linux 防火墙

linux 防火墙有iptables 和firewalld

centos6用的是iptables centos7用的是firewalld

iptable一个简单的例子。

1，清除所有预设置

iptables -F

2、在tcp协议中，禁止所有的ip访问本机的1521端口。

iptables -I INPUT -p tcp --dport 1521 -j DROP

3、允许192.168.1.2访问本机的1521端口

iptables -I INPUT -s 192.168.0.2 -p tcp --dport 1521 -j ACCEPT

4.命令操作防火墙只是临时有效，可以使用下面一种方法，让他写到配置文件里面，重启还可以生效

/etc/rc.d/init.d/iptables save 

service iptables save

5.重启防火墙
service iptables restart 

1.iptables的基本使用

开放80，22，8080 端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

保存
/etc/rc.d/init.d/iptables save
查看打开的端口
/etc/init.d/iptables status
关闭防火墙 
1） 永久性生效，重启后不会复原
开启： chkconfig iptables on
关闭： chkconfig iptables off
2） 即时生效，重启后复原
开启： service iptables start
关闭： service iptables stop

查看防火墙策略：iptables -nL
[root@localhost ~]# iptables -nL  
#查看防火墙的策略
#-n 使用数字形式（numeric）显示输出结果
#-L 列出（list）指定链中所有的规则进行查看
#target代表进行的动作，一般会由三种不同的动作，详细解释如下
 （1）ACCEPT:接受数据包
 （2）REJECT： 拒绝数据包通过，必要时会给数据发送端一个响应的信息。
 （3）DROP 直接丢弃数据包，不给任何回应信息
# prot：代表使用的封包协定，主要有 tcp, udp 及 icmp 三种封包格式
# opt :解释说明
#source :来源地址的闲置
#destination:目标地址进行限制

清空防火墙的策略：iptables -F

service iptables save

修改防火墙默认的策略
[root@localhost ~]# iptables -P INPUT ACCEPT
#将INPUT策略修改为ACCEPT
#-P设置指定链的默认策略（policy）
#使用的基本格式 ： iptables -P iptables链的名称 新策略
[root@localhost ~]# iptables -nL
#查看防火墙的基本策略
Chain INPUT (policy ACCEPT)  #由这一行可以看出INPUT链中的策略已经被修改成了ACCEPT
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

添加防火墙的策略
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j REJECT
#通过80端口进行访问时被拒绝
[root@localhost ~]# iptables -nL
#查看防火墙的策略
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

添加防火墙的策略并指定特定的ip
[root@localhost ~]# iptables -A INPUT -s 192.168.0.2  -p tcp --dport 80 -j REJECT
#添加防火墙策略，指定192.168.0.2这台主机到INPUT链中，
#通过80端口，拒绝接受数据包
#-A 指定iptables链的类型
#-s 指定具体的ip
#-p 指定封装的协议类型
#-dport 指定哪个端口
#-j 指定动作的状态
[root@localhost ~]# iptables -nL
#查看防火墙的策略

插入防火墙策略

 1. [root@localhost ~]# iptables -I INPUT 1 -s 192.168.0.2 -p tcp --dport 22 -j REJECT
 #插入策略信息到INPUT链的第一条，策略信息是：指定192.168.0.2这台主机它通过22端口是拒绝
 #-I 插入策略信息

 2. [root@localhost ~]# iptables -nL
#查看防火墙的策略
 3.在192.168.0.2这台主机上进行测试

修改iptables防火墙策略
[root@localhost ~]# iptables -R INPUT 2 -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT
#修改INPUT链的第二条信息，允许192.168.0.2这台主机通过80端口访问。
#-R：修改的意思
#-s:指定具体的id
#-p:指定封装的协议
#-dport:指定的端口
#-j:动作的类型
[root@localhost ~]# iptables -nL
#查看防火墙的基本策略

target     prot opt source    
...........此处省略           
ACCEPT     tcp  --  192.168.0.2       0.0.0.0/0            tcp dpt:80
#观察target这一栏中信息可以看出，INPUT链的第二条信息已经修改为ACCEPT

删除iptables防火墙的策略
[root@localhost ~]# iptables -D INPUT 1
#删除INPUT链的第一条信息
#-D：删除
#基本格式：iptables -D iptables链的类型 第几条信息

firewalld

1.firewalld的基本使用
启动：  systemctl start firewalld
查状态：systemctl status firewalld 
停止：  systemctl disable firewalld
禁用：  systemctl stop firewalld
2.配置firewalld-cmd
查看版本： firewall-cmd --version
查看帮助： firewall-cmd --help
显示状态： firewall-cmd --state
查看所有打开的端口： firewall-cmd --zone=public --list-ports
更新防火墙规则： firewall-cmd --reload
查看区域信息:  firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
查看是否拒绝： firewall-cmd --query-panic
3.那怎么开启一个端口呢
添加
firewall-cmd --zone=public(作用域) --add-port=80/tcp(端口和访问类型) --permanent(永久生效)
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload    # 重新载入，更新防火墙规则
firewall-cmd --zone= public --query-port=80/tcp  #查看
firewall-cmd --zone= public --remove-port=80/tcp --permanent  # 删除

firewall-cmd --list-services
firewall-cmd --get-services
firewall-cmd --add-service=<service>
firewall-cmd --delete-service=<service>
在每次修改端口和服务后/etc/firewalld/zones/public.xml文件就会被修改,所以也可以在文件中之间修改,然后重新加载
使用命令实际也是在修改文件，需要重新加载才能生效。
4.参数解释
–add-service #添加的服务
–zone #作用域
–add-port=80/tcp #添加端口，格式为：端口/通讯协议
–permanent #永久生效，没有此参数重启后失效
5.详细使用
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.1/24" service name="http" accept'    //设置某个ip访问某个服务
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.1/24" service name="http" accept' //删除配置
firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/24 port port=80 protocol=tcp accept'     //设置某个ip访问某个端口
firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.1/24 port port=80 protocol=tcp accept'     //删除配置

firewall-cmd --query-masquerade  # 检查是否允许伪装IP
firewall-cmd --add-masquerade    # 允许防火墙伪装IP
firewall-cmd --remove-masquerade # 禁止防火墙伪装IP

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口
还可以修改配置文件，这个简单
修改 /etc/firewalld/zones/public.xml
如放行10022，加上下面
<port protocol="tcp" port="10022"/>

如果使用firewalld 记得关掉selinux

临时关闭selinux
# setenforce 0
# getenforce
Permissive

永久关闭|禁止开机启动
进入到/etc/selinux/config文件
# vim /etc/selinux/config

将SELINUX=enforcing改为SELINUX=disable，并重起系统。