Centos系统Linux系统防火墙iptables,firewall,selinux策略管理

最新推荐文章于 2024-07-27 00:15:00 发布
最新推荐文章于 2024-07-27 00:15:00 发布
阅读量523 收藏 11
点赞数 4
分类专栏: Linux 文章标签: Linux系统防火墙策略管理 Centos系统防火墙策略管理 防火墙iptables策略 防火墙firewall策略 selinux策略管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lk583998442/article/details/108109823
版权
本文介绍了Centos系统下的Linux防火墙策略管理,包括iptables的基本概念、命令格式及规则示例,firewall的介绍和配置方法,以及selinux的简介、运行模式切换和权限修改。
摘要由CSDN通过智能技术生成

Linux系统-防火墙策略管理

文章目录

一、iptables
  • (一)iptables防火墙介绍
1.防火墙介绍
作用: 提供一道保护性的安全屏障,起到保护隔离作用,隔离公网和私网之间
分类:硬件防火墙  软件防火墙
程序:RHEL6以下iptables命令,RHEL7以上firewalld命令
firewalld底层是调用包过滤防火墙iptables
包过滤防火墙:工作在3层,对ip包进行过滤处理

2. iptables介绍
安装软件名:iptables-services
四表五链:表是防火墙功能,链是防火墙过滤规则

3.四表五链介绍
(1)四表,防火墙功能表
包过滤表filter表 #过滤数据包
地址转换表nat表  #用于网络地址转换
包标记表mangle表 #修改数据包的服务类型,TTL,路由实现QOS
状态跟踪表raw表  #决定数据包是否被状态跟踪机制处理

(2)五链,防火墙过滤规则
INPUT       #进入防火墙服务器的数据包
OUTPUT      #从防火墙服务器本机出去的数据包
FORWARD     #经过防火墙数据的包
PREROUTING  #路由前处理 
POSTROUTING #路由后处理

4.四表五链对应
包过滤表filter表- INPUT OUTPUT FORWARD
地址转换表nat表 - PREROUTING POSTROUTING OUTPUT
包标记表mangle表- PREROUTING POSTROUTING INPUT OUTPUT
状态跟踪表raw表 - PREROUTING OUTPUT

5.防护类型
根据保护对象主机,其他主机区分
主机型防火墙:服务运行后保护自己filter->INPUT
网络型防火墙:控制数据包是否运行经过本机filter->FORWARD
  • (二)iptables命令格式
1.iptables命令格式
管理程序位置: /sbin/iptables
命令格式:
iptables [-t 表名] 选项 [链名] [匹配条件] [-j 目标操作]
格式结构:iptables <- 表 <- 链 <- 规则
保存配置:iptables-save > /etc/sysconfig/iptables

2.整体规则
顺序比对,匹配即停止,LOG除外
可以不指定表,默认为filter表
可以不指定链,默认为对应表的所有链
如果没有匹配的规则,则使用防火墙默认规则
选项/链名/项目操作用大写字母,其余都小写
设置完后必须保存配置

3.常用选项
(1)添加规则
-A #在链的末尾追加一条规则
-I #在链的开头或指定序号,插入一条规则
(2)删除规则
-D #删除链内指定序号或内容的一条规则
-F #清空所有的规则
(3)设置默认规则
-P #为指定的链设置默认规则,默认策略只能是ACCPET和DROP
(4)查看规则
-L #列出所有的规则条目
-n #以数字形式显示地址,端口等信息
--line-numbers #查看规则时,显示规则的序号

4.匹配条件
(1)基本匹配条件

1)通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议,IP地址,网络接口等条件
需要取反条件时,用叹号!
协议匹配: -p 协议名
地址匹配: -s 源地址 -d 目标地址
接口匹配: -i 数据接收网卡 -o 数据输出网卡

2)隐含匹配
要求以特定的协议匹配作为前提,包括端口,TCP标记,ICMP类型等条件
tcp/udp: --sport 源端口 --dport 目标端口
icmp: --icmp-type ICMP类型(请求类型echo-request 回应类型echo-reply)

