linux之firewall,iptables

最新推荐文章于 2024-04-16 08:58:28 发布
最新推荐文章于 2024-04-16 08:58:28 发布
阅读量145 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kehana/article/details/113524040
版权

说明:这俩都是防火墙,有些系统是默认安装了其中一个,另一个要手动安装,有一个够用了,两个也不能共存,共存的话最好关掉一个保留一个

以下说的都是一些基本的防火墙知识,参考的博客

 

安装Firewalld 防火墙默认public规则路径/etc/firewalld/zones/public.xml

yum -y install firewall*

启用Firewalld

systemctl enable firewalld

systemctl start firewalld

firewalld命令行配置

add:创建

get:查看

query:查询

set:设置

change:修改

remove:移除

permanent:永久生效

reload :重新加载防火墙

示例:

firewall-cmd --get-zones:查看当前已存在的区域

firewall-cmd --get-active-zones:查看当前活跃的区域

firewall-cmd --get-default-zone:查看当前防火墙的默认区域

firewall-cmd --list-services --zone=home:查看home区域下的可用服务

firewall-cmd --set-default-zone=home:设置默认区域为home

firewall-cmd --change-zone=work:修改当前连接区域

添加常用端口放行

firewall-cmd --permanent --zone=public --add-port=20/tcp

firewall-cmd --permanent --zone=public --add-port=21/tcp

firewall-cmd --permanent --zone=public --add-port=22/tcp

firewall-cmd --permanent --zone=public --add-port=80/tcp

firewall-cmd --permanent --zone=public --add-port=888/tcp

firewall-cmd --permanent --zone=public --add-port=30000-40000/tcp

查看端口是否开放:firewall-cmd --query-port=3306/tcp

查看有哪些端口是开启的:firewall-cmd --list-port

重载Firewalld配置:firewall-cmd --reload

systemctl get-default #查看当前系统启动级别

systemctl isolate runlevel3.target #临时切换到第三级运行

systemctl isolate runlevel5.target #临时切换至第五级运行

systemctl set-default multi-user.target #设置默认第三启动级别

systemctl set-default graphical.target #设置默认第五启动级别

systemctl list-units --types=service --all|grep httpd

systemctl is-active httpd #查看httpd服务是否运行

systemctl is-enabled httpd #查看httpd服务是否开机启动

systemctl mask firewalld #服务冲突解决办法,虽然起来了,但是软链接到/dev/null中的,所以相当于什么都没干   屏蔽服务,使之无法手动或自动启动

systemctl unmask firewalld   #去掉屏蔽

systemctl enable httpd #设置开机自启

systemctl disable httpd #关闭开机自启,顺便还可以查看服务对应的server在哪个目录,然后将此服务加入/etc/init.d/里面,加两行注释在文件头

vi /etc/rc.d/init.d/httpd,添加以下注释信息:

# chkconfig: 345 85 15

# description: Activates/Deactivates Apache Web Server

第一行3个数字参数意义分别为:哪些Linux级别需要启动httpd(3,4,5);启动序号(85);关`闭序号(15)。

chkconfig --add httpd #这个时候就成功了

在机器上设置允许或者禁止域机器通过ssh访问,涉及知识点,防火墙的富规则rich-rule

#firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="172.24.8.0/24" service name="ssh" accept'

#firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="172.13.8.0/24" service name="ssh" reject'

在机器上设置允许或者禁止域机器访问

#firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="192.168.2.2" accept'

#firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="192.168.2.2" reject'

端口转发(两台机器之间)

#firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'

端口转发(同一台机器一个端口到另一个端口)

#firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="1.1.1.1/24" forward-port to-port="80" protocol="tcp" port="5423"'

 

iptables防火墙:

安装防火墙:yum -y install iptables iptables-services

iptables防火墙配置文件路径:/etc/sysconfig/iptables

规则链一般常见的有:INPUT(进来的数据包用此规则)   

                                  OUTPUT(出去的数据包用此规则)    

                                  FORWARD(转发的数据包用此规则)

防火墙处理数据包的四种方式:ACCEPT(允许数据包通过)

                                               REJECT(拒绝通过,必要时会返回拒绝信息)

                                               DROP(直接丢弃,不响应)

                                               LOG(在/var/log/messages)文件中记录日志信息,然后将数据包传递给下一条规则

--dport 指定目标TCP/IP端口 如 –dport 80

--sport 指定源TCP/IP端口 如 –sport 80

-p tcp 指定协议为tcp

-p icmp 指定协议为ICMP

-p udp 指定协议为UDP

-j DROP 拒绝

-j ACCEPT 允许

-j REJECT 拒绝并向发出消息的计算机发一个消息

-j LOG 在/var/log/messages中登记分组匹配的记录

-m mac –mac 绑定MAC地址

-m limit –limit 1/s 1/m 设置时间策列

-s 10.10.0.0或10.10.0.0/16 指定源地址或地址段

-d 10.10.0.0或10.10.0.0/16 指定目标地址或地址段

-s ! 10.10.0.0 指定源地址以外的

 

iptables -A 将一个规则添加到链末尾

iptables -D 将指定的链中删除规则

iptables -F 将指定的链中删除所有规则

iptables -I 将在指定链的指定编号位置插入一个规则

iptables -L 列出指定链中所有规则

iptables -t nat -L 列出所有NAT链中所有规则

iptables -N 建立用户定义链

iptables -X 删除用户定义链

iptables -P 修改链的默认设置,如将iptables -P INPUT DROP (将INPUT链设置为DROP)

