iptables firewall semanage防火墙相关

最新推荐文章于 2023-02-07 20:07:22 发布
最新推荐文章于 2023-02-07 20:07:22 发布
阅读量303 收藏 7
点赞数
分类专栏: Linux网络操作系统 文章标签: linux 运维 iptables centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxb513651608/article/details/110578845
版权

保障系统服务的访问安全是Linux操作系统保障人员必不可少的一项工作。防火墙为网络出口与局域内网之间的一条沟,在访问控制策略实施方面起着至关重要的作用。

firewalld 防火墙是RHEL 7 中新增的服务,与先前版本中 iptables 防火墙之间存在一定区别。

下面将分别使用 iptables、firewall-cmd、firewall-config 和 TCP Wrappers等防火墙策略配置服务来完成数十个根据真实工作需求而设计的防火墙策略配置实验。在学习完这些实验之后,各位读者不仅可以熟练地过滤请求的流量,还可以基于服务程序的名称对流量进行允许和拒绝操作,确保Linux 系统的安全性万无一失。

重点:
1、防火墙主要功能都是依据策略对穿越防火墙自身的流量进行过滤。
2、防火墙策略规则是按照从上到下的顺序匹配。

防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,通过防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。

在 RHEL 7 系统中,firewalld 防火墙取代了 iptables 防火墙。

其实,iptables 与 firewalld 都不是真正的防火墙, 它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。
iptables服务会把配置好的防火墙策略交由内核层面netfilter 网络过滤器来处理,而 firewalld 服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理。

一、iptables介绍

iptables 服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:(五链)
➢ 在进行路由选择前处理数据包(PREROUTING);
➢ 处理流入的数据包(INPUT);
➢ 处理流出的数据包(OUTPUT);
➢ 处理转发的数据包(FORWARD);
➢ 在进行路由选择后处理数据包(POSTROUTING)。
一般来说,从内网向外网发送的流量一般都是可控且良性的,因此我们使用最多的就是INPUT 规则链,该规则链可以增大黑客人员从外网入侵内网的难度。

iptables 服务的术语中 (四表)
ACCEPT(允许流量通过)、
REJECT(拒绝流量通过)、
LOG(记录日志信息)、
DROP(拒绝流量通过)。
这里需要着重讲解的是 REJECT 和 DROP 的不同点。

REJECT 拒绝动作后,流量发送方会看到端口不可达的响应:
ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
From 192.168.10.10 icmp_seq=2 Destination Port Unreachable
From 192.168.10.10 icmp_seq=3 Destination Port Unreachable
From 192.168.10.10 icmp_seq=4 Destination Port Unreachable

DROP 发送方无法判断流量是被拒绝
ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
--- 192.168.10.10 ping statistics ---

iptables 中常用的参数以及作用
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址 IP/MASK,加叹号“!”表示除这个 IP 外 -d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如 TCP、UDP、ICMP
--dport num 匹配目标端口号
--sport num 匹配来源端口号

常见命令应用:
[root@localhost ~]# iptables -L 查看已有防火墙规则链
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps

[root@localhost ~]# iptables -F 清空已有防火墙规则链
[root@localhost ~]# iptables -P INPUT DROP 规则链的默认策略设置为拒绝

[root@localhost ~]# iptables -I INPUT -p tcp --dport 5000 -j ACCEPT 在INPUT规则链中最前插入允许目的端口5000的流量通过
[root@localhost ~]# iptables -I INPUT -p icmp -j ACCEPT  允许ping流量通过INPUT规则链
service iptables save 保存iptables规则链

二、firewalld介绍

--get-default-zone 查询默认的区域名称
--set-default-zone=<区域名称> 设置默认的区域,使其永生效
--get-zones 显示可用的区域
--get-services 显示预先定义的服务
--get-active-zones 显示当前正在使用的区域与网卡名称
--add-source= 将源自此 IP 或子网的流量导向指定的区域
--remove-source= 不再将源自此 IP 或子网的流量导向某个指定区域
--add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称> 将某个网卡与区域进行关联
--list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名> 设置默认区域允许该服务的流量
--add-port=<端口号/协议> 设置默认区域允许该端口的流量
--remove-service=<服务名> 设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议> 设置默认区域不再允许该端口的流量
--reload 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
--panic-on 开启应急状况模式
--panic-off 关闭应急状况模式

 firewalld(Dynamic Firewall Manager of Linux systems,Linux 系统的动态防火墙管理器)
 它有2中模式:firewall-cmd     firewall-config
 firewalld 支持动态更新技术并加入了区域(zone)默认为 public)的概念。

firewall防火墙常见命令:
[root@localhost ~]# firewall-cmd --get-default zone 查看当前firewall服务使用的默认区域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens32  网卡使用的区域 
public   

