalld # 启用开机启动 systemctl enable firewalld # 禁用开机启动 systemctl disable firewalld 二、Firewall的配置命令 # 查看配置命令的版本 firewall-cmd --version # 查看状态 firewall-cmd --state # 查看打开的端口 firewall-cmd --list-ports # 更新防火墙的规则 firewall-cmd --reload # 查看已激活的区域 firewall-cmd --get-active-zones # 查看是否拒绝 firewall-cmd --query-panic # 拒绝所有包 firewall-cmd --panic-on # 取消拒绝状态 firewall-cmd --panic-off 三、Firewall开启和关闭端口 (以下都是指在public的zone下的操作,不同的Zone只要改变Zone后面的值就可以了) # 添加8080端口 firewall-cmd --zone=public --add-port=8080/tcp --permanent # 删除8080端口 firewall-cmd --zone=public --remove-port=8080/tcp --permanent 四、Firewall开启和关闭服务(以smtp为例,添加到work zone区域中) # 添加smtp服务 firewall-cmd --zone=work --add-service=smtp # 删除smtp服务 firewall-cmd --zone=work --remove-service=smtp
Iptables命令
命令选项输入顺序 iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作 # 实例 # 查看规则: iptables -L # 查看NAT表的规则 iptables -t nat -L # 空当前的所有规则和计数 iptables -F # 清空所有的防火墙规则 iptables -X # 删除用户自定义的空链 iptables -Z # 清空计数 # 配置允许ssh端口连接 iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT # 允许本地回环地址可以正常使用 iptables -A INPUT -i lo -j ACCEPT # 设置默认的规则 iptables -P INPUT DROP # 配置默认的不让进 iptables -P FORWARD DROP # 默认的不允许转发 iptables -P OUTPUT ACCEPT # 默认的可以出去 # 配置白名单 iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT # 允许机房内网机器可以访问 iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT # 允许机房内网机器可以访问 iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT # 允许183.121.3.7访问本机的3380端口 # 开启相应的服务端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开启80端口,因为web对外都是这个端口 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允许被ping iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来 # 保存规则到配置文件中 cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改动之前先备份,请保持这一优秀的习惯 iptables-save > /etc/sysconfig/iptables cat /etc/sysconfig/iptables # 清除已有规则 iptables -F INPUT # 清空指定链 INPUT 上面的所有规则 iptables -X INPUT # 删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。 # 如果没有指定链名,则会删除该表中所有非内置的链。 iptables -Z INPUT # 把指定链,或者表中的所有链上的所有计数器清零。 # 删除已添加的规则 # 添加一条规则 iptables -A INPUT -s 192.168.1.5 -j DROP iptables -L -n --line-numbers # 将所有iptables以序号标记显示,执行 iptables -D INPUT 8 # 比如要删除INPUT里序号为8的规则,执行: # 开放指定的端口 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行 iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口 iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口 iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口 iptables -A INPUT -j reject #禁止其他未允许的规则访问 iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问 # 屏蔽IP iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP # 屏蔽恶意主机(比如,192.168.0.8 iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令 iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令 iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是 # 指定数据包出去的网络接口 iptables -A FORWARD -o eth0 # 查看已添加的规则 iptables -L -n -v # 启动网络转发规则 # 公网210.14.67.7让内网192.168.188.0/24上网 iptables -t nat -A POSTROUTING -s 192.168.188.0/24 -j SNAT --to-source 210.14.67.127 # 端口映射 # 本机的 2222 端口映射到内网 虚拟机的22 端口 iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222 -j DNAT --to-dest 192.168.188.115:22 # 字符串匹配 # 比如,我们要过滤所有TCP连接中的字符串test,一旦出现它我们就终止这个连接,我们可以这么做: iptables -A INPUT -p tcp -m string --algo kmp --string "test" -j REJECT --reject-with tcp-reset iptables -L # 阻止Windows蠕虫的攻击 iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe" # 防止SYN洪水攻击 iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT iptables -L -F -A -D # list flush append delete # 场景一 开放 tcp 10-22/80 端口 开放 icmp 其他未被允许的端口禁止访问存在的问题: 本机无法访问本机; 本机无法访问其他主机 iptables -I INPUT -p tcp --dport 80 -j ACCEPT # 允许 tcp 80 端口 iptables -I INPUT -p tcp --dport 10:22 -j ACCEPT # 允许 tcp 10-22 端口 iptables -I INPUT -p icmp -j ACCEPT # 允许 icmp iptables -A INPUT -j REJECT # 添加一条规则, 不允许所有 # 优化场景一 iptables -I INPUT -i lo -j ACCEPT # 允许本机访问 iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许访问外网 iptables -I INPUT -p tcp --dport 80 -s 10.10.188.233 -j ACCEPT # 只允许固定ip访问80 # 场景二 ftp: 默认被动模式(服务器产生随机端口告诉客户端, 客户端主动连接这个端口拉取数据) vsftpd: 使 ftp 支持主动模式(客户端产生随机端口通知服务器, 服务器主动连接这个端口发送数据) vi /etc/vsftpd/vsftpd.conf # 使用 vsftpd 开启 ftp 主动模式 port_enable=yes connect_from_port_20=YES iptables -I INPUT -p tcp --dport 21 -j ACCEPT vi /etc/vsftpd/vsftpd.conf # 建议使用 ftp 被动模式 pasv_min_port=50000 pasv_max_port=60000 iptables -I INPUT -p tcp --dport 21 -j ACCEPT iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT # 还可以使用 iptables 模块追踪来自动开发对应的端口 # 场景三 允许外网访问: web http -> 80/tcp; https -> 443/tcp mail smtp -> 25/tcp; smtps -> 465/tcp pop3 -> 110/tcp; pop3s -> 995/tcp imap -> 143/tcp。内部使用: file nfs -> 123/udp samba -> 137/138/139/445/tcp ftp -> 20/21/tcp remote ssh -> 22/tcp sql mysql -> 3306/tcp oracle -> 1521/tcp iptables -I INPUT -i lo -j ACCEPT # 允许本机访问 iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许访问外网 iptables -I INPUT -s 10.10.155.0/24 -j ACCEPT # 允许内网访问 iptables -I INPUT -p tcp -m multiport --dports 80,1723 -j ACCEPT # 允许端口, 80 -> http, 1723 -> vpn iptables -A INPUT -j REJECT # 添加一条规则, 不允许所有 iptables-save # 保存设置到配置文件 # 场景四 nat 转发 iptables -t nat -L # 查看 nat 配置 iptables -t nat -A POST_ROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232 # SNAT vi /etc/sysconfig/network # 配置网关 iptables -t nat -A POST_ROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.232:80 # DNAT #场景五 防CC攻击 iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT # 限制并发连接访问数 iptables -I INPUT -m limit --limit 3/hour --limit-burst 10 -j ACCEPT # limit模块; --limit-burst 默认为5