Linux中的火墙策略优化

最新推荐文章于 2024-03-18 01:44:42 发布
最新推荐文章于 2024-03-18 01:44:42 发布
阅读量364 收藏
点赞数 1
分类专栏: Linux系统管理 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_RINGRUI/article/details/125694069
版权

实验环境
1)两台主机
linux单网卡 ----> ens160:1.1.1.55(内网主机)
linux双网卡 ----> ens160:192.168.0.55 (外网主机)==>可以连接windows网络
ens192:1.1.1.65(内网主机)
2)配置软件仓库

1.什么是火墙

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、处理等操作。

2.火墙管理工具切换

iptables

  • iptables策略记录文件
    /etc/sysconfig/iptables
  • 永久保存策略
    iptales-save > /etc/sysconfig/iptables
    service iptables save
dnf install iptables-services -y    安装iptable插件

systemctl disable --now firewalld
  systemctl mask firewalld
  systemctl enable --now iptables.service 
  systemctl status iptables.service

在这里插入图片描述

firewalld

  • rhel8中默认使用的是firewalld
systemctl disable --now iptables.service 
systemctl mask iptables.service 
systemctl unmask firewalld
systemctl enable --now firewalld
systemctl status firewalld.service

在这里插入图片描述

3.火墙默认策略

默认策略中的5条链

input                 输入
output                输出
forward               转发
postrouting           路由之后
prerouting            路由之前

默认的3张表

filter          经过本机内核的数据(input output forward)

在这里插入图片描述

nat             不经过内核的数据(postrouting,prerouting,input,output)

在这里插入图片描述

mangle          当filter和nat表不够用时使用(input output forward postrouting,prerouting,)

4.iptables命令的使用

iptables
          -t                    指定表解析
          -n                    不做解析
          -L                    查看
          -A                    添加策略
          -p                    协议
          --dport               目的地端口
          -s                    来源
          -j                    动作
                    ACCEPT      允许
                    DROP        丢弃
                    REJECT      拒绝
                    SNAT        源地址转换
                    DNAT        目的地地址转化
          -N                    新建链
          -E                    更改链名称
          -X                    删除链
          -D                    删除规则
          -I                    插入规则
          -R                    更改规则
          -P                    更改默认规则

iptables -nL
iptables -F
service iptables save

在这里插入图片描述
在这里插入图片描述

iptables -t filter -L
iptables -t filter -A INPUT -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.24 -j REJECT
iptables -t filter -I INPUT 3 -s 192.168.0.25 -j REJECT
iptables -t filter -I INPUT  -s 192.168.0.26 -j REJECT
iptables -t filter -I INPUT  -p tcp --dport 22 -s 192.168.0.27 -j REJECT
iptables -N redhat   
iptables -E redhat westos
iptables -D INPUT 3
iptables -X westos
iptables -R INPUT 1 -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -P INPUT ACCEPT


在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5.iptables火墙策略读取优化方案

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT  -j REJECT
iptables -nL
service iptables save

在这里插入图片描述

6.iptables中的数据转换(NAT)

iptables -t nat -nL

在这里插入图片描述

通过火墙如何让内网和外网通信?

在单网卡主机中:

vim /etc/sysconfig/network
添加:
1.1.1.65

nmcli connection reload
nmcli connection up ens160
测试:
ping 1.1.1.65

在这里插入图片描述
在这里插入图片描述
在双网卡主机中:

iptables -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.0.55
sysctl -a | grep ip_forward    查看内核路由功能
vim /etc/sysctl.conf
写入:
net_ipv4_forward=1
sysctl -p           刷新内核路由功能

在这里插入图片描述
在这里插入图片描述

测试:

在单网卡主机中:
ping 192.168.0.55
ping 192.168.0.110

在这里插入图片描述

通过火墙如何让外网和内网通信?

iptables -t nat -A PREOUTING -i ens160 DNAT --to-dest 1.1.1.55
iptables-t -nat -nL

测试:

ssh -l root 192.168.0.55      连接192.168.0.55主机,通过查看IP可以看到,实际连接的主机IP为1.1.1.55

7.关于firewalld的域

trusted      接受所有的网络连接
home         用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
work         工作网络 ssh ipp-client dhcp-client
public       公共网络 ssh dhcp-client
dmz          军级网络 ssh
block        拒绝所有
drop         丢弃 所有数据全部丢弃无任何回复
internal     内部网络 ssh mdns ipp-client samba-client dhcp-client
external     ipv4网络地址伪装转发 sshd

