netfilter防火墙

最新推荐文章于 2024-06-06 15:02:04 发布
最新推荐文章于 2024-06-06 15:02:04 发布
阅读量801 收藏 4
点赞数 2
分类专栏: Linux-CentOS7日常运维 文章标签: 防火墙 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrDing991124/article/details/78672612
版权
  • 查看SELinux防火墙状态
[root@dl-001 ~]# getenforce 
Enforcing

说明: Enforcing为打开状态;Disabled为关闭状态

  • 临时关闭SELinux防火墙:
[root@dl-001 ~]# setenforce 0
  • 永久关闭SELinux防火墙:
[root@dl-001 ~]# vi /etc/selinux/config    //编辑防火墙的配置文件
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

说明:将SELINUX=enforcing改为disabled保存,重启系统即可生效。

netfilter(Firewalld)防火墙

netfilter防火墙在CentOS7之前用的防火墙,在CentOS7上更改了名字为firewalld。这里主要介绍netfilter

  • 关闭firewalld防火墙
[root@dl-001 ~]# systemctl disable firewalld    //永久关闭firewalld
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
[root@dl-001 ~]# systemctl stop firewalld    //停止firewalld服务
  • 启用netfilter
[root@dl-001 ~]# yum install -y iptables-services    //下载工具包iptables,这里的iptables是netfilter的一个工具
[root@dl-001 ~]# systemctl enable iptables    //开启iptables服务
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@dl-001 ~]# systemctl start iptables

