2024年最新玩转Linux三大防火墙工具！(1)，已收藏

最全的Linux教程，Linux从入门到精通

======================

1. linux从入门到精通(第2版)

2. Linux系统移植

3. Linux驱动开发入门与实战

4. LINUX 系统移植 第2版

5. Linux开源网络全栈详解 从DPDK到OpenFlow

第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。

需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

6.将INPUT规则链设置为只允许指定网段的主机访问本机的22端口，拒绝来自其他所有主机的流量：

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j REJECT

iptables -L

7.向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则：

iptables -I INPUT -p tcp --dport 12345 -j REJECT

iptables -I INPUT -p udp --dport 12345 -j REJECT

iptables -L

8.向INPUT规则链中添加拒绝所有主机访问本机1000～1024端口的策略规则：

iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT

iptables -A INPUT -p udp --dport 1000:1024 -j REJECT

iptables -L

二：Firewalld

==========================================================================

精华：firewalld支持动态更新技术并加入了区域（zone）的概念

重点：区域就是我提前准备几套防火墙策略针对不通的场景来用，在firewalld中可以来回切换域，这样就满足工作生产中不同的需求啦！

1.查看firewalld服务当前所使用的区域

firewall-cmd --get-default-zone

public

2.把firewalld服务的当前默认区域设置为public

firewall-cmd --set-default-zone=public

success

firewall-cmd --get-default-zone

public

3.启动/关闭firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）：

firewall-cmd --panic-on

success

[root@linuxprobe ~]# firewall-cmd --panic-off

success

4.重点：流量转发命令格式为firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>）*

firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10

firewall-cmd --reload

success

5.我们可以在firewalld服务中配置一条规则，使其拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务（22端口）：

firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“192.168.10.0/24” service name=“ssh” reject”

success

firewall-cmd --reload

success

三：TCP wrappers

=============================================================================

**精华：

TCP Wrappers服务的防火墙策略由两个控制列表文件所控制，用户可以编辑允许控制列表文件来放行对服务的请求流量，也可以编辑拒绝控制列表文件来阻止对服务的请求流量。**

**重点文件：

控制列表文件（/etc/hosts.allow）

拒绝控制列表文件（/etc/hosts.deny）**

**编写规则：

编写拒绝策略规则时，填写的是服务名称，而非协议名称；

建议先编写拒绝策略规则，再编写允许策略规则，以便直观地看到相应的效果。**

1.只允许192.168.10.0网段能够访问sshd服务

vim /etc/hosts.deny

#hosts.deny This file contains access rules which are used to

#deny connections to network services that either use

#the tcp_wrappers library or that have been

#started through a tcp_wrappers-enabled xinetd.

#The rules in this file can also be set up in

#/etc/hosts.allow with a ‘deny’ option instead.

#See ‘man 5 hosts_options’ and ‘man 5 hosts_access’

#for information on rule syntax.

#See ‘man tcpd’ for information on tcp_wrappers

sshd:

ssh 192.168.10.10

ssh_exchange_identification: read: Connection reset by peer

vim /etc/hosts.allow

hosts.allow This file contains access rules which are used to

allow or deny connections to network services that

either use the tcp_wrappers library or that have been

started through a tcp_wrappers-enabled xinetd.

See ‘man 5 hosts_options’ and ‘man 5 hosts_access’

for information on rule syntax.

See ‘man tcpd’ for information on tcp_wrappers

sshd:192.168.10.

ssh 192.168.10.10

The authenticity of host ‘192.168.10.10 (192.168.10.10)’ can’t be established.

ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added ‘192.168.10.10’ (ECDSA) to the list of known hosts.

root@192.168.10.10’s password:

Last login: Wed May 4 07:56:29 2017

小结：三者之间有着相似的地方也有不同的地方，没有必要把各种参数都背会，在实际工作做能够根据工作需求灵活的使用这些工具才是王道！

四、实操演练

1.配置端口转发

在系统 serverx 中配置端口转发

在 172.25.x.0/24 网络中的系统,访问 server1 的本地端口 5423 将被转发到 80 此设定时永久生效的

最全的Linux教程，Linux从入门到精通

======================

1. linux从入门到精通(第2版)

2. Linux系统移植

3. Linux驱动开发入门与实战

4. LINUX 系统移植 第2版

5. Linux开源网络全栈详解 从DPDK到OpenFlow

第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。

需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！