Linux防火墙管理

最新推荐文章于 2020-11-20 11:08:35 发布
最新推荐文章于 2020-11-20 11:08:35 发布
阅读量161 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45318174/article/details/105799434
版权

1.防火墙分类:
从逻辑上分类:

主机防火墙:针对单个主机进行防护
网络防火墙:处于网络入口或边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网

从物理上分类:

硬件防火墙:在硬件部分实现,另一部分功能是基于软件实现;性能高,成本高
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低

2.iptables介绍
iptables:iptables并不是真正意义的防火墙,可以理解为一个客户端工具,用户通过iptables这个客户端,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙,这个框架的名字叫netfilter,它位于内核中。netfilter/iptables组成Linux平台下的包过滤防火墙
3.iptables四表五链
链和表的关系:在这里插入图片描述
表和链的关系(常用):
在这里插入图片描述
在这里插入图片描述

iptables处于同一链时:
执行的优先级(由高到低):raw→mangle→nat→filter

4.iptables用法:
**规则:**根据指定的匹配条件来尝试匹配每个流经此处的报文,一旦匹配成功,则由规则后面指定的处理动作进行处理。

基本匹配条件扩展匹配条件
源地址 Source IP源端口 Source Port
目标地址Destintion IP目标端口Destinqtion Port

处理动作
在这里插入图片描述

常用操作命令说明
-A在指定链尾部添加规则
-D删除匹配的规则
-R替换匹配的规则
-I在指定位置插入规则(例:iptables -I INPUT 1 -p tcp --drop 80-j ACCEPT(将规则插入到filter表INPUT链中的第一位))
-L/S列出指定链或所有链的规则
-F删除指定链或所有链的规则
-N创建用户自定义链(例:iptables -N allowed )
-X删除指定的用户自定义链
-P为指定链设置默认规则策略,对自定义链不起作用。
-Z将指定链或所有链的计数器清零
-E更改自定义链的名称(例:iptables -E allowed disallowed)
-nip地址和端口号以数字方式显示(例:iptables -nL)
-t后跟表名;iptables -t nat -L列出所有nat表中规则
-v列出详细信息
–line-numbers显示规则序号
常用规则匹配器说明
-p tcp/udp/icmp/all匹配协议,all会匹配所有协议
-s addr[/mask]匹配源地址
-d addr[/mask]匹配目标地址
-sport port1[:port2]匹配源端口(可指定连续的端口 例-sport 80)
-dport port1[:port2]匹配目的端口(可指定连续的端口 例-dport 80)
-o interface匹配出口网卡,只适用于FORWARD,POSTROUTING,OUTPUT(例:iptables -A FORWARD -o eth0)
-i interface匹配出口网卡,只使用PREROUTING,INPUT,FORWARD.
–icmp-type匹配icmp类型(使用iptables -p icmp -h可查看可用的ICMP类型)
–tcp-flags mask comp匹配TCP标记,mask表示检查范围,comp表示匹配mask中的哪些标识(例:iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j ACCEPT表示匹配SYN和ACK标记的数据包 )

操作实例:
(1)iptables -t filter -nL 以IP地址和端口号形式查看filter表所有规则(-t选项指定操作的表,默认不指定-t选项时默认就是filter表;此处可以看到有三条链:INPUT,OUTPUT,FORWARD每条链都有自己规则)
在这里插入图片描述
target:表示规则对应的“动作”,规则匹配成功后需要采取的措施。
prot:表示规则对应的协议,是否只针对某些协议应用此规则。
opt:表示规则对应的选项。
source:表示规则对应的源头地址,可以是IP或网段。
destination:表示规则对应的目标地址,可以是IP或网段。
(2)清理规则:
**iptables -F:**当清理之后,可以看到INPUT,FORWARD,OUTPUT默认策略都是ACCEPT,也就是默认当前所有发往本机策略都放行。
在这里插入图片描述
在这里插入图片描述
(3.增加规则)
拒绝来自192.168.19.152的所有报文:iptables -I INPUT -s 192.168.19.152 -j DROP

在这里插入图片描述

在这里插入图片描述(4.删除规则)
iptables -t filter -D INPUT 1删除INPUT链中第一条规则

在这里插入图片描述
(5.修改规则)
iptables -I INPUT 1 -s 192.168.19.150 -j ACCEPT
iptables -R INPUT 1 -s 192.168.1.150 -j DROP