(2)扩展匹配条件

1)扩展条件的方法
前提条件:有对应的防火墙模块支持
格式:iptables [-t 表名] 选项 [链名] [匹配条件] [-m 扩展模块 --扩展条件 条件值] [-j 目标操作
最低0.47元/天 解锁文章
一切V随缘
关注
专栏目录
Linux防火墙netfilter/iptables/firewalld/关闭selinux
FUYY'S BLOG
09-26 1486
netfilter、iptablesfirewalld的关系: iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter(网络过滤器来读取)从而实现真正的防火墙功能。 关系如图:(iptables/firewalld管理工具都是通过iptables命令来管理防火墙netfilter) 在centos7以上...
CentOS 7 下使用 iptables
01-10
系统升级到CentOS 7后总感觉iptables怪怪的,比如不管怎么保存重启后都被初始化一下,即便我最后发大绝招启动时候加命令: 首先iptables-save > /etc/iptables.rules保存当前状态。 然后再在/etc/rc.local中强制加上 /etc/rc.local   iptables-restore /etc/iptables .rules 重启后虽然规则生效但仔细看规则还是一些被莫名添加的额外的内容,让人很是不爽。 仔细一google,发现问题之所在了。RedHat在7中更改了系统软件,不再使用iptables作为系统防火墙,而是使用了FirewallD
Centosiptablesfirewall防火墙开启、关闭、查看状态、基本设置等
热门推荐
菲宇运维
07-05 15万+
iptables防火墙 1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # ...
CentOS7下操作iptables防火墙firewalld防火墙
最新发布
Linux运维老纪的博客
07-27 1265
CentOS 7在安全性方面提供了多层次的保护措施,‌包括防火墙管理、‌系统更新、‌用户管理、‌以及通过系统配置增强安全性。‌本章详细介绍Linux安全firewalld和iptables.
【原创】Centos7.0 中的中iptablesfirewallSELINUX
GengLUT
12-08 7398
【原创】Centos7.0 中的中iptablesfirewallSELINUX 缘由 今天在学习UDP组播通信是,两台主机之间不能顺利通信。 A机 - Ubuntu12.04,B机 - Centos7.0,相互之间可以ping通。 A作为发送端,B作为接收端,B接收不到数据。 B作为发送端,A作为接收端,A可以接收数据。 原因:B机的防火墙的问题,关闭了防火墙之后
Centos 防火墙iptables
abelethan的博客
12-24 279
今天我们要来说说centos系统防火墙,我选择使用的iptables,那么接下来我们就开始安装、配置、使用 关闭firewalld防火墙[root@jjckj cblog]# systemctl status firewalld.service ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loade...
SELinux防火墙firewalliptables)
尘埃落定
04-29 1284
#一、SELinux 一套强化linux安全的MAC扩展模块,由美国国家安全局主导开发,集成在内核中(2.6及以上),操作系统提供可定制的策略,管理工具。 安全保护模型: DAC 自主访问控制 (Discretionary access control 所有者对自己的资源负责) 典型的DAC应用: 9位权限码(rwx); ACL 策略 MAC 强制访问控制 MAC 可以针对特定的进...
CentOS防火墙iptables使用
ElegantHedgehog的博客
12-29 794
1.1 企业安全优化配置原则 尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务高并发的情况,不能开iptables,会影响性能,利用硬件防火墙提升架构安全 1.1.1 实际环境应用 主要应用方向1、主机防火墙(filter表的INPUT链)。2、局域网共享上网(nat表的POSTROUTING链)。半个路由器,NAT功能。3、端口及IP映射(nat表的PREROUTING链),硬防的NAT功能。4、IP一对一映射。其他内容补充...
Linux防火墙管理(seLinuxiptables)(Centos6)
renfeigui0的博客
08-24 1115
Linux防火墙管理(seLinuxiptables)(Centos6)
保存linux防火墙配置,centos7 防火墙配置文件_centos7保存防火墙配置
weixin_39799561的博客
05-12 1102
原标题:centos7 防火墙配置文件_centos7保存防火墙配置修改防火墙配置文件之前需要对之前防火墙做好备份 重启防火墙后需要确认防火墙状 2.systemctl是CentOS7的服务管理工具中主要的工具它融合之前service和chkconfig的功CentOS7使用的是Linux Kernel 3.10.0的内核版本新版的Kernel内核已经有了防火墙netfilter并且firewal...
