centos7下的防火墙工具使用

最新推荐文章于 2024-10-06 08:10:37 发布
最新推荐文章于 2024-10-06 08:10:37 发布
阅读量939 收藏 14
点赞数 8
分类专栏: Linux 文章标签: linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56363537/article/details/141858131
版权

安全防护

在 CentOS 中,firewalld、iptables 和 SELinux 是三种关键的安全组件,它们提供了不同层次的访问控制和防护机制

Firewalld

firewalld 是 CentOS 7 中默认的防火墙管理工具,用于动态管理网络端口和服务的访问权限。

功能和特点

  • 动态规则管理:可以在不重新加载整个防火墙的情况下,添加、修改或删除规则。
  • 区域(Zone)概念:根据网络信任级别,firewalld 将网络接口分配到不同的区域,每个区域有不同的防护级别。
  • 服务管理:可以根据服务名称(如http, mysql)而不是端口号来配置防火墙规则。

基本操作

启动、停止、重启 firewalld:

sudo systemctl start firewalld      # 启动 firewalld
sudo systemctl stop firewalld       # 停止 firewalld
sudo systemctl restart firewalld    # 重启 firewalld
sudo systemctl reload firewalld     # 重新加载配置

启用或禁用 firewalld 开机启动:

sudo systemctl enable firewalld     # 开机时启用 firewalld
sudo systemctl disable firewalld    # 开机时禁用 firewalld

查看 firewalld 状态:

sudo systemctl status firewalld     # 查看 firewalld 服务状态
sudo firewall-cmd --state           # 查看 firewalld 是否在运行
  1. 区域管理
    firewalld 使用区域(Zone)来管理不同信任级别的网络接口。

查看所有区域:

sudo firewall-cmd --get-zones

查看当前活动区域:

sudo firewall-cmd --get-active-zones

查看某个区域的详细信息:

sudo firewall-cmd --zone=public --list-all

更改默认区域:

sudo firewall-cmd --set-default-zone=public

将网络接口分配到某个区域:

sudo firewall-cmd --zone=public --change-interface=eth0 --permanent
sudo firewall-cmd --reload   # 重载配置使更改生效
  1. 端口管理
    开放端口:
sudo firewall-cmd --zone=public --add-port=3306/tcp --permanent
sudo firewall-cmd --reload

移除已开放的端口:

sudo firewall-cmd --zone=public --remove-port=3306/tcp --permanent
sudo firewall-cmd --reload

查看已开放的端口:

sudo firewall-cmd --zone=public --list-ports
  1. 服务管理
    允许某服务通过防火墙:
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --reload

移除某服务的访问权限:

sudo firewall-cmd --zone=public --remove-service=http --permanent
sudo firewall-cmd --reload

查看某区域已允许的服务:

sudo firewall-cmd --zone=public --list-services
  1. Rich Rules(高级规则)
    firewalld 支持使用 Rich Rules 来创建更加复杂的防火墙规则。

添加 Rich Rule:

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.10" port port=22 protocol=tcp accept' --permanent
sudo firewall-cmd --reload

删除 Rich Rule:

sudo firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.10" port port=22 protocol=tcp accept' --permanent
sudo firewall-cmd --reload
  1. 伪装、转发、源地址规则
    启用 IP 伪装(NAT):
sudo firewall-cmd --zone=public --add-masquerade --permanent
sudo firewall-cmd --reload

禁用 IP 伪装:

sudo firewall-cmd --zone=public --remove-masquerade --permanent
sudo firewall-cmd --reload

启用端口转发:

sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080 --permanent
sudo firewall-cmd --reload

添加源地址:

sudo firewall-cmd --zone=public --add-source=192.168.0.0/24 --permanent
sudo firewall-cmd --reload
  1. 其他实用命令
    查看 firewalld 版本:
sudo firewall-cmd --version

