服务之--防火墙策略

最新推荐文章于 2024-05-01 03:05:29 发布
最新推荐文章于 2024-05-01 03:05:29 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GodDevin/article/details/79403297
版权

三大表五大链

filter: INPUT, OUTPUT, FORWARD
nat: INPUT, OUTPUT, PREROUTING, POSTROUTING
mangle:INPUT, OUTPUT, PREROUTING, POSTROUTING, FORWARD

INPUT:进来的数据包应用此规则链中的策略
OUTPUT:外出的数据包应用此规则链中的策略
FORWARD:转发数据包应用此规则中的策略
PREROUTING:对数据包作路由选择前一共用此链中的策略(所有的数据包进来的时候都有这个链处理)
POSTROUTING:对数据包作路由选择后应用此链中的策略(所有的数据包出来的时候都由这个链处理)

初始设置

双网卡主机IP分别设置为不同网段
此处实验:
server主机:172.25.254.123和192.168.0.123
desktop主机:192.168.0.223

安装iptables
yum install iptables ##iptables是防火墙的另一个管理工具
systemctl stop firewalld ##需关闭firewalld工具
systemctl mask firewalld
systemctl start iptables ##开启iptables工具
systemctl enable iptables

一、iptables linux防火墙的管理工具

    -t    ##指定表名称,若未指定表,则默认为filter表
    -n    ##不做解析
    -L    ##列出指定表中的策略
    -A    ##增加策略
    -p    ##网络协议
-i    ##input
-o    ##output
    --dport    ##端口
    -s    ##数据来源
    -j    ##动作
    ACCEPT    ##允许
    REJECT    ##拒绝
    DROP    ##丢弃,不拒绝访问,但是不予理睬,会一直在保持接收的状态
    -N    ##增加链
    -E    ##修改链名称
    -X    ##删除链
    -D    ##删除指定策略
    -I    ##插入
    -R    ##修改策略
    -P    ##修给默认策略

1.参数实例:

iptables -t filter -nL ##查看filter表中的策略
iptables -F ##刷掉filter表中的所有策略
service iptables save ##保存当前策略到kelnel
这里写图片描述

iptables -A INPUT -i lo -j ACCEPT ##允许lo
iptables -A INPUT -p tcp –dport 22 -j ACCEPT ##允许访问22端口
iptables -A INPUT -s 172.25.254.23 -j ACCEPT ##允许23主机访问主机所有端口
iptables -A INPUT -j REJECT ##拒绝所有主机的数据来源
这里写图片描述
在该server主机安装http服务,用23主机访问该主机22端口的http服务,访问结果为允许
这里写图片描述

用非98主机的其他主机访问22端口的http服务,被拒绝
这里写图片描述

iptables -N redhat ##增加链redhat
这里写图片描述

iptables -E redhat westos ##修改redhat的链的名字为westos
这里写图片描述

iptables -X westos ##删除链westos
这里写图片描述

iptables -D INPUT 2 ##删除INPUT链中第二条策略
iptables -I INPUT 2 -p tcp –dport 80 -j REJECT ##插入策略到INPUT的第二条
iptables -R INPUT 2 -p tcp –ddport 22 -j ACCEPT ##修改INPUT链中的第二条策略
iptables -P INPUT DROP ##把INPUT表中的默认策略改为drop

2.标识策略实例:

iptables -A INPUT -i lo -m state –state NEW -j ACCEPT ##只检测第一次使用lo用户的访问,其他用lo已经访问成功的会直接允许访问
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j ACCEPT ##只检测第一次使用端口22用户的访问,其他访问22端口成功的用户会直接访问
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -m state –state NEW -j ACCEPT
iptables -A INPUT -p tcp –dport 53 -m state –state NEW -j ACCEPT
iptables -A INPUT -j REJECT ##除上以外全部拒绝
–state RELATED,ESTABLISHED

3.网关配置:

sysctl -a | grep forward
echo “net.ipv4.ip_forward = 1”>>/etc/sysctl.conf
这里写图片描述

sysctl -p
这里写图片描述

客户端添加网关,gateway=192.25.254.123
iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to-source 172.25.254.123
iptables -t nat -A PREROUTING -i eth0 -j DNAT –to-dest 192.25.254.223

测试:

desktop修改网络配置文件:
vim /etc/sysconfig/network-scripts/ifcfg-eth0
这里写图片描述

ping 172.25.254.123
ping 192.168.0.223

二、firewalld

1.启用服务

systemctl start firewalld ##开启防火墙
systemctl mask iptables ##将iptables服务冻结
firewall-config ##firewall的图形管理界面

