linux中iptable和firewalld详解

已于 2022-08-02 17:42:25 修改
阅读量960 收藏 1
点赞数 1
分类专栏: RHCE 文章标签: linux 网络 运维
于 2022-07-31 18:07:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fran_klin__/article/details/126087827
版权

目录

一、什么是防火墙

二、iptables

1.链的概念

2.表的概念

3.iptables语法格式和命令参数

4.实验一:搭建web服务,设置任何人能够通过80端口访问。

5.实验二:禁止所有人ssh远程登录该服务器

6.实验三:禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为172.24.8.128

三、firewalld

1.firewalld-cmd命令参数

2.禁止某个ip地址进行ssh访问

3.配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口)

4.此规则将本机80端口转发到192.168.1.1的8080端口上

一、什么是防火墙

防火墙:防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。

        防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件,这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件(或称为机制),例如Netfilter与TCP Wrappers都可以称为软件防火墙。这儿主要介绍linux系统本身提供的软件防火墙的功能,那就是Netfilter,即数据包过滤机制。

        数据包过滤,也就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决定该连接为放行或抵挡的机制。由于这种方式可以直接分析数据包头部数据,包括硬件地址,软件地址,TCP、UDP、ICMP等数据包的信息都可以进行过滤分析,因此用途非常广泛(主要分析OSI七层协议的2、3、4层)。由此可知,linux的Netfilter机制可以进行的分析工作有:

1、拒绝让Internet的数据包进入主机的某些端口;

2、拒绝让某些来源ip的数据包进入;

3、拒绝让带有某些特殊标志(flag)的数据包进入,最常拒绝的就是带有SYN的主动连接的标志了;

4、分析硬件地址(MAC)来决定连接与否。

虽然Netfilter防火墙可以做到这么多事情,不过,某些情况下,它并不能保证我们的网络一定就很安全。例如:

1、防火墙并不能有效阻挡病毒或木马程序。(假设主机开放了www服务,防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞,或者请求www服务的数据包本身就是病毒的一部分时,防火墙是阻止不了的)2、防火墙对于内部LAN的攻击无能为力(防火墙对于内部的规则设置通常比较少,所以就很容易

造成内部员工对于网络无用或滥用的情况)

        netfilter这个数据包过滤机制是由linux内核内建的,不同的内核版本使用的设置防火墙策略的软件不一样,在红帽7系统中firewalld服务取代了iptables服务,但其实iptables服务与firewalld服务它们都只是用来定义防火墙策略的“防火墙管理工具”而已,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter。

二、iptables

 防火墙会从以上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。

 iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:

 在进行路由选择前处理数据包,用于目标地址转换(PREROUTING);

处理流入的数据包(INPUT);

处理流出的数据包(OUTPUT);

处理转发的数据包(FORWARD);

在进行路由选择后处理数据包,用于源地址转换(POSTROUTING)。

1.链的概念

iptables开启后,数据报文从进入服务器到出来会经过5道关卡,分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后):

  • INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则;

  • OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链中的规则;

  • FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则;

  • PREROUTING链:(互联网进入局域网)在对数据包作路由选择之前,应用此链中的规则,如DNAT;

  • POSTROUTING链:(局域网出互联网)在对数据包作路由选择之后,应用此链中的规则,如SNAT。

2.表的概念

iptables提供了四种表:

filter表:主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG),所谓的防火墙其实基本上是指这张表上的过滤规则,对应内核模块iptables_filter;

nat表:network address translation,网络地址转换功能,主要用于修改数据包的IP地址、端口号等信息(网络地址转换,如SNAT、DNAT、MASQUERADE、REDIRECT)。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次,如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自动地被做相同的操作,也就是说,余下的包不会再通过这个表。对应内核模块iptables_nat;

mangle表:拆解报文,做出修改,并重新封装,主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。对应内核模块iptables_mangle;

raw表:是自1.2.9以后版本的iptables新增的表,主要用于决定数据包是否被状态跟踪机制处理,在匹配数据包时,raw表的规则要优先于其他表,对应内核模块iptables_raw。 我们最终定义的防火墙规则,都会添加到这四张表中的其中一张表中。

3.iptables语法格式和命令参数

语法格式:iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

iptables的参数说明:

参数

说明

-t

对指定的表进行操作,table必须是raw,nat,filter,mangle中的一个。默认是filter表。

-p

指定要匹配的数据包协议类型

-s

--source address/mask:把指定的一个或者一组地址作为源地址,按此规则进行过滤。当后面没有mask 时,address 是一个地址,比如:192.168.1.1;当 mask 指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0

-d

--destination address/mask:地址格式同上,但这里指定地址为目的地址,按此进行过滤

-i

--in-interface name:指定数据包的来自来自网络接口,比如最常见的 eth0 。注意:它只对 INPUT,FORWARD,PREROUTING 这三个链起作用。如果没有指定此选项, 说明可以来自任何一个网络接口。同前面类似,"!" 表示取反