Linux系统防火墙iptables
wlc1213812138的博客
06-10 3532
Linux系统防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙
centos防火墙iptables设置
笨笨D幸福 - 后花园
08-15 1041
CentOS切换为iptables防火墙http://www.zsythink.net/archives/1199 http://www.cnblogs.com/alimac/p/5848372.html 切换到iptables首先应该关掉默认的firewalld,然后安装iptables服务。1、关闭firewall:service firewalld stop systemctl disab
Centos 运维之防火墙篇——①iptables
MoyiTech
01-21 223
iptables属于数据链路层的服务,所以可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配;一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。另外,防火墙策略规则的匹配顺序是从上到下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。但是仅有规则链,还不足以保护用户安全,还应该和一些动作联合起来。一般来说,从内网向外网发送的流量一般都是可控且良性的,因此使用最多的就是INPUT规则链,该规则链可以增大黑客人员从外网入侵内网的难度。来保存配置的策略命令。
centos 防火墙 iptables firewalld SELinux
angeiqiang的专栏
09-24 287
参考 Centos7 只启用iptables 禁用firewalld功能 java.net.NoRouteToHostException: 没有到主机的路由 相关内容 centos7 中才开始引用firewalld的概念,它是iptables的升级版,以上两者都不是真正的防火墙,都需要与内核netfilter配合使用。 Centos5、6使用iptables来管理服务器防火墙,...
Linux防火墙iptables规则设置(转)
angou6476的博客
05-13 206
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。 一、语法 iptables(选项)(参数) 二、选项 -t<表>:指定要操纵的表; -A:向规则链中添加条目; -D:从规则链中删除条目; -i:向规则链中插入条目; -R:替换规则链中的条目; -L:...
Centos 7_防火墙策略配置
BaoBaoYuan
04-28 2168
Centos 7防火墙策略配置指南 —— 清听凌雪慕忆 文章目录1. 开启防火墙1.1 user切换到root用户1.2 查看防火墙服务状态1.3 查看firewall的状态1.4 启动/关闭防火墙2. 防火墙端口配置2.1 查看已开启端口2.2 查看防火墙规则2.3 查看允许协议2.4 开启、关闭、查询端口3. 防火墙ip指向限制配置3.1 允许指定ip访问所有流量3.2 允许指定ip访问指定端口3.3 允许指定ip访问指定协议3.4 允许指定ip访问指定服务3.5 防火墙移除某个服务3.6 其他4. 获
linux一些常用iptables防火墙规则整理收集
奔跑的路
04-20 2084
这里是一个朋友在使用linux系统时的一些常用到的iptables防火墙规则整理了一篇文章,下面我转过来作记录的同时也给各位同学参考参考。 安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables Debian/Ubuntu执行: apt-get install iptables 清除已有iptable
centos防火墙iptables不求人
zhangxm_qz的博客
08-04 641
文章目录概念介绍防火墙和netfilter/iptablesiptables的表与链iptables规则iptables 服务管理iptables配置命令链的操作规则操作规则匹配条件常用规则示例配置 概念介绍 防火墙和netfilter/iptables 从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体),
CentOS 7快速部署Samba服务器及防火墙SELinux配置详解
CentOS 7操作系统中,配置Samba服务器...通过以上步骤,您可以在CentOS 7系统上成功配置Samba服务器,实现Linux和Windows之间的文件共享。请注意,根据您的具体需求和安全策略,可能需要对配置文件进行更详细的定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一切V随缘

你的鼓励将是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值