在这里插入图片描述

保存规则:service iptables save
在这里插入图片描述

m0_45318174
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙管理(firewalld)
weixin_43407305的博客
12-20 842
防火墙管理工具 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙,虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流...
linux防火墙篇--Firewalld防火墙基础
最新发布
aran2002的博客
05-23 1789
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
linux防火墙管理
weixin_43986665的博客
08-16 195
一、内核程序和用户程序 (1)linux系统结构,在X86平台的CPU,是如何执行内核程序和用户程序的 ring0 :与硬件相关或者硬件寄存器,总线控制相关的程序---内核程序 ring1-2 : 驱动程序或者与虚拟化相关的程序 ring3 :用户态的程序 (2)/proc 正在运行的内核信息映射 proc文件系统是一个伪文件...
基于WEB的LINUX防火墙管理系统的设计与实现.pdf
09-06
"基于WEB的LINUX防火墙管理系统的设计与实现" 本文主要介绍基于WEB的LINUX防火墙管理系统的设计与实现。该系统基于Linux内核的netfilter/iptables包过滤系统,旨在提供一个完善和强大的防火墙系统。然而,netfilter...
基于Web模式的Linux防火墙管理.pdf
09-06
基于Web模式的Linux防火墙管理.pdf
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
Virtuozzo for Linux 防火墙管理
12-07
Virtuozzo for Linux的内置了iptables防火墙管理,可为硬件节点、Service VPS和客户VPS提供全面的双向规则控制。
防火墙管理器::red_heart:Linux防火墙管理
02-09
防火墙管理器 产品特点 Linux强化 作者 姓名:Prajwal Koirala 网站: 学分 开源社区 执照 版权所有:copyright: 该项目是无牌的。
Iptables表和链最清晰解释
01-15
Iptables表和链最清晰解释 下文有个词mangle,我实在没想到什么合适的词来表达这个意思,只因为我的英语太差! 我只能把我理解的写出来,这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表允许的操作是TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。 以本地为目标(就是我们自己的机子了)的包
Linux防火墙管理
imVainiycos的博客
11-20 161
文章目录一、防火墙开放2020端口二、总结 目前更多的是通过云服务器进行安全组管理,即控制对外端口的开放关闭等。但是通过系统的防火墙也能够达到一定的效果,在这里以firewall为例。 一、防火墙开放2020端口 查看当前防火墙的状态 service firewalld status 查看当前防火墙的开放情况 netstat -anp 查看2020端口是否开放 firewall-cmd --query-port=2020/tcp 若没有开放,则进行开放 firewall-cmd --add-por
Linux防火墙管理
SS_CC_Go的博客
06-06 388
防火墙 一、firewall 1、图形化管理 2、命令行管理 防火墙基本操作 firewall-cmd --state 查看firewall状态 firewall-cmd --get-active-zones 当前正在使用的域 firewall-cmd --get-default-zone 默认的域 firewall-cmd --zone=public --list-all 查看...
linux防火墙管理——firewalld
qq_41961805的博客
02-25 264
linux,firewalld并不具备防火墙功能,它的作用是管理和维护规则。 firewalld的基础设定 systemctl start firewalld ##开启 systemctl enabled firewalld ##设置开机自启 systemctl stop firewalld ##关闭 systemctl disable firewalld ##设置开机不自启 ...
Linux 系统防火墙配置与管理
CSDN
01-04 5399
Linux运维笔记纯手打,所有命令都是在学习Linux时总结出来的,包括排版,摒弃用不到的命令,其主要目的是在生产环境能够快速的定位并查询需要命令的参数,能够高效工作。Iptables的前身叫ipfirewall,这是一个作者从FreeBSD上移植过来的,能够工作在内核当的,对数据包进行检测的一款简易访问控制工具.但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的).当内核发展到2.x系列的时候,软件更名为ipcha
iptables:传统的Linux防火墙管理程序
happyAnger6的专栏
04-04 1089
IP防火墙(IPFW)和Netfilter防火墙机制的不同 IPFW是Linux较老的防火墙,主要使用ipfwadm和ipchains. 它和iptables的区别包括: iptables是高度模块化的,个别模块有时必须被明确地加载日志记录是一个规则目标而不是命令选项连接状态跟踪可以被维护。地址和端口转换与数据包过滤划逻辑分离的功能实现完全的源地址和目的地址转换伪装是一个术语,用来指一种
linux防火墙管理(2)--iptables
qq_34373016的博客
12-06 515
iptables 一 相关概念:       防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表,而这些表集成在 Linux 内核。在信息包过滤表,规则被分组放在我们所谓的链(chain)。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。netfilter 组件也称为内核空间(kern
Linux防火墙详解:网络接口与阻塞策略
Linux防火墙Linux系统一个重要的安全组件,它在保护系统免受未经授权的访问和恶意流量攻击方面...同时,结合文档的软考官方教材、视频教程等资源,学习者可以从理论和实践两方面全面提升Linux防火墙管理技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值