-o

--out-interface name:指定数据包出去的网络接口。只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用

-L

--list [chain] 列出链 chain 上面的所有规则,如果没有指定链,列出表上所有链的所有规则

-A

--append chain rule-specification:在指定链 chain 的末尾插入指定的规则,也就是说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定

-I

--insert chain [rulenum] rule-specification:在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1,则在链的头部插入。这也是默认的情况,如果没有指定规则号

-D

--delete chain rule-specification -D, --delete chain rulenum:在指定的链 chain 中删除一个或多个指定规则

-R num

Replays替换/修改第几条规则

-P

--policy chain target :为指定的链 chain 设置策略 target。注意,只有内置的链才允许有策略,用户自定义的是不允许的

-F

--flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则

-N

--new-chain chain 用指定的名字创建一个新的链

-X

--delete-chain [chain] :删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链

-E

--rename-chain old-chain new-chain :用指定的新名字去重命名指定的链。这并不会对链内部照成任何影响

-Z

--zero [chain] :把指定链,或者表中的所有链上的所有计数器清零

-j

--jump target <指定目标> :即满足某条件时该执行什么样的动作。target 可以是内置的目标,比如 ACCEPT,也可以是用户自定义的链

-h

显示帮助信息

4.实验一:搭建web服务,设置任何人能够通过80端口访问。

[root@localhost ~]#  iptables -I INPUT -p tcp --dport 80 -j ACCEPT #允许任何人通过80端口访问
[root@localhost ~]# iptables  -L --line-numbers  #按数字查看
[root@localhost ~]# iptables -D INPUT 1   #删除INPUT 1

5.实验二:禁止所有人ssh远程登录该服务器

[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT
删除设置的拒绝ssh连接:
[root@localhost Desktop]# iptables -D INPUT 1

6.实验三:禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为172.24.8.128

拒绝172.24.8.129通过ssh远程连接服务器:
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 22 -j REJECT
允许172.24.8.129访问服务器的web服务:
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 80 -j ACCEPT

三、firewalld

         相比于传统的防火墙管理工具,firewalld支持动态更新技术并加入了区域的概念。区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以选择不同的集合,从而实现防火墙策略之间的快速切换。

firewalld中常见的区域名称(默认为public)以及相应的策略规则:

区域

默认规则策略

阻塞区域(block)

拒绝流入的流量,除非与流出的流量相关

工作区域(work)

拒绝流入的流量,除非与流出的流量相关

家庭区域(home)

拒绝流入的流量,除非与流出的流量相关

公共区域(public)

不相信网络上的任何计算机,只有选择接受传入的网络连接。

隔离区域(DMZ)

隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。

信任区域(trusted)

允许所有的数据包。

丢弃区域(drop)

拒绝流入的流量,除非与流出的流量相关

内部区域(internal)

等同于home区域

外部区域(external)

拒绝流入的流量,除非与流出的流量有关;而如果流量与ssh服务相关,则允许流量

1.firewalld-cmd命令参数

参数

作用

--get-default-zone

查询默认的区域名称

--set-default-zone=<区域名称>

设置默认的区域,使其永久生效

--get-zones

显示可用的区域

--get-services

显示预先定义的服务

--get-active-zones

显示当前正在使用的区域与网卡名称

--add-source=

将源自此IP或子网的流量导向指定的区域

--remove-source=

不再将源自此IP或子网的流量导向某个指定区域

--add-interface=<网卡名称>

将源自该网卡的所有流量都导向某个指定区域

--change-interface=<网卡名称>

将某个网卡与区域进行关联

--list-all

显示当前区域的网卡配置参数、资源、端口以及服务等信息

--list-all-zones

显示所有区域的网卡配置参数、资源、端口以及服务等信息

--add-service=<服务名>

设置默认区域允许该服务的流量

--add-port=<端口号/协议>

设置默认区域允许该端口的流量

--remove-service=<服务名>

设置默认区域不再允许该服务的流量

--remove-port=<端口号/协议>

设置默认区域不再允许该端口的流量

--reload

让“永久生效”的配置规则立即生效,并覆盖当前的配置规则

--panic-on

开启应急状况模式

--panic-off

关闭应急状况模式

2.禁止某个ip地址进行ssh访问

# 禁止某个ip地址进行ssh访问:
[root@good~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"


3.配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口)

# 配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口):
[root@good~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.24.8.0/24" forward-port port="5423" protocol="tcp" to-port="80"'

# 生效配置
[root@good~]# firewall-cmd --reload


4.此规则将本机80端口转发到192.168.1.1的8080端口上

# 此规则将本机80端口转发到192.168.1.1的8080端口上:

[root@good~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:todaddr=
192.168.1.1 --permanent