[root@localhost ~]# firewall-cmd --zone=public --add-service=ssh --permanent  永久把ssh服务加入public区域
Warning: ALREADY_ENABLED: ssh
success
[root@localhost ~]# firewall-cmd --reload  重启firewall 服务后生效

三、Selinux

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。



1,并非所有的 Linux distributions 都支持SELinux的

目前SELinux支持三种模式,分别如下:

 • enforcing:强制模式,代表SELinux运作中,且已经正确的开始限制 domain/type 了;  

 • permissive:宽容模式:代表SELinux运作中,不过仅会有警告讯息并不会实际限制 domain/type 的存取。这种模式可以运来作为SELinux的 debug 之用;

  •disabled:关闭,SELinux并没有实际运作。

2,查看SELinux的模式
# getenforce 
Enforcing  <==就显示出目前的模式为 Enforcing

3,查看 SELinux 的政策 (Policy)[root@www ~]# sestatus 
SELinux status:                 enabled    <==是否启动 SELinux
SELinuxfs mount:                /selinux   <==SELinux 的相关文件资料挂载点
Current mode:                   enforcing  <==目前的模式
Mode from config file:          enforcing  <==设定档指定的模式
Policy version:                 21
Policy from config file:        targeted   <==目前的政策为何?

4,通过配置文件调整SELinux的参数

[root@www ~]# vi /etc/selinux/config  

SELINUX=enforcing     <==调整enforcing|disabled|permissive

SELINUXTYPE=targeted  <==目前仅有 targeted 与 strict 

5,通过命令更改SELinux模式

[root@www ~]# setenforce [0|1]

选项与参数:  

0 :转成 permissive 宽容模式;

1 :转成 Enforcing 强制模式

semanage命令用于管理SELinux的策略,格式为“semanage [选项] [文件]”。常用参数及作用: -l 查询、-a 添加、-m 修改、-d 删除