ZONE:【一般默认public】
block【限制】 ##拒绝所有网络
dmz【非军事区】 ##仅接受ssh服务连接
drop【丢弃】 ##任何接收的网络数据包都被丢弃,没有任何回复
external【外部】 ##出去的ipv4网络连接通过此区域伪装和转发仅接收ssh服务连接
home【家庭】 ##用于家庭网络,仅接收ss,mdns,ipp-client,或dhcpv6-client服务连接
internal【内部】 ##用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接
public【公共】 ##在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
ROL【】
trusted【信任】 ##可接受所有的网络连接
work【工作】 ##用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接

Configuration配置设置方式:permanent永久式,和临时式 ##用命令操作时若无指定临时或永久时,则默认临时,设置结束后需要reload使设置的内容生效

内容:
services ##firewalld提供的服务
ports ##端口
masquerading ##伪装
port forwarding ##端口转发
ICMP filter ##ICMP协议提供的filter表
rich rules ##rich rules是一种类似iptables的设置
interfaces ##接口
sources ##指定源地址

2.基本参数设置

查看型

firewall-cmd –state ##查看firewall当前活动状态
firewall-cmd –get-active-zones ##查看当前活动的工作区域
firewall-cmd –get-default-zone ##查看当前默认的工作区域
firewall-cmd –get-zones ##查看所有拥有的工作区域
firewall-cmd –get-services ##查看所有可设置的服务
firewall-cmd –list-all-zones ##查看当前默认区域的内容【未特定指定时为public】
firewall-cmd –zone=trusted –list-all ##查看trusted区的内容

设置型

firewall-cmd –set-default-zone=trusted ##设置默认区域为trusted
firewall-cmd –permanent –add-source=172.25.254.98 ##永久添加可接收数据包来源,有permanent永久参数,添加后必须通过reload来执行,添加的数据包来源的执行权限和所在工作区域的执行权限相同
firewall-cmd –permanent –remove-source=172.25.254.98 ##永久移除可接受数据包来源
firewall-cmd –permanetnt –zone=trusted –add-source=172.25.254.98 ##永久在trusted区域添加数据包来源
firewall-cmd –permanetnt –zone=trusted –remove-source=172.25.254.98 ##移除
firewall-cmd –zone=public –remove-interface=eth0 ##在public区域移除eth0接口
firewall-cmd –zone=trusted –add-interface=eth0 ##在trusted区域添加eth0接口
firewall-cmd –add-service=ssh ##在默认区域添加服务ssh,移除用remove,永久设置须添加–permanent,指定区域添加–zone=所指定区域名称
firewall-cmd –add-port=22/tcp ##在默认区域添加可访问端口22,协议使用tcp
firewall-cmd –reload ##每次执行的是永久设置的命令时,需要生效,必须执行reload,【注意:这并不会中断已经建立的连接,如果打算中断,可以使用 –complete-reload选项】

3.direct参数设置【在运行时间里增加或者移除链】

firewall-cmd –direct –get-all-rules ##查看当前所有的direct rules
firewall-cmd –direct –get-all-rule ipv4 filter INPUT 0 ‘!’ -s 172.25.254.98 -p tcp –dport 22 -j ACCEPT ##添加direct rules ,设置为ipv4,在filter表中第一条(第一条即0),除了98主机不可以访问以外其他都可以,使用协议为tcp,添加访问端口22,和iptables相似设定方法

4.rich rules

通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式。

firewall-cmd –zone=指定区域 –remove-rich-rule=’rule’ ##移除一项规则
firewall-cmd –zone=指定区域 –query-rich-rule=’rule’ ##这将复查是否已经为区域增加一个多语言规则 。如果可用,屏幕会显示 yes,退出状态为0; 否则,屏幕显示 no ,退出状态为 1。如果省略 zone,默认区域将被使用。
firewall-cmd –list-rich-rules ##列出所有多语言规则