Fran_klin__
关注
专栏目录
iptables与firewalld防火墙
m0_62948770的博客
08-14 5276
认识安全的重要性,学习iptables和firewalld
【130】Linux 防火墙firewalldiptables的启动与关闭
小麦粒的Python
08-13 1590
Linux 防火墙firewalldiptables详解 FirewalldLinux系统自带的防火墙工具,通过管理Firewalld可以实现对netfilter进行...
防火墙
践踏记忆的博客
10-07 808
title: firewall设置 tags: RHCE categories: RHCE abbrlink: 55eac912 date: 2019-05-18 10:40:14 updated: 防火墙一些策略 管理firewalld 要求:server1上使用默认work区域,并且只放行来自server2的https流量 查看默认工作区域 [root@server_1 ~]# firew...
linux防火墙(firewalldiptables)_firewalld
最新发布
2401_86358891的博客
09-07 1095
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu18.04版以上所支持(apt install firewalld安装即可)firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供。
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1760
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
Linux防火墙——iptables以及firewalld的使用介绍
树下一少年的博客
01-22 2792
本文基于Linux上CentOS 7版本配合iptables、iptables-services、firewalld等服务进行演示 Linux防火墙——iptables以及firewalld的使用介绍 一.防火墙概念以及Netfilter机制介绍 二..iptables原理 三.firewalld(区域)简介 含端口转发
Linux防火墙的“四表五链“解析
小螺号的博客
05-25 4057
目录防火墙介绍iptables和firewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptables和firewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
FIREWALLD详解linux上开启防火墙
HHH's Blogs
09-03 1410
FIREWALLDlinux上开启防火墙目录定义访问控制列表防火墙功能包过滤防火墙原理linux内核iptables service网络各层技术点五元组 (保障网络安全)五个位置的钩子函数:定义及介绍五链四表动作防火墙的核心工作流程:数据包在规则表、链的匹配流程命令格式及说明案例详细讲解安 装iptables功能讲解:开放端口示例服务和区域预定义服务软硬芯片防火墙了解 目录 定义 1.从软、硬件...
Linux--防火墙{FirewalldIptables的关系,iptables四表五链,firewalld网络区域以及通过图形工具进行操作}
m0_47219942的博客
07-30 1456
Linux--防火墙{FirewalldIptables的关系,Firewalld配置方法,网络区域以及通过图形工具进行操作}前言一:FirewalldIptables概述1.1:Firewalld简介1.2:iptables简介二:FirewalldIptables的关系2.1:netfilter2.2:Firewalldiptables2.3:netfilter和Firewalldiptables关系2.4:Firewalldiptables的区别2:5:CentOS 6 和CentOS 7
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 3035
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统两个组件 netfilter 和 iptables的其一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
CentOS7系统的Firewalld防火墙基础详解
weixin_45409403的博客
11-11 813
Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,支持IPv4、IPv6防火 墙设置以及以太网桥,支持服务或应用程序直接添加防火墙规则接口。 拥有两种配置模式 1.运行时配置 2.永久配置 Firewalldiptables的关系 netfilter: 位于Linux内核的包过滤功能体系称为Linux防火墙的“内核态” Firewalld/iptable...
防火墙简介(二)——firewalld防火墙
想成功,靠自己
03-19 742
防火墙简介(二)——firewalld防火墙一、firewalld防火墙简介二、firewalldiptables 的区别三、firewalld 区域的概念1、firewalld防火墙9个区域2、区域介绍四、firewalld数据处理流程五、firewalld检查数据包的源地址规则六、firewalld防火墙的配置方法1、使用firewall-cmd 命令行工具2、使用firewall-config 图形工具3、编写/etc/firewalld/的配置文件七、区域管理八、服务管理九、端口管理 一
Linux--Iptables与Firewalld防火墙
小李学不完的博客
07-09 1156
防火墙管理工具、Iptables、Firewalld、服务的访问控制列表、Cockpit驾驶舱管理工具
Linux 防火墙配置(iptables和firewalld
热门推荐
m0_49864110的博客
02-21 2万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
防火墙Firewalldiptables)
2201_75444658的博客
08-01 639
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
运维iptables与firewalld详解
专注于输出具有实用价值的软件运维经验及教程
06-21 2075
关于iptables 与firewalld 的关键概念、常用操作、各自优势特点的详细记录。
iptables与firewalld使用指南
云天空的博客
01-31 1447
防火墙使用
Linux防火墙iptables与firewalld
yy150122的博客
08-08 674
防火墙的概念 安全技术 入侵检测与管理系统(Intrusion Detection Systems):特 点是不阻断任何网络访问,量化、定位来自内外网络的威胁情 况,主要以提供报告和事后监督为主,提供有针对性的指导措 施和安全决策依据。一般采用旁路部署方式 入侵防御系统(Intrusion Prevention System):以透明模 式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木 马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行 为后立即予以阻断,主动而有效的保护网络的安全,一般采用 在
FirewallIptables
qq_61468858的博客
05-29 727
软件防火墙:软件技术实现对数据包的过滤(iptables Firewall)硬件防火墙:使用硬件设备对数据包过滤使用软件防火墙Iptables/Firewalllinux操作系统内核的netfilter系统内核模块交互,实现数据包的过滤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值