Iptables#Firewalld加固服务器安全

最新推荐文章于 2024-05-01 15:28:36 发布
最新推荐文章于 2024-05-01 15:28:36 发布
阅读量410 收藏 2
点赞数 2
分类专栏: LVS+KeepAlived+HaProxy+Iptable
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kakaops_qing/article/details/109537904
版权

Firewalld加固服务器安全

文章目录

1、首先匹配直接规则,然后匹配富规则
  2、有一条规则放行,就会被放行
  3、匹配不到放行规则,才会被拒绝

===================================================================

一、Linux防火墙

1、内核模块:netfilter
2、rhel6:Iptables
3、rhel7:firewall-cmd工具,firewall服务
  firewalld是CentOS 7.0新推出的管理netfilter的工具
  firewalld是配置和监控防火墙规则的系统守护进程。可以实 现iptables,ip6tables,ebtables的功能
  firewalld服务由firewalld包提供
  firewalld支持划分区域zone,每个zone可以设置独立的防火墙 规则
  归入zone顺序:
    1.先根据数据包中源地址,将其纳为某个zone
    2.纳为网络接口所属zone
    3.纳入默认zone,默认为public zone,管理员可以改为其它zone
  网卡默认属于public zone
  lo网络接口属于trusted zone
  这三个的优先级按顺序依次降低,也就是说如果按照source可以找到就不会再按interface去查找
  如果前两个都找不到才会使用第三个,也就是在firewalld.conf中配置的默认zone

二、区域zone

public:默认区域,仅允许ssh,dhcpv6-client数据通过
  trusted:信任区域允许经过的流量通过
  home/internal:仅允许ssh数据通过
  work:仅允许ssh,ipp-client,dhcpv6-client数据通过
  external:仅允许ssh数据通过,通过该区域的数据将会伪装(SNAT/DNAT)
  dmz:非军事化区域 仅允许ssh数据通过
  block:拒绝经过流量
  drop:拒绝经过流量(甚至不进行ICMP错误进行回应)

三、常用端口

http:80/tcp、https 443/tcp、ssh 22/tcp
  telnet:23/tcp
  dns:53/udp(解析主机名)、53/tcp(区域同步)
  ftp:20/tcp、21/tcp
  dhcp:67/udp、68/udp
  mail:25/tcp(SMTP)、110/tcp(POP3)、143/tcp(IMAP4)
  mysql:3306/tcp
  ntp:123/udp
  samba(文件系统):137/udp、138/udp、139/tcp、445/tcp   
  iscsi(网络磁盘):3260/tcp

四、Firewall实战配置

1、准备服务用于测试、观察默认区域

systemctl start firewalld
  yum -y install httpd
  echo “kakaops” > /var/www/html/index.html
  ystemctl start httpd
  firewall-cmd --get-default-zone

2、观察所有区域

查看默认zone
  默认zone后面很有active
  firewall-cmd --get-default-zone
  firewall-cmd --list-all
  查看所有zone
  firewall-cmd --list-all-zone
  产看活跃zone
  firewall-cmd --get-active-zone

3、观察同网段用户访问服务器。防火墙是否会阻挡

会。因为没有放行http。观察默认区域规则
  firewall-cmd --list-all --zone=public

4、将public默认区域,更改为trusted区域。用户立刻可以访问所有服务(切换默认zone)

firewall-cmd --set-default-zone=trusted
  防火墙规则每次的修改需要重新加载才会生效
  firewall-cmd --reload
  再次访问网站,成功
  流量已经从默认的public区域,转移到trusted区域。该区域默认放行所有流量
  还原默认的public区域
  firewall-cmd --set-default-zone=public
  firewall-cmd --reload

5、添加http规则进入默认区域public

firewall-cmd --permanent --add-service=http --zone=public
  firewall-cmd --reload
  firewall-cmd --list-all --zone=public

6、观察不同用户访问服务器,防火墙会不会阻挡 不会。访问成功

7、测试后,将http规则从默认区域删除

    firewall-cmd --permanent --remove-service=http --zone=public
    firewall-cmd --reload
    firewall-cmd --list-all --zone=public

8、如何控制单一主机或网段对服务器的访问呢?