添加规则

firewall-cmd –add-rich-rule=’rule family=”ipv4” source address=”172.25.0.10” accept’ ##允许172.25.0.10主机所有连接
firewall-cmd –add-rich-rule=’rule service name=ftp limit value=2/m accept’ ##每分钟允许2个新连接访问ftp服务
firewall-cmd –add-rich-rule=’rule service name=ftp log limit value=”1/m” audit accept’ ##同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次
firewall-cmd –add-rich-rule=’rule family=”ipv4” source address=”172.25.0.0/24” service name=ssh log prefix=”ssh” level=”notice” limit value=”3/m” accept’ ##允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次
firewall-cmd –permanent –add-rich-rule=’rule protocol value=icmp drop’ ##丢弃所有icmp包
firewall-cmd –add-rich-rule=’rule family=ipv4 source address=172.25.0.0/24 reject’ –timeout=10 ##当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,规则将在指定的秒数内被激活,并在之后被自动移除
firewall-cmd –add-rich-rule=’rule family=ipv6 source address=”2001:db8::/64” service name=”dns” audit limit value=”1/h” reject’ –timeout=300 ##拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志
firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source
address=172.25.0.0/24 service name=ftp accept’ ##允许172.25.0.0/24网段中的主机访问ftp服务
firewall-cmd –add-rich-rule=’rule family=”ipv6” source address=”1:2:3:4:6::” forward-portto-addr=”1::2:3:4:7” to-port=”4012” protocol=”tcp” port=”4011”’ ##转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

5.伪装和端口转发

伪装:
firewall-cmd –permanent –zone=< ZONE > –add-masquerade ##添加伪装
firewall-cmd –permanent –zone=< ZONE > –add-rich-rule=’rule family=ipv4 source address=172.25.254.244/24 masquerade’ ##172.25.98.11在出站后伪装为172.25.254.244
端口转发:
firewall-cmd –permanent –zone=< ZONE > –add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.98.10 ##将所有访问22端口的主机全部转发到172.25.98.10主机的22端口处
firewall-cmd –permanent –zone=< ZONE > –add-rich-rule=’rule family=ipv4 source address=172.25.254.98/24 forward-port port=22 protocol=tcp to-port=22’ ##在rich ruels中的操作命令