semanage port -m -t ssh_port_t -p tcp 5000
semanage port -l | grep ssh
灯塔微光
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【问题解决】RedisDesktopManager连接不上ubuntu的redis服务器
Soochow_yyx的博客
03-25 789
解决redisdesktopmanager连接不上ubuntu的redis服务器的问题
linux安装SELinux管理工具,【linux】SELinux工具:semanage的安装和使用
weixin_39552304的博客
05-03 1410
1、安装在ubuntu14.04上安装sudo apt-get install policycoreutils在CentOS7上安装sudo yum -y install policycoreutils-python2、semanage命令行参数$ semanage --helpsemanage用于配置SELinux策略的某些元素,而不需要对策略源进行修改或重新编译。位置参数(子命令),用法 se...
firewall:基于iptables防火墙
05-15
防火墙 用于基于iptables设置防火墙的工具 ##设置 安装ipset包 ##文件 firewall.sh:主脚本,需要运行 blacklist.txt:不良IP列表将被阻止(每行一个IP /网络) whitelist.txt:将接受良好IP列表(每行一个IP /网络) ##用法 克隆到您的服务器 git clone https://github.com/vnlinux/firewall.git 在firewall.sh中编辑tcp_incoming,udp_incoming,tcp_outgoing,udp_outgoing 将IP地址添加到blacklist.txt,whitelist.txt(如果有) 启动防火墙 sudo sh firewall.sh start 停止防火墙 sudo sh firewall.sh stop 启动防火墙,并在5分钟后将其停止(测试模
FIREWALLD--linux防火墙
Albert__Einstein的博客
11-14 9756
linux防火墙 防火墙的核心是数据报文过滤 工作在主机或者网络的边缘,对进出的数据报文进行检查,监控,并且能够根据事先定义的匹配条件和规则做出相应的动作的组件,机制或者系统 linux一般都是作为服务器系统来使用,对外提供一些基于网络的服务 通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能 常见的访问控制包括:哪些ip可以访问服务器、可以使用哪些协议、哪些接口,是否通过数据包进行修改等 如:服务器可能受到来自某个ip攻击,这时就需要禁止所有来自ip的访问 linux内核集...
Linux——防火墙、SELinux规则
01-05 2272
Linux——防火墙、SELinux规则 一、Firewalld防火墙规则 防火墙的作用:放行或者阻拦某些服务、端口 1、防火墙的简单操作 # 1、查看防火墙状态 systemctl status firewalld # 2、关闭防火墙 systemctl stop firewalld # 3、开启防火墙 systemctl start firewalld 2、firewall的直接规则 # 1、查看防火墙放行的服务 firewall-cmd --list-all # 2、在防火墙
有关iptablesfirewalld的作业
Prejudice_csr的博客
02-07 223
作业1、iptables:开启防火墙,可以正常使用ssh服务,dns服务,httpd服务,chrony服务,nfs服务 作业2、firewalld:开启防火墙,可以正常使用ssh服务,dns服务,httpd服务,chrony服务,nfs服务。且实现访问第一台机器web服务的9090端口,转发到第二台机器的80端口(永久生效)
semanage命令详解
热门推荐
Listen2You的博客
10-13 2万+
导读 semanage命令是用来查询与修改SELinux默认目录的安全上下文。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下chcon命令的使用方法。 语法 semanage {login|user|port|interface|fcontext|
基于RHEL 8的Linux发行版的初始服务器设置
yuyuyuliang00的博客
07-20 547
基于RHEL 8的Linux发行版的初始服务器设置
SELinux防火墙firewalliptables)
尘埃落定
04-29 1203
#一、SELinux 一套强化linux安全的MAC扩展模块,由美国国家安全局主导开发,集成在内核中(2.6及以上),操作系统提供可定制的策略,管理工具。 安全保护模型: DAC 自主访问控制 (Discretionary access control 所有者对自己的资源负责) 典型的DAC应用: 9位权限码(rwx); ACL 策略 MAC 强制访问控制 MAC 可以针对特定的进...
linux 设备配置恢复问题
02-24
实现: asd.sh,实现对原配置文件和现有配置文件时间戳的比较和是否存在配置文件。如果不存在,或时间戳比现有配置文件新,则对现有配置文件进行更新。 asdf.c 一个小测试,起了一个进程完成对配置文件是否修改进行时实更新当前配置。
linux安装配置常见注意事项
09-02
linux安装配置常见注意事项.doc这里包含了新手在嵌入式开发中遇到的linux系统,开发板,以及虚拟机操作的常见问题,这里重点分析了pc机 与 开发板 和主机之间的互ping,希望能帮助到更多的朋友。。。。
stateful-firewall:使用 IPTables 的状态防火墙
06-25
8006A2 使用 IPTables 的状态防火墙
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法,具体的区别,过滤不合法的流,centos7中配置
gitlab安装部署篇
码云仓库地址:https://gitee.com/lance-gyq
05-21 783
持续集成的组成 1.一个自动化构建过程:从检出代码、编译构建、运行测试、结果记录、测试统计等都是自动完成,无需人工干预 2.一个代码存储库,既需要版本控制软件来保障代码的可维护性,同时作为构建过程的素材库,一般使用SVN或Git。 3.一个持续集成服务器,Jenkins就是一个配置简单和使用方便的持续性集成服务器。 持续集成的好处 1、降低风险,由于持续集成不断去构建,编译和测试,可以很早发现问题,所以修复的代价就少。 2、对系统健康持续检查,减少发布风险带来的问题。..
centos7设置sshd端口,firewall,selinux设置
Ranger
07-18 3696
以前服务器上用的是ubuntu系统,修改ssh端口的时候很简单,直接在配置文件修改就好了,但是在centos7上修改的时候发现修改端口之后sshd服务不能启动了,如果设置两个端口22和1122的话只能监听到22端口,最后到处查找,最后找到了解决办法: 流程如下: 1、修改sshd配置文件 2、设置防火墙firewall,允许新添加的端口被监听 3、设置selinux,在selinu...
Linux中的防火墙技术(一)firewall
Sparks _Fly
03-25 2750
firewall火墙控制 1.selinux端口标签的修改 1)添加端口 semanage port -a -t http_port_t -p tcp 6666 &lt;1&gt;安装软件开启服务 [root@shenzhen ~]# yum install httpd 已加载插件:langpacks 软件包 httpd-2.4.6-17.el7.x86_64 已安装并且是最新版本 无须任何处理 ...
linux允许通过防火墙端口开启
云木
04-10 7400
firewall-cmd --zone=public --add-port=4400-4600/udp --permanen(指定端口范围为4400-4600通过防火墙)Warning: ALREADY_ENABLED: 3306:tcp(说明3306端口通过成功) firewall-cmd --zone=public --remove-port=80/tcp --permanent(关闭指定端...
firewall查看防火墙
最新发布
05-12
Linux系统中,有很多种不同的防火墙,例如iptables、ufw、firewalld等。这些防火墙都提供了各种各样的命令和工具来查看防火墙的状态和配置信息。以下是一些常用的查看防火墙状态的命令: 1. iptables -L:列出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

灯塔微光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值