8.firewall的储存及管理

(1)firewalld的数据存储

/etc/firewalld     火墙配置目录
/lib/firewalld     火墙模块目录

(2)firewalld的管理命令

firewall-cmd --state                          查看火墙状态
firewall-cmd --get-active-zones               查看当前火墙中生效的域
firewall-cmd --get-default-zone               查看默认域
firewall-cmd --list-all                       查看默认域中的火墙策略
firewall-cmd --list-all --zone=work           查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted       设定默认域
firewall-cmd --get-services                   查看所有可以设定的服务
firewall-cmd --permanent --remove-service=cockpit 
                                              移除服务
firewall-cmd --reload                         重启服务
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block 
                                              指定数据来源访问指定域
firewall-cmd --reload 
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block 
                                              删除自定域中的数据来源
firewall-cmd --permanent --remove-interface=ens224 --zone=public 
                                              删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block 
                                              添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public 
                                              更改网络接口到指定域

9.firewalld的高级规则

firewall-cmd --direct --get-all-rules     
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 192.168.0.110 -p tcp --dport 80 -j REJECT
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 192.168.0.110 -p tcp --dport 80 -j REJECT     删除添加的高级规则

在这里插入图片描述
测试:

在windows主机中:
http://192.168.0.55

在这里插入图片描述

10.firewalld中的NAT

通过火墙如何让内网和外网通信?

在单网卡主机中:

firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

在这里插入图片描述

测试:
在单网卡主机中:


ping 192.168.0.55
ping 192.168.0.110

在这里插入图片描述

通过火墙如何让外网和内网通信?

在单网卡主机中:

firewalld-cmd --add-forward-port=port=22:proto=tcp:toaddr=1.1.1.55:toport=22
firewalld-cmd --reload

在这里插入图片描述

测试:

ssh -l root 192.168.0.55     远程登录192.168.0.55,登录后通过查看IP为1.1.1.55
Z_RINGRUI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络通信安全:防火墙规则配置与优化.pdf
06-23
火墙规则配置与优化 一、 实验目的 理解等级保护对访问控制的要求,学习如何配置防火墙访问控制规则,并优化访问控制 规则。 二、 实验软硬件要求 华为ensp 仿真模拟软件。 三、 等级保护2.0 相关要求 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外 受控接口拒绝所有通信。 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。 四、 实现功能 1、 打开实验拓扑ENSP,调整网络使得可以访问防火墙。 2、 制定防火墙规则,并应用到防火墙。 假定公司内部 IP 为 /24,外网地址是/24 网段,配置防火墙访问 控制规则,满足如下要求: a) 只允许-100 能够访问访问外网; b) 禁止/24 访问外网telnet 服务; c) 禁止外网的私有地址 ~/16,/16,/8 访问内网; d) 允许所有ICMP 报文通过; e) 允许02/32访问外网FTP 服务; f) 禁止其他所有访问。 3、 剔除多余的规则,调整防火墙规则顺序,使规则没有重叠且数目最少,并说明为什么 这么调整的原因。 五、 实验原理 防火墙概念 防火墙
Linux进阶(10)--防火墙策略优化
小王的笔记仓库
03-31 1653
一.火墙介绍 从RHEL7以后,iptables服务的启动脚本已被忽略。请使用firewalld来取代iptables服务。 防火墙是一组规则。当数据包进出受保护的网络区域时,进出内容(特别是关于其来源、目标和使用的协议等信息)会根据防火墙规则进行检测,以确定是否允许其通过。 在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 其实Iptables服务与Fire
火墙与入侵防御系统(IPS)策略优化:确保网络边界安全
最新发布
图幻未来的博客
03-18 394
随着互联网的迅速发展以及企业网络的不断扩大, 网络攻击手段日益多样化和复杂化. 其一些常见的威胁包括拒绝服务 (DoS/DDoS)、病毒、蠕虫和网络钓鱼等. 为了防范这些潜在的网络安全风险及保护内部数据和信息资源的安全传输 ,企业有必要采取合适的措施以增强其网络边界的安全防护能力 . 本文将重点讨论如何针对当前常见的一些安全问题制定出有效的防火墙 和入侵检测系统的 (IPS)的策略 以此提高整个网络的安全性。
自定义规则与默认规则冗余:自定义规则与默认规则之间的重复
ZOMO的博客
01-31 631
例如,假设我们有一个访问控制系统ACLs(Access Control List),该系统允许特定IP地址的用户通过特定的端口访问Web服务器上的资源;然而,默认情况下所有 IP 地址都将被拒绝请求。ACLs:* 允许 IP 地址 192.168.1.5 的用户从端口 80 访问 Web 服务器* 阻止所有其他 IP 地址尝试相同操作 (默认)```在这种情况下,由于默认规则对所有未授权IP的请求一律予以禁止(block),因此很多不必要的访问都会受到限制;
8_Linux 系统的防火墙策略优化
毕加索的忧伤
04-11 739
-------> 3、 iptables 的使用 火墙策略的永久保存 永久保存策略 4、火墙默认策略 默认策略的5条链默认的3张表命令 数据包状态 表的 5、firewalld 1. firewalld的开启 的开启 2. 关于firewalld的域 关于的域 3. 关于firewalld的设定原理及数据存储 关于的设定原理及数据存储 的管理命令 5. firewalld的高级规则 的高级规则 6. fi
Linux对MySQL优化实例详解
01-10
Linux对MySQL优化实例详解 vim /etc/my.cnf以下只列出my.cnf文件[mysqld]段落的内容,其他段落内容对MySQL运行性能影响甚微,因而姑且忽略。 [mysqld] port = 3306 serverid = 1 socket = /tmp/mysql.sock ...
linux权限优化导图
03-20
linux权限优化导图
Linux系统启动时间的极限优化
11-26
Linux系统启动时间的极限优化是提高系统效率的重要一环,特别是在嵌入式设备和服务器环境,快速启动可以显著提升用户体验和系统可用性。本文主要探讨如何通过跟踪和分析Linux启动过程,以及应用特定的优化技术来...
嵌入式linux断现场保护的优化策略
08-03
"嵌入式Linux断现场保护的优化策略" 嵌入式系统断现场保护是一个重要的实时性问题,它对断响应时间和实时系统的性能产生了深远的影响。本文将介绍嵌入式系统断现场保护的优化策略,减少断响应时间,提高...
浅谈Linux环境下gcc优化级别
01-10
代码优化可以说是一个非常复杂而又非常重要的问题,以笔者多年的linux c开发经验来说优化通常分为两个方面,一是人为优化,也就是基于编程经验采用更简易的数据结构函数等来降低编译器负担,二是采用系统自带的优化...
Linux之firewalld防火墙策略优化
Ying_smile的博客
06-07 2101
firewalld 域 开启 firewalld systemctl stop iptables.service systemctl disable iptables.service systemctl start firewalld systemctl enable firewalld 实验: 下载安装防火墙: [root@client ~]# firewall-conf...
火墙策略梳理思路及前沿想法
wjzjw的博客
09-30 1501
最近工作有点忙,马上要放假了,今天想和大家简单分享下这几天的一些想法,如有问题,还请多多赐教。 目前安全厂商的安全策略主要是基于传统的五元组思维来梳理冗余策略、失效策略等,这种功能可以将安全运维人员从繁琐的策配置和优化解放出来,现在很多行业的安全厂商,都可以做到这一点。从实际场景来说,使用这个功能的一般是大型企事业单位,这种行业客户,仅五元组策略就达到了上百条,有的策略是为了临时运维,有的是为了测试业务,这些策略具有很明显的时效性。这种策略自动梳理的功能提高了工作效率。 ...
3.7 Linux火墙策略优化
m0_48569984的博客
08-07 142
linux火墙简单来说是内核上数据包过滤的插件,主要工作在网络层,属于典型的包过滤防火墙。常用的有两种火墙工具iptables和firewalld,但软件本身其实并不具备防火墙功能,他们的作用都是在用户空间管理和维护规则,真正利用规则进行过滤是由内核netfilter完成的。netfilter IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。2.iptables。
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1922
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
linux系统部署防火墙服务
hiro
05-21 4510
火墙:一.图形化配置防火墙:firewall-config使用命令配置防火墙1. systemctl start firewalld    打开防火墙2. firewall-cmd --state         查看防火墙状态3. firewall-cmd --get-active-zones  查看正在使用的域4. firewall-cmd --get-default-zone   查看默认...
Centos7 Firewall 防火墙配置规则
热门推荐
自由的大月
03-13 1万+
简单的配置,参考学习: –permanent 当设定永久状态时 在命令开头或者结尾处加入此参数,否则重载或重启防火墙后设置失效! 开放端口: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent 常见端口 http:...
linux系统的防火墙(firewall)
dghfttgv的博客
11-23 2026
一.“防火墙”的概述 1、什么是“防火墙” 防火墙技术是通过有机结合各类用于==安全管理与筛选==的软件和硬件设备,帮助计算机网络与其==内、外网之间==构建一道相对隔绝的==保护屏障==,以保护用户资料与信息安全性的一种技术。 外网通过IP访问内网时,只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 2、“防火墙”的作用是什么 防火墙技术...
第十五天 13-linux火墙
qq_56414082的博客
01-09 236
linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。能够指定火墙策略的两个工具包iptables和firewalld●Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络层防火墙(iptables)只用于管理Linux火墙的命令程序。
Linux操作系统:Firewalld防火墙
qq_56414082的博客
11-23 6506
当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。--service= --remove-source-port=[-]/--service= --query-source-port=[-]/--service= --add-source-port=[-]/
Linux系统启动速度优化策略
"关于Linux启动时间优化的资料" 在Linux系统,启动时间的优化是一个重要的主题,尤其是对于嵌入式设备和服务器等对响应速度有高要求的场景。...在实际操作,应根据具体设备和应用场景来制定最合适的优化策略
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值