GodDevin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FortiGate防火墙如何通过使用Local-In Policy策略来拒绝某个Port端口
叫我小火柴
02-12 2463
本文主要讲解如何使用Local-In Policy策略来关闭FortiGate上不需要的开放端口,从而避免被外部第三方进行端口扫描。
阿里云linux服务器安全设置(防火墙策略等)
09-15
主要介绍了阿里云linux服务器安全设置,主要是针对防火墙策略等一些补充
帮我写一段华为防火墙安全策略梳理的python代码
weixin_42584758的博客
02-15 476
抱歉,我是一个语言模型,无法直接与华为防火墙进行交互。不过,我可以给你一些思路和代码片段,帮助你进行华为防火墙安全策略梳理的相关工作。 首先,需要使用华为防火墙的API进行安全策略的查询和操作。你可以使用Python的requests库来发送HTTP请求到防火墙API接口,获取安全策略信息。代码片段如下: import requests url ='https://firewall-api-ur...
2024年最全工作中常用到的Linux系统firewall防火墙策略_linux 防火墙策略
最新发布
2401_83974173的博客
05-01 370
firewall简介:firewall的作用是为包过滤机制提供匹配机制(策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便的组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv6防火墙设置以及以太网,并且拥有两种配置模式,运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。防火墙技术分为三类:包过滤,应用代理,状态检测。
防火墙浅析
Julia & Rust & Python
09-23 2096
防火墙浅析 原创: c.j 计算机与网络安全 2017-10-31 信息安全公益宣传,信息安全知识启蒙。 加微信群回复公众号:微信群;QQ群:16004488 加微信群或QQ群可免费索取:学习教程 教程列见微信公众号底部菜单 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15...
【控制篇 / 策略】(5.4) ❀ 02. 防火墙策略的作用 ❀ FortiGate 防火墙
防火墙技术专栏
10-26 5197
在这个实验里,你将在FortiGate飞塔防火墙建立防火墙策略
网络安全实验---Windows防火墙应用.docx
06-09
防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在...
cfengine-firewalld:防火墙的CFEngine策略
05-09
cfengine-firewalld 防火墙的CFEngine策略尝试为防火墙(例如RHEL7,Fedora)制定可重用的CFEngine策略。 特征: 添加或删除自定义服务添加或删除自定义区域添加或删除直接规则(direct.xml) 添加或删除锁定白名单...
阿里云windows服务器安全设置(防火墙策略)
09-30
请您根据您的服务器操作系统,下载对应的脚本运行,运行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行后续数据备份操作提供足够的时间
易语言-易语言之windows服务器CC防火墙
06-26
这份源码是我在建设论坛时防止被CC攻J写的一段小程序, 功能: 1.自动监测网页端ssdp攻J 2.自动监测指定IP是否在x秒内访问时间太多并拦截 拦截方式: 1. 通过服务器组策略禁用IP方式进行拉黑
“深信服防火墙 AF-2000 V8.0(万兆)--测试报告”.pdf
03-13
深信服防火墙AF-2000 V8.0(万兆),是一款具有包过滤功能的万兆级别防火墙产品,该产品提供数据包过滤、地址转换、状态监测、策略路由、动态开放端口、IP/MAC绑定、流量会话管理、抗拒绝服务攻击、网络扫描防护等...
防火墙安全策略检查.pdf
11-27
防火墙安全策略检查.pdf
防火墙开放安全策略申请_.pdf
10-11
防火墙开放安全策略申请_.pdf
SRX防火墙策略控制域名访问
10-15
SRX防火墙策略控制域名访问,实现基于url的数据包过滤
【网络安全】防火墙知识点全面图解(二)
书山有路,学海无涯。记录成长,追逐梦想
08-23 1581
防火墙不仅能够基于区域、IP 地址、端口号、应用程序等设置安全策略,还可以使用内容安全策略进行通信控制。内容安全策略包括反病毒、IPS(入侵防御系统)、URL 过滤、DLP(数据泄露防护)等基于内容的安全机制,能够拦截非法通信和避免不必要的通信流量。还可以对这些通信不进行拦截,而是记录到告警日志中后放行。
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 4898
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
firewalld火墙策略
FYRXP的博客
03-26 181
一. 火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 二. 火墙管理工具切换 在rhel8中默认使用的是firewalld 1. firewalld----->iptables 安装iptables dnf install iptables-services -y 停止firewalld systemctl stop fire...
linux7 防火墙 限速,CentOS7 下使用 Firewall防火墙系统封禁允许IP和端口的访问 端口转发 IP转发方法...
weixin_34377037的博客
05-13 832
CENTOS7的防火墙系统默认已经从iptable改成了firewall,使用方法也有所不同,下面是详细介绍一、管理端口列出 dmz 级别的被允许的进入端口#firewall-cmd--zone=dmz--list-ports允许 tcp 端口 8080 至 dmz 级别#firewall-cmd--zone=dmz--add-port=8080/tcp允许某范围的 udp 端口至 p...
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd命令
weixin_42326851的博客
05-24 7770
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd常用命令
锐捷防火墙策略路由案例
05-26
假设您的网络拓扑如下: ![锐捷防火墙网络拓扑](https://img-blog.csdnimg.cn/20210610151333228.png) 现在需要实现以下功能: 1. 内网(192.168.1.0/24)可以访问外网,但外网不能访问内网。 2. DMZ(172.16.1.0/24)可以访问内网和外网,但内网和外网不能访问DMZ。 3. 内网和DMZ之间允许互相访问。 根据上述需求,我们可以设计如下的防火墙策略和路由: 1. 防火墙策略: ![防火墙策略](https://img-blog.csdnimg.cn/20210610151428217.png) 上述防火墙策略述方式为: - 策略1:内网到外网,源地址为192.168.1.0/24,目的地址为0.0.0.0/0,服务为全部,动作为允许。 - 策略2:外网到内网,源地址为0.0.0.0/0,目的地址为192.168.1.0/24,服务为全部,动作为禁止。 - 策略3:DMZ到内网,源地址为172.16.1.0/24,目的地址为192.168.1.0/24,服务为全部,动作为允许。 - 策略4:内网到DMZ,源地址为192.168.1.0/24,目的地址为172.16.1.0/24,服务为全部,动作为允许。 - 策略5:DMZ到外网,源地址为172.16.1.0/24,目的地址为0.0.0.0/0,服务为全部,动作为允许。 - 策略6:外网到DMZ,源地址为0.0.0.0/0,目的地址为172.16.1.0/24,服务为全部,动作为禁止。 2. 路由: ![路由](https://img-blog.csdnimg.cn/20210610151503928.png) 上述路由述方式为: - 目的网络为0.0.0.0/0,下一跳为公网出口。 - 目的网络为192.168.1.0/24,下一跳为内网网关。 - 目的网络为172.16.1.0/24,下一跳为DMZ网关。 通过上述防火墙策略和路由的配置,可以实现上述需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值