查看当前运行时配置:

sudo firewall-cmd --runtime-to-permanent

重置 firewalld 配置:

sudo firewall-cmd --complete-reload

查询指定端口是否允许:

sudo firewall-cmd --zone=public --query-port=8080/tcp

查询指定服务是否允许:

sudo firewall-cmd --zone=public --query-service=http

Iptables

iptables 是 Linux 系统中的数据包过滤工具,它是防火墙的核心部分,允许用户定义复杂的规则来控制数据包的处理方式。

功能和特点

  • 手动配置:iptables 提供了对网络流量的精细控制,但配置更加手动和底层。
  • 链和规则:iptables 使用链(chain)和规则(rule)来处理数据包流。
  • 表(table):包含不同的表,如filter(默认表)、nat(用于网络地址转换)、mangle(用于修改数据包内容)。
  1. 基本操作
    查看当前的规则:
sudo iptables -L             # 列出所有规则
sudo iptables -L -v          # 显示详细信息
sudo iptables -L -v -n       # 显示详细信息,并使用数字表示IP和端口
sudo iptables -S             # 以命令格式列出所有规则

清空所有规则:

sudo iptables -F             # 清空所有规则
sudo iptables -X             # 删除所有自定义链
sudo iptables -Z             # 将所有计数器置零

保存规则(不同系统可能使用不同命令):

sudo service iptables save   # 保存当前规则到配置文件
sudo iptables-save > /etc/sysconfig/iptables  # 手动保存

恢复规则:

sudo service iptables restart  # 重启iptables并加载保存的规则
sudo iptables-restore < /etc/sysconfig/iptables  # 手动恢复
  1. 链与表的操作
    表(Table):
  • filter:默认表,用于过滤数据包。
  • nat:用于网络地址转换(NAT)。
  • mangle:用于修改数据包内容。
  • raw:用于在连接跟踪之前处理数据包。

链(Chain):

  • INPUT:处理进入系统的数据包。
  • OUTPUT:处理离开系统的数据包。
  • FORWARD:处理转发的数据包。
  • PREROUTING:数据包到达前处理(用于 nat 表)。
  • POSTROUTING:数据包离开前处理(用于 nat 表)。

创建自定义链:

sudo iptables -N custom_chain  # 创建名为 custom_chain 的新链

删除自定义链:

sudo iptables -X custom_chain  # 删除名为 custom_chain 的链
  1. 规则管理
    添加规则:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许 SSH 连接
sudo iptables -A INPUT -p tcp --dport 80 -j DROP    # 拒绝 HTTP 连接

插入规则:

sudo iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT  # 在链的顶部插入规则

删除规则:

sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT  # 删除匹配的规则
sudo iptables -D INPUT 1                            # 删除 INPUT 链中的第一条规则

替换规则:

sudo iptables -R INPUT 1 -p tcp --dport 22 -j DROP  # 替换 INPUT 链中的第一条规则
  1. 规则条件
    协议:
-p tcp   # TCP协议
-p udp   # UDP协议
-p icmp  # ICMP协议

端口:

--sport 22  # 源端口
--dport 80  # 目标端口

源和目标地址:

-s 192.168.1.1    # 源IP地址
-d 192.168.1.2    # 目标IP地址

接口:

-i eth0  # 输入接口
-o eth1  # 输出接口
  1. NAT 和端口转发
    源地址伪装(SNAT):
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 1.2.3.4

目标地址转换(DNAT):

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080

启用 IP 伪装(Masquerade):

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. 状态检查
    查看连接跟踪:
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  # 允许已建立和相关连接的数据包

限制连接速率:

sudo iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j ACCEPT  # 每分钟限制为5个连接
  1. 记录与日志
    记录数据包日志:
sudo iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH attempt: "

设置规则不进行连接跟踪:

sudo iptables -t raw -A PREROUTING -p tcp --dport 80 -j NOTRACK
  1. 其他操作
    阻止 Ping:
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

