linux 防火墙有iptables 和firewalld
centos6用的是iptables centos7用的是firewalld
iptable一个简单的例子。
1,清除所有预设置
iptables -F
2、在tcp协议中,禁止所有的ip访问本机的1521端口。
iptables -I INPUT -p tcp --dport 1521 -j DROP
3、允许192.168.1.2访问本机的1521端口
iptables -I INPUT -s 192.168.0.2 -p tcp --dport 1521 -j ACCEPT
4.命令操作防火墙只是临时有效,可以使用下面一种方法,让他写到配置文件里面,重启还可以生效
/etc/rc.d/init.d/iptables save
service iptables save
5.重启防火墙
service iptables restart
1.iptables的基本使用
开放80,22,8080 端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
保存
/etc/rc.d/init.d/iptables save
查看打开的端口
/etc/init.d/iptables status
关闭防火墙
1) 永久性生效,重启后不会复原
开启: chkconfig iptables on
关闭: chkconfig iptables off
2) 即时生效,重启后复原
开启: service iptables start
关闭: service iptables stop
查看防火墙策略:iptables -nL
[root@localhost ~]# iptables -nL
#查看防火墙的策略
#-n 使用数字形式(numeric)显示输出结果
#-L 列出(list)指定链中所有的规则进行查看
#target代表进行的动作,一般会由三种不同的动作,详细解释如下
(1)ACCEPT:接受数据包
(2)REJECT: 拒绝数据包通过,必要时会给数据发送端一个响应的信息。
(3)DROP 直接丢弃数据包,不给任何回应信息
# prot:代表使用的封包协定,主要有 tcp, udp 及 icmp 三种封包格式
# opt :解释说明
#source :来源地址的闲置
#destination:目标地址进行限制
清空防火墙的策略:iptables -F
service iptables save
修改防火墙默认的策略
[root@localhost ~]# iptables -P INPUT ACCEPT
#将INPUT策略修改为ACCEPT
#-P设置指定链的默认策略(policy)
#使用的基本格式 : iptables -P iptables链的名称 新策略
[root@localhost ~]# iptables -nL
#查看防火墙的基本策略
Chain INPUT (policy ACCEPT) #由这一行可以看出INPUT链中的策略已经被修改成了ACCEPT
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
添加防火墙的策略
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j REJECT
#通过80端口进行访问时被拒绝
[root@localhost ~]# iptables -nL
#查看防火墙的策略
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
添加防火墙的策略并指定特定的ip
[root@localhost ~]# iptables -A INPUT -s 192.168.0.2 -p tcp --dport 80 -j REJECT
#添加防火墙策略,指定192.168.0.2这台主机到INPUT链中,
#通过80端口,拒绝接受数据包
#-A 指定iptables链的类型
#-s 指定具体的ip
#-p 指定封装的协议类型
#-dport 指定哪个端口
#-j 指定动作的状态
[root@localhost ~]# iptables -nL
#查看防火墙的策略
插入防火墙策略
1. [root@localhost ~]# iptables -I INPUT 1 -s 192.168.0.2 -p tcp --dport 22 -j REJECT
#插入策略信息到INPUT链的第一条,策略信息是:指定192.168.0.2这台主机它通过22端口是拒绝
#-I 插入策略信息
2. [root@localhost ~]# iptables -nL
#查看防火墙的策略
3.在192.168.0.2这台主机上进行测试
修改iptables防火墙策略
[root@localhost ~]# iptables -R INPUT 2 -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT
#修改INPUT链的第二条信息,允许192.168.0.2这台主机通过80端口访问。
#-R:修改的意思
#-s:指定具体的id
#-p:指定封装的协议
#-dport:指定的端口
#-j:动作的类型
[root@localhost ~]# iptables -nL
#查看防火墙的基本策略
target prot opt source
...........此处省略
ACCEPT tcp -- 192.168.0.2 0.0.0.0/0 tcp dpt:80
#观察target这一栏中信息可以看出,INPUT链的第二条信息已经修改为ACCEPT
删除iptables防火墙的策略
[root@localhost ~]# iptables -D INPUT 1
#删除INPUT链的第一条信息
#-D:删除
#基本格式:iptables -D iptables链的类型 第几条信息
firewalld
1.firewalld的基本使用
启动: systemctl start firewalld
查状态:systemctl status firewalld
停止: systemctl disable firewalld
禁用: systemctl stop firewalld
2.配置firewalld-cmd
查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
查看区域信息: firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
3.那怎么开启一个端口呢
添加
firewall-cmd --zone=public(作用域) --add-port=80/tcp(端口和访问类型) --permanent(永久生效)
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload # 重新载入,更新防火墙规则
firewall-cmd --zone= public --query-port=80/tcp #查看
firewall-cmd --zone= public --remove-port=80/tcp --permanent # 删除
firewall-cmd --list-services
firewall-cmd --get-services
firewall-cmd --add-service=<service>
firewall-cmd --delete-service=<service>
在每次修改端口和服务后/etc/firewalld/zones/public.xml文件就会被修改,所以也可以在文件中之间修改,然后重新加载
使用命令实际也是在修改文件,需要重新加载才能生效。
4.参数解释
–add-service #添加的服务
–zone #作用域
–add-port=80/tcp #添加端口,格式为:端口/通讯协议
–permanent #永久生效,没有此参数重启后失效
5.详细使用
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.1/24" service name="http" accept' //设置某个ip访问某个服务
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.1/24" service name="http" accept' //删除配置
firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/24 port port=80 protocol=tcp accept' //设置某个ip访问某个端口
firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.1/24 port port=80 protocol=tcp accept' //删除配置
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade # 禁止防火墙伪装IP
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口
还可以修改配置文件,这个简单
修改 /etc/firewalld/zones/public.xml
如放行10022,加上下面
<port protocol="tcp" port="10022"/>
如果使用firewalld 记得关掉selinux
临时关闭selinux
# setenforce 0
# getenforce
Permissive
永久关闭|禁止开机启动
进入到/etc/selinux/config文件
# vim /etc/selinux/config
将SELINUX=enforcing改为SELINUX=disable,并重起系统。