可以利用平规则进把ip或者ip段放在drop区域
  firewall-cmd --permanent --add-source=10.0.128.226 --zone=drop

也可以利用富规则在public区域里面进行放行(以ssh和http协议为例)
  先通过富规则把自己的ssh放行,否则自己无法连接
  firewall-cmd --permanent --add-rich-rule=“rule family=‘ipv4’ source address=‘127.0.0.1’ service name=‘ssh’ accept”
  firewall-cmd --reload

public区域移除通用规则,拒绝全部
  firewall-cmd --permanent --remove-service=ssh --zone=public
  firewall-cmd --reload

利用规则

firewall-cmd --permanent --add-rich-rule=“rule family=‘ipv4’ source address=‘127.0.0.1’ service name=‘ssh’ reject”

五、Firewall防火墙规则补充

1、放行和移除端口 [-portid]/protocol(端口+通信协议)

firewall-cmd --permanent --add-port=80/tcp --zone=public
  firewall-cmd --permanent --remove-port=80/tcp --zone=public
  firewall-cmd --permanent --add-port=80-90/tcp --zone=public
  firewall-cmd --permanent --add-port=123/udp --add-port=23/tcp --add-port=25/tcp

2、禁用 添加 删除 域规则(富规则):

标题

对特定ip 禁止访问服务
  ip ssh可以自己改别的 reject是禁止 accept是允许 add改为remove即为删除)
  firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“192.168.10.0/24” service name=“ssh” reject”

3、下面的是对特定ip允许访问8080端口(你也可以自己改)

firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“192.168.0.4/24” port protocol=“tcp” port=“8080” accept”

4、端口转发,将到本机的3306端口的访问转发到192.168.1.1服务器的3306端口

开启伪装IP
  firewall-cmd --permanent --add-masquerade
  配置端口转发
  firewall-cmd --permanent --add-forward-port=port=3306:proto=tcp:toaddr=192.168.1.2:toport=13306
  注意:如果不开启伪装IP,端口转发会失败;其次,要确保源服务器上的端口(3306)和目标服务器上的端口(13306)是开启的