允许所有环回接口流量:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

允许特定网络段的访问:

sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT

启用/禁用 IP 转发:

echo 1 > /proc/sys/net/ipv4/ip_forward  # 启用
echo 0 > /proc/sys/net/ipv4/ip_forward  # 禁用

SELinux

SELinux(Security-Enhanced Linux)是 Linux 内核的一个安全模块,提供了基于强制访问控制(MAC)的安全策略。

功能和特点
强制访问控制:SELinux 强制执行策略以控制系统中各个进程和用户之间的交互,即使是 root 用户也必须遵守。

三种模式:

  • Enforcing:启用并强制执行 SELinux 安全策略,阻止未授权操作。
  • Permissive:启用 SELinux,但不会强制执行策略,仅记录警告。
  • Disabled:禁用 SELinux。
  • 上下文(Context):每个文件、进程、端口等都有一个安全上下文,用于确定访问权限。

常用命令
查看 SELinux 状态:

sestatus

临时禁用 SELinux:将 SELinux 设为 Permissive 模式

setenforce 0

永久禁用 SELinux:

vi /etc/selinux/config

修改以下内容

SELINUX=disabled

查看sellinux当前默认模式

getenforce 0

防火墙管理:一般情况下,使用 firewalld 来管理防火墙规则,因为它更加灵活和易用。如果需要更复杂和细粒度的控制,可以在 firewalld 的基础上使用 iptables。