 

查看防火墙规则:iptables -L -n

添加防火墙规则:iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

说明:-I  和  -A都是添加规则,-I表示在指定位置添加    -A表示直接加到尾部,对于整体规则来说影响不大

添加完规则之后执行:iptables save保存规则,此时你的规则可在/etc/sysconfig/iptables里面查看

删除防火墙规则:先查看规则在第几条:iptables -L INPUT --line-numbers -n 再执行 :iptables -D INPUT 序号

删除完规则之后执行:iptables save保存规则,此时/etc/sysconfig/iptables里面的规则也会被清掉一条

禁止22端口:iptables -A INPUT -p tcp --dport 22 -j REJECT

允许某台机器通过22端口链接:iptables -A INPUT -s 192.168.1.1 -p tcp --dport 22 -j REJECT

允许除了某台机器外的其他机器都能通过22端口连接:iptables -A INPUT -s ! 192.168.1.1 -p tcp --dport 22 -j REJECT

允许某个网段的机器通过22端口连接:iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j REJECT

DROP非法链接:iptables -A INPUT -m state --state INVALID -j DROP

                           iptables -A OUTPUT -m state --state INVALID -j DROP 

                           iptables -A FORWARD -m state --state INVALID -j DROP

cainiaoke
关注
IptablesFirewalld防火墙
Howie66的博客
02-23 904
8.1 防火墙管理工具众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙(见图8-1)虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可...
Linux系统防火墙配置firewalliptables
千月落
03-31 8979
开放端口80 firewall-cmd --zone=public --add-port=80/tcp --permanent
利用firewall-cmdiptables分别实现端口转发(本地端口转发和远程端口转发)
weixin_61572870的博客
04-14 1132
访问A主机上的192.168.87.5:80 跳转到B主机上的192.168.87.3:80。当我们访问192.168.87.3:2345时 转到本地的192.168.87.3:80。如果没有打开,则打开: echo "1" > /proc/sys/net/比如当我们访问192.168.87.5的1234端口时,自动帮我们转到80端口。当我们访问A主机的80端口时,帮我们跳转到B主机的80端口(都在A上配置)同样要像iptables里面,检查转发开关已经打开。二、firewalld。
neutron openvswitch agent实现安全组的方法
weixin_30376509的博客
01-13 286
关于openstack安全组,采用一问一答的形式记录如下 1. 是加载在计算节点的还是网络节点的? 是加载在计算节点的 2. 是使用iptable规则实现的吗? M版的neutron实现了openvswitch 基于流表的防火墙 之前常见的是用iptables实现的,一般会创建neutron-openvswi-...
知了堂|iptablesfirewalld 防火墙操作配置
qq_35254085的博客
09-16 682
一.iptables 防火墙配置 (1)为 filter 表的 INPUT 链添加一条规则,规则为拒绝所有使用 ICMP 协议的数据包。★★ iptables -A INPUT -p icmp -j DROP 将数据包丢弃,不回应 REJECT 丢弃并回应 (2)为 filter 表的 INPUT 链添加一条规则,规则为允许访问 TCP 协议的 80 端口的数据包通过。★★ iptables -A INPUT -p tcp --dport 80 -j ACCEPT (3)在 filter 表中 INPUT
mykubernetes#linux#firewalliptables1
07-25
1、 停止并禁用 firewalld 2、安装iptables-services、iptables-devel 3、启用并启动iptables 4、查看ipta
iptables教程1.2.0-Linux防火墙配置Iptables Tutorial 1.2.0 - Linux Firewall Configuration
11-15
本书深入了解了TCP / IP层,协议,数据包格式和逐步配置以实现安全的Linux环境。
Fran FireWall fwiptables Generator:Fran FireWall iptables Generator: fwiptables script linux-开源
07-28
Fran iptables 是一个简单的 FireWall iptables 脚本,用于在 linux 中配置防火墙,简单且免费,在命令行环境、CLI 环境和 GUI 环境中。 [程序名称] Fran FireWall fwiptables Generator [程序说明] 用于 iptables ...
回顾2024编程之旅,算法题+网络安全
最新发布
jixuczy的博客
04-16 300
除了开发应用,在2023年中很多时间都在开发接口,主要就是我们的小程序商城需要和外部企业进行合作,进行流量互到,所以有很多接口需要开发。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
OpenStack newton版安装教程(4)——Neutron部分
weixin_42073629的博客