说明: 安装完成后默认开启iptables服务。

  • 查看iptables默认规则
[root@dl-001 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   41  2732 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 24 packets, 2184 bytes)
 pkts bytes target     prot opt in     out     source               destination
Mr丶Ding
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核防火墙netfilter
11-07
linux2.2内核中的防火墙ipchains已经被用户广泛认可,它提供了完整的防火墙功 能(包过滤,地址伪装,透明代理),又避免了商业防火墙那高的惊人的价格。如果 你用的是某款国产防火墙,那么十有八九你实际在受到ipchains(有些甚至是2.0系列 中ipfwadm)的保护:-).在未来的2.4内核中,被称为netfilter(http://netfilter. kernelnotes.org/)的防火墙以更好的结构重新构造,并实现了许多新功能,如完整的 动态NAT(2.2内核实际是多对一的"地址伪装"),基于MAC及用户的过滤,真正的基于状 态的过滤(不再是简单的查看tcp的标志位等),包速率限制等。
Linux转发性能评估与优化(转发瓶颈分析与解决方式)
weixin_34075268的博客
06-01 556
线速问题非常多人对这个线速概念存在误解。觉得所谓线速能力就是路由器/交换机就像一根网线一样。而这,是不可能的。应该考虑到的一个概念就是延迟。数据包进入路由器或者交换机,存在一个核心延迟操作,这就是选路。对于路由器而言,就是路由查找,对于交换机而言。就是查询MAC/port映射表,这个延迟是无法避开的。这个操作须要大量的计算机资源。所以无论是路由器还是交换机。数据包在内部是不可能像在线缆上那样近...
Linux Kernel nf_tables 本地权限提升漏洞(CVE-2024-1086)
最新发布
做自己喜欢的事,并将其发挥到极致!
06-06 6816
2024年1月,各Linux发行版官方发布漏洞公告,修复了一个 netfilter:nf_tables 模块中的释放后重用漏洞(CVE-2024-1086)。在nft_verdict_init()函数的错误处理导致nf_hook_slow()函数在NF_DROP的分支的时候以NF_ACCEPT返回,进而在NF_HOOK()函数产生释放后重用漏洞。鉴于该漏洞易于利用,并且允许本地攻击者提升至ROOT权限。​
netfilter小型防火墙实例
04-22
基于Netfilter的小型防火墙,支持IP和端口过滤。
深入浅出Netfilter/iptables防火墙框架(基础篇)
weixin_34242509的博客
07-06 278
Linux系统管理员们都接触过Netfilter/iptables,这是Linux系统自带的免费防火墙,功能十分强大。在接下来的这个《深入浅出Netfilter/iptables防火墙框架》系列中,将对Netfilter/iptables进行详尽的、条理的介绍。本文是基础篇,先介绍Netfilter/iptables框架的原理。(更多原文请见: http://os.51cto.com/art/20...
防火墙(iptables/netfilter
weixin_42107987的博客
04-25 772
一、分类 我们可以简单的分为三类:1.包过滤防火墙 2.应用层网关代理 3.状态防火墙 1.1 包过滤防火墙 原理:根据包头部的元素进行判断(源目的端口、源目的地址、协议) 优点:简单、快速、易于配置 缺点:难以抵挡分片攻击、不支持复杂的协议、不能防止应用层的恶意攻击 1.2 应用层网关代理 原理:服务器与客户端间有一层代理,客户和服务器之间从不会有真正的连接。应用代理网关防火墙彻底隔断内网与外网...
iptables(防火墙)与netfilter
水月情缘~雪飞飞
05-06 4673
iptables(防火墙)与netfilter ================================================= 推荐博客: http://www.360doc.com/content/11/0506/09/706976_114731108.shtml# http://drops.wooyun.org/tips/1424 netfilter/ip
netfilter框架概述
rondyning的博客
05-25 2778
1 Netfilter 1.1 netfilter概述 Netfilterlinux 2.4.x引入的一个子系统,它是一个通用的、抽象的框架。其不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点被调用。 内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、
NetFilter防火墙驱动
10-24
NetFilter防火墙驱动 驱动调用~ 网络驱动层封包截取一系列源码里面包含一个完整的网络防火墙程序
ufw命令 – 管理netfilter防火墙 — 命令大集合
09-18
ufw命令 – 管理netfilter防火墙 — 命令大集合 UFW,或称Uncomplicated Firewall,是iptables的一个接口,为不熟悉防火墙概念的初学者提供了易于使用的界面,同时支持IPv4和IPv6,广受欢迎。 ufw程序用于管理Linux...
Linux内核Netfilter防火墙原理与设计.pdf
11-01
Linux内核Netfilter防火墙原理与设计.pdf
Linux下基于Netfilter防火墙应用研究.pdf
09-06
Linux下基于Netfilter防火墙应用研究.pdf
linux防火墙-netfilter
chiluo7579的博客
11-19 255
setenforce 0 //临时关闭selinux getenforce //查询selinux状态 vim /etc/selinux/config //修改配置文件,永久关闭selinux,重启生效 cento...
iptables(netfilter)防火墙详解
weixin_33894640的博客
12-21 87
iptables 有三个表,分别是filter, nat, manglefilter 默认有三个chain链,分别是INPUT, FORWARD, OUTPUT[root@localhost ~]# iptables -t filter -nvLChain INPUT (policy ACCEPT 0 packets, 0 bytes)pkts bytes target ...
基于Netfilter框架设计的软件防火墙过滤系统
qq_53928256的博客
05-05 1130
本此的防火墙设计是基于Netfilter框架设计的软件防火墙过滤系统基于学习和实践的目的,本次的防火墙设计主要面向于初学者,简单入门防火墙设计。所以本次只对源IP、目的IP地址、源端口、目的端口以及一些简单协议进行过滤。欢迎大家学习交流,如有不足之处,敬请批评指正!其实到这里,这个基于Netfilter框架设计的软件防火墙过滤系统就已经设计完毕了。啪啪啪啪啪啪!!!!
Linux 防火墙:netfilter、iptables、firewalld、firewall-cmd、ufw
热门推荐
freeking101的博客
04-19 1万+
防火墙 (Firewall) 也称防护墙,是隔离两个网络的一种 隔离技术,它是位于 "内部网络" 与 "外部网络" 之间的一项信息安全的防护系统。依照特定的规则来控制 "进入、出去"的网络流量(数据包),即拦截和放行数据包。拦截有害的包,放行正常的包。防火墙可以比喻为"通信警察",让正常的包通过,有害的包都过滤掉,最大限度地阻止黑客来访问你的网络。
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1210
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络层防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
Linux防火墙策略实现(netfilter和iptables)
燕雀踏青云
04-09 700
一、iptables的规则表和链 1.1 表(tables) 提供特定的功能,iptables内置了4个表: filter表:实现包过滤 nat表:网络地址转换 mangle表:包重构(修改) 表 对应链 作用 filter表 INPUT、FORWARD、OUTPUT 过滤数据包 内核模块:iptables_filter. Nat表 PREROUTING、POSTROUTING、OUTPUT 用于网络地址转换(IP、端口) 内核模块:iptable_nat Mangle表 PRE
Netfilter与iptables防火墙
ystyaoshengting的专栏
11-11 1155
一、Netfilter RHEL中有几种防火墙共存: iptables firewalld ip6tables ebtables 这些软件本身其实并不具备防火墙功能,他们的作用都是在用户空间中管理和维护规则,只不过规则结构和使用方法不一样罢了,真正利用规则进行过滤是由内核的netfilter完成的。 netfilterLinux 2.4内核引入的全新的包过滤引擎。由一...
基于Netfilter从零开始写一个Linux防火墙
03-04
好的,我会用中文回答您的问题。 NetfilterLinux内核中的一个框架,用于在数据包传输时进行处理。它可以被用来实现防火墙、网络地址转换(NAT)等功能。下面是一个基于NetfilterLinux防火墙的示例: 1. 允许已建立的连接通过: ``` iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` 2. 允许本机向外发起的连接通过: ``` iptables -A OUTPUT -p tcp -dport 80 -j ACCEPT ``` 3. 阻止来自指定IP地址的数据包: ``` iptables -A INPUT -s 192.168.1.1 -j DROP ``` 4. 允许本机的所有数据包通过: ``` iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ``` 以上是一个简单的基于NetfilterLinux防火墙示例。您可以根据需要进行调整和修改。注意,使用防火墙时要小心,以免误阻止或允许不必要的数据包,导致网络故障或安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值