六、Firewall防火墙规则匹配顺序

1、首先匹配直接规则,然后匹配富规则

2、有一条规则放行,就会被放行

3、匹配不到放行规则,才会被拒绝

kakaops
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
iptablesfirewalld加固服务器安全思维导图
05-05
iptablesfirewalld加固服务器安全思维导图
iptablesfirewalld.pdf
11-30
很详细的iptablesfirewalld
linux 防火墙加固,Iptables 加固服务器安全
weixin_39679664的博客
05-12 321
防火墙在做信息滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息滤表中,而这些表集成在Linux内核中。在信息滤表中,规则被分组放在我们所谓的链(Chain)中。Iptables组件是一种工具,也称为用户空间(Userspace),它使插入、修改和除去信息滤表中的规则变得容易。Firewalld提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具。杨哥**linux云...
iptables以及firewalld加固服务器安全
qinxue722的博客
05-01 25
3)Linux软件防火墙:iptables--centos6;external----仅允许ssh数据通过,通过该区域的数据将会伪装(SNAT/DNAT)work----仅允许ssh,ipp-client,dhcpv6-client数据通过。dns 53/udp(解析主机名)53/tcp(区域同步)home/internal----仅允许ssh数据通过。dmz----非军事化区域 仅允许ssh数据通过。2)文件指纹:数据安全
Linux服务器安全加固
weixin_34380948的博客
12-26 77
一、系统安全记录文件操作系统内部的记录文件是检测是否有网络***的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做 Telnet/FTP登录尝试,可以运行"#more/var/log/secure greprefused"来检查系统所受到的***,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。二、启动和登录安全性1.BIOS安...
iptables安全技术和防火墙
qzzqzzqzz111的博客
03-30 262
iptables由四个表table和五个链chain以及一些规则组成(SELinux也是一个表,但它是独立的,不在我们讨论的范围内)四表五链规则表的作用:容纳各种规则规则链的作用:容纳各种防火墙规则总结:表里有链,链里有规则
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍 CentOS 7 中的防火墙配置。 iptables ...
IptablesFirewalld防火墙(MD格式)
最新发布
07-09
IptablesFirewalld防火墙(MD格式)
第8章iptablesfirewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
CentOS7 系统安全加固实施方案介绍
热门推荐
重剑无锋,大巧不工。。。
09-23 2万+
CentOS7.0系统安全加固手册 目录 一、用户帐号和环境……………………………………………………………………………………. 2二、系统访问认证和授权……………………………………………………………………………… 3三、核心调整……………………………………………………………………………………………… 4四、需要关闭的一些服务……………………………………………………………………………… 5五、SSH
linux安全加固
果果的博客
09-08 1068
如果/etc/passws以及/etc/shadow与/etc/login.defs文件产生了冲突,系统会以/etc/passwd及/etc/shasow为准,/etc/passwd以及/etc/shadow在系统中优先级较高。由于/etc/passws允许所有用户读取,容易导致用户的密码泄露,所以linux系统将用户相关的密码信息从/etc/passwd分离出来,并且/etc/shadow,只有root用户有读的权限。,没有这个文件的时候,某些时候不会影响系统的使用,但有些时候会产生一些意想不到的问题。
centos7-Redis服务安全加固
qq_36913644的博客
01-19 370
centos7-Redis服务安全加固 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下, 可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。 攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中, 进而可以直接登录目标服务器给用户的 Redis 运行环境以及 Linux
Linux(Centos)安全加固方案总结
compassjia的博客
04-09 6778
简谈Linux安全加固经验总结 本人菜鸟一枚,希望通过CSDN文章,总结日常工作、学习到的经验 Linux系统加固主要通过以下几个方面,实现系统安全加固。本文以Centos7作为例子,进行总结。 目录系统安全防线设置防火墙策略身份鉴别访问控制安全审计入侵防范资源控制 系统安全防线 设置防火墙策略 Linux防火墙策略设置主要三道防线; 1. 系统自带防火墙iptables(Centos6)   防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻
linux之防火墙
笨笨的博客
04-04 7794
一,何为防火墙 是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。后来这个词语引入到了网络中,把从外向内的网络入侵行为看做是火灾,防止这种入侵的策略叫做防火墙 二,防火墙分类 1.从构造上分类 硬件防火墙: 深信服,联想的网御,华为 软件防火墙 个人防火墙 定义:个人防火墙运行在 PC 上,用于监控 PC 和外网的通信信息 如windows自带的防火墙 网关防火墙 定义:在网络中的网关上配置防火墙的功能,能对网络中的流量进行策略控制,这就是网关防火墙 软件网关防火墙:如li.
服务器安全设置Centos7 防火墙firewall与iptables
网站安全专家
06-27 2103
一.>>>>>>启用centos7 iptables防火墙Centos7 防火墙firewall设置方法我们Sinesafe在处理客户服务器Linux Centos7 64位系统里配置防火墙安全设置需要选择2种方案其中之一,最后选择了iptables防火墙。因为在Centos 7版本里默认的防火墙是firewall,所以首先用firewall防火墙的话,下面就是...
阿里云CentOS服务器安全设置及防黑加固
程序员云帆哥的博客
10-31 1830
之前服务器有几次被攻击的事件(ssh暴力破解、恶意程序、挖矿程序等),其中一次严重事件,服务器无法登录,联系阿里云售后也无法恢复,只能重置。所以决定认真学习下安全设置,并整理成博文,以供需要的人做参考。 ...
Linux服务器安全加固(一)
YH的博客
10-30 897
Linux服务器安全加固 1.创建 SU 用户组 方法: vi /etc/group 添加一行 wheel:x:10:root,user1,user2 chgrp wheel /bin/su chmod o-rwx /bin/su 2.SSH禁用root登陆更改默认端口 方法: vi /etc/ssh/sshd_config 把协议改为 2 PermitRootL
Ubuntu - 防火墙(netfilter、iptables、UFW)、杀毒软件
LawssssCat的博客
02-15 734
这里记录Ubuntu的防火墙的使用。
iptablesfirewalld 区别
11-30
iptablesfirewalld 都是 Linux 系统中的防火墙软件,它们的主要区别如下: 1. 配置文件位置不同:iptables 的配置文件在 /etc/sysconfig/iptables 中,而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值