06-01 626
Neutron涉及到了网络配置,是OpenStack平台中最复杂的一个组件,配置文件最多。Neutron本身支持多种plugin,每种plugin又有多种agent可以使用,而每一种agent的配置方式又有差别,所以这也是Neutron较为复杂的原因。目前最常用的plugin是Linux bridge,而最常用的agent是ML2 agent(Module Layer2,也可以叫做L2 agent,第二层网络协议),剩下还有DHCP-agent、L3-agent(不同网络下要互相通信就需要这个agent)、
同时开启firewalliptables
NetRookieX的博客
02-19 3276
使用向导 With the iptables service, every single change means flushing all the old rules and reading all the new rules from /etc/sysconfig/iptables, while with firewalld there is no recreating of all the...
Ubuntu搭建Openstack平台(kilo)(五.neutron(二)网络节点与计算节点)
svmachine的博客
05-07 4682
参考文档:http://www.aboutyun.com/thread-13116-1-1.html http://www.aboutyun.com/thread-13117-1-1.html网络节点一.配置参数 环境配置 vim /etc/sysctl.confnet.ipv4.ip_forward=1 net.ipv4.conf.all.rp_filter=0 net.ipv4.conf.de
【OpenStack】菜鸟学OpenStack之部署Train(7)
小哲的博客
01-04 592
菜鸟学OpenStack之部署Train(7) 本节介绍OpenStack网络服务(Neutron)组件。Neutron网络服务组件通过提供API使用户可以定义网络连接类型和IP网络地址,基于三层路由转发和NAT的负载均衡、防火墙和IPSec VPN等,提供了多种网络技术,丰富了网络功能,驱动了OpenStack云计算网络的建设。 ...
OpenStack之Neutron(网络服务)
andrew6_success的博客
12-26 1506
控制器节点安装和配置网络服务 部署条件:在配置OpenStack连网(neutron)服务之前,必须创建数据库、服务凭据和API端点。 1、创建数据库 1)使用数据库访问客户端作为root连接到数据库服务器: mysql -u root -p123 2)创建neutron数据库: CREATE DATABASE neutron; 3)授予对neutron数据库的正确访问权限,用合适的密码: GRA...
firewall (centos8) 端口开放
小小的木头人的博客
10-10 785
查看防火墙某个端口是否开放 firewall-cmd --query-port=3306/tcp 开放防火墙端口3306 firewall-cmd --zone=public --add-port=3306/tcp --permanent 查看防火墙状态 systemctl status firewalld 关闭防火墙 systemctl stop firewalld 打开防火墙 systemctl start firewalld 开放一段端口 firewall-cmd --zone=publi.
neutron之防火墙服务fwaas
吴业亮的专栏
12-09 7072
作者:【吴业亮】云计算开发工程师 博客:http://blog.csdn.net/wylfengyujiancheng一、架构: 二、防火墙与安全组区别 防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务也是在网络节点上(具体说来是在路由器命名空间中)来实现。安全组的对象是虚拟网卡,由L2 Agent来实现,比如neutron_openvswitch_agent 和 n
RH254-第二十六节-iptablesfirewalld防火墙
hubowestlife
08-18 866
防火墙管理工具 保证数据的安全性是继可用性之后最为重要的一项工作,众所周知外部公网相比企业内网更加的“罪恶丛生”,因此防火墙技术作为公网与内网之间的保护屏障,虽然有软件或硬件之分,但主要功能都是依据策略对外部请求进行过滤。防火墙技术能够做到监控每一个数据包并判断是否有相应的匹配策略规则,直到匹配到其中一条策略规则或执行默认策略为止,防火墙策略可以基于来源地址、请求动作或协议等信息来定制,最终
Linux - firewall防火墙使用指南
张念磊的博客
02-09 498
firewall使用指南 @auther 张念磊 @date 2020/2/9 文章目录firewall使用指南firewall是什么?如何安装?如何使用?示例开启80端口重新启动防火墙参数说明:在指定区域开启某个范围的端口号参数其他命令参考 firewall是什么? Centos7 默认的防火墙是 firewall,替代了以前的 iptables 2、firewall 使用更加方便、功能也更加强...
linux下防火墙的设置(firewalld和iptables两种方式)
weixin_44246619的博客
07-31 819
一 、防火墙的介绍 防火墙是整个数据包进入主机前的第一道关卡,是一种位于内部网络和外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要是通过Netfilter与TCPwarppers两个机制来管理的 firewalld编写火墙策略的工具,开启火墙自动管理火墙数据 同名管理iptable 更专业 二、firewalld管理火墙 可以有三...
Linux防火牆iptables详解与网络安全策略
Linux環境中,iptables是一種常用的軟體防火牆工具,它屬於系統內建的防火牆機制,能夠進行封包的分析和過濾,實現細緻的網路控制。 認識防火牆: 防火牆的基本概念涉及到對進出封包的管理和控制,它可以是硬件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值