CentOS7下操作iptables防火墙和firewalld防火墙
💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
推荐:Linux运维老纪的首页,持续学习,不断总结,共同进步,活到老学到老
导航剑指大厂系列:全面总结 运维核心技术:系统基础、数据库、网路技术、系统安全、自动化运维、容器技术、监控工具、脚本编程、云服务等。
常用运维工具系列:常用的运维开发工具, zabbix、nagios、docker、k8s、puppet、ansible等
数据库系列:详细总结了常用数据库 mysql、Redis、MongoDB、oracle 技术点,以及工作中遇到的 mysql 问题等
懒人运维系列:总结好用的命令,解放双手不香吗?能用一个命令完成绝不用两个操作
数据结构与算法系列:总结数据结构和算法,不同类型针对性训练,提升编程思维,剑指大厂
非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝 ✨✨ 欢迎订阅本专栏 ✨✨
简介:
CentOS 7在安全性方面提供了多层次的保护措施,包括防火墙管理、系统更新、用户管理、以及通过系统配置增强安全性。
-
防火墙管理:CentOS 7使用firewalld来管理防火墙规则,配置文件位于
/etc/firewalld目录下。这些配置包括全局参数设置(如默认区域、日志等级等)以及各区域的规则定义(如允许或禁止的端口和服务)。Firewalld的使用有助于细粒度地控制网络访问,增强系统的安全防护1。 -
系统更新:CentOS 7支持通过YUM包管理器进行软件包的安装、升级和卸载,这简化了系统管理和维护过程。同时,保持系统的最新状态是防止安全漏洞被利用的关键,因此定期应用安全补丁和更新是维护系统安全的重要环节2。
-
用户管理:在CentOS 7中,通过实施有效的用户管理策略,如设置BIOS密码、禁用不必要的服务、限制不必要的网络访问等,可以进一步增强系统的安全性。例如,通过设置GRUB引导密码和使用pbkdf2算法加密,可以增加系统启动时的安全性3。
-
系统配置增强安全性:通过配置系统的各个层面,如禁用不必要的服务、限制物理访问、加强网络隔离等,可以有效提高系统的整体安全性。此外,通过定期审查和调整系统配置,可以及时发现并解决潜在的安全风险3。
CentOS 7作为一个稳定且安全的操作系统,通过其内置的安全特性和可用的安全工具,为用户提供了一个可靠的平台来运行关键业务应用。同时,通过合理的配置和管理,可以进一步增强系统的安全性,保护数据和系统的完整
【1】安装iptables
步骤与命令如下:
#先检查是否安装了iptables
service iptables status
#安装iptables
yum install -y iptables
#升级iptables(安装的最新版本则不需要)
yum update iptables
#安装iptables-services
yum install iptables-services
永久关闭防火墙:
[root@localhost ~] chkconfig iptables off
永久关闭后启用:
[root@localhost ~] chkconfig iptables on【2】禁用/停止自带的firewalld服务
步骤与命令如下:
#查看firewalld运行状态
systemctl status firewalld
#启动firewalld服务
systemctl start firewalld
#停止firewalld服务
systemctl stop firewalld
#禁用firewalld服务
systemctl disable firewalld【3】设置现有规则
步骤与命令参考如下:
#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则
iptables -X
#所有计数器归0
iptables -Z
#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丢弃
iptables -P INPUT DROP
#所有出站一律绿灯
iptables -P OUTPUT ACCEPT
#所有转发一律丢弃
iptables -P FORWARD DROP【4】保存规则设定
将会在/etc/sysconfig/路径下生产iptables文件。
#保存上述规则
service iptables save
【5】开启iptables服务
步骤与命令如下:
#注册iptables服务 #相当于以前的chkconfig iptables on systemctl enable iptables.service #开启服务 systemctl start iptables.service #查看状态 systemctl status iptables.service
参考iptables完整配置如下:
【6】Centos7下服务基本使用命令
- 启动一个服务:systemctl start firewalld.service
- 关闭一个服务:systemctl stop firewalld.service
- 重启一个服务:systemctl restart firewalld.service
- 显示一个服务的状态:systemctl status firewalld.service
- 在开机时启用一个服务:systemctl enable firewalld.service
- 在开机时禁用一个服务:systemctl disable firewalld.service
- 查看服务是否开机启动:systemctl is-enabled firewalld.service
- 查看已启动的服务列表:systemctl list-unit-files|grep enabled
- 查看启动失败的服务列表:systemctl–failed
【7】Centos7下firewalld防火墙的使用
① 配置firewalld一些命令
查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
查看区域信息: firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
添加服务:
firewall-cmd --add-service=http --permanent
查看所有开放服务:
[root@bogon apache-tomcat-8.5.42]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: dhcpv6-client http ssh
ports: 80/tcp 8080/tcp 8081/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules: [root@bogon apache-tomcat-8.5.42]# firewall-cmd --zone=public --list-ports
80/tcp 8080/tcp 8081/tcp
② 添加一个端口
命令如下:
firewall-cmd --add-port=8081/tcp --permanent #或如下 firewall-cmd --zone=public --add-port=3306/tcp --permanent //(--permanent永久生效,没有此参数重启后失效)
重新载入
firewall-cmd --reload
查看
firewall-cmd --zone=public --query-port=3306/tcp
③ 删除一个端口
firewall-cmd --zone=public --remove-port=3306/tcp --permanent
2290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