SELinux:应根据系统安全需求决定是否启用 SELinux。如果启用,确保相应的策略和上下文已正确配置,避免阻止合法操作。

huhy~
关注
专栏目录
Centos7防火墙设置
所谓向日葵族
08-05 1250
CentOS 7中使用防火墙为firewall,在CentOS 6.5中在iptables防火墙中进行了升级了。 用于实现持久的网络流量规则。 可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接 使用区域(zone)和服务(service) 默认是拒绝的,需要设置以后才能放行 CentOS 7放行端口需要在云服务器管理后台和服务器firewall同时设置才有效!注意默...
保存linux防火墙配置,centos7 防火墙配置文件_centos7保存防火墙配置
weixin_39799561的博客
05-12 1136
原标题:centos7 防火墙配置文件_centos7保存防火墙配置修改防火墙配置文件之前需要对之前防火墙做好备份 重启防火墙后需要确认防火墙状 2.systemctl是CentOS7的服务管理工具中主要的工具它融合之前service和chkconfig的功CentOS7使用的是Linux Kernel 3.10.0的内核版本新版的Kernel内核已经有了防火墙netfilter并且firewal...
CentOS 7 开放防火墙端口命令
Cheers Li 软件测试博客
09-14 14万+
CentOS 7 开放防火墙端口 命令         最近公司新的server要求用CentOS7, 发现以前CentOS 6 系列中的 iptables 相关命令不能用了,查了下,发现Centos 7使用firewalld代替了原来的iptables。 使用方法如下: &gt;&gt;&gt; 关闭防火墙 systemctl stop firewalld.service        ...
centos7防火墙配置
最新发布
test的博客
10-06 1178
Centos7开始已经放弃iptables,转而使用firewalld。从本质意义上讲,iptables和firewalld是防火墙软件,其实现方式都是调用内核Netfilter。firewalld提供了一个动态管理的防火墙,形成网络“zones”规则集,具备支持ipv4和ipv6的能力。firewalld程序提供了图形化的配置工具firewall-confighe、system-config-firewall和命令行firewall-cmd,用于配置firewalld永久性或非永久性规则。
防火墙-CentOS7-firewalld
sq2048935747@163.com的博客
09-26 854
防火墙是一种网络安全设备或软件,旨在监控和控制进出网络的流量,以保护内部网络免受外部攻击和不必要的访问。在防火墙中,“入站”和“出站”是用来描述网络流量方向的两个基本概念。1. 入站流量(Inbound Traffic)定义:入站流量指的是从外部网络(例如互联网)进入内部网络或计算机的所有数据包。特点来源:入站流量的源地址通常是外部IP地址。目的:目的地是防火墙内部的特定设备或服务(如服务器、工作站等)。管理规则设置:防火墙会根据设定的规则决定是否允许这些入站数据包通过。
centos7 firewalld防火墙(一)
m0_73311601的博客
09-23 847
firewall-cmd --zone=internal --add-service=mysql s设置internal(内网)区域允许访问mysql服务。firewall-cmd --zone=internal --remove-port=443/tcp 区域禁止访问端口443。firewall-cmd --get-zone-of-interface=ens33 显示当前网卡ens33所对应的区域。Firewall-cmd --list-all-zone 查看防火墙指定的区域。
Centos中iptables和firewall防火墙开启、关闭、查看状态、基本设置等
热门推荐
菲宇运维
07-05 15万+
iptables防火墙 1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # ...
centos7 防火墙
xiuzhentianting的博客
10-24 327
添加端口 firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp firewall-cmd --reload 查看端口 firewall-cmd --zone=public --list-ports 查看服务 firewall-cmd --zone=public --list-services
linuxcentos7防火墙基本使用详解
01-10
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动防火墙: systemctl start firewalld.service 关闭防火墙: systemctl stop firewalld.service 重启防火墙: ...
详解CentOS7使用firewalld打开关闭防火墙与端口
01-10
 2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动一个服务: systemctl start firewalld.service 关闭一个服务: systemctl stop firewalld.service 重启
LinuxCentOS7防火墙开启、停止、关闭,添加删除开放端口
01-20
防火墙管理 文章目录防火墙管理1、直接关闭防火墙2、...CentOS7防火墙 CentOS7默认安装了firewalld防火墙 利用防火墙,我们可以允许或是限制传输的数据通过 firewall 原创文章 133获赞 46访问量 2万+ 关注 私信
linux常用命令
qq_38736134的博客
03-30 788
1.关闭防火墙命令:systemctl stop iptables systemctl start iptables systemctl restart iptables 2.启动elasticsearch命令:切换tiger用户,进入elasticsearch/bin目录 cd /home/tiger/elasticsearch/bin 执行 ./elasticsearch 3.查看进程:ps -ef | grep nginx 重启命令网卡:service network restart 1. 启
linux centos7 -防火墙
无聊的博客
09-18 190
这里写目录标题查看当前防火墙的状态:防火墙操作:端口相关: 查看当前防火墙的状态: systemctl status firewalld active (running) 开启 inactive (dead) 关闭 firewall-cmd --state 直接查看状态 防火墙操作: #开启防火墙 systemctl start firewalld #关闭防火墙 systemctl stop firewalld #重启防火墙 systemctl restart firewalld 端口相关: #查看
Linux Centos7 防火墙(开启、关闭、重启、状态、端口)
m0_47087822的博客
02-28 5万+
快速通道什么是防火墙防火墙功能重要性总结开启关闭防火墙启动防火墙关闭防火墙禁用防火墙重启防火墙查看防火墙的状态当前版本查看帮助当前状态查看当前状态开放防火墙端口端口开放情况查看开放的端口开放端口关闭端口 什么是防火墙 防火墙(Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙功能 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关
centos7 之 firewalld
Rio520的博客
10-18 433
FirewallD是什么? 这里有必要说明一下 firewalld 和 iptables 之间的关系, firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的n...
centos7防火墙 firewalld
留白
12-20 151
Centos7默认安装了...
centos7 防火墙设置
水布天
04-02 8389
centos7 防火墙设置1 概述2 防火墙服务操作2.1 查看防火墙服务状态2.2 开启防火墙2.3 关闭防火墙2.4 重启防火墙2.5 设置开机自启动2.6 查看防火墙开机启动是否成功3 防火墙操作3.1 查看防火墙状态3.2 查看规则3.3 查看所有开放端口3.4 查看服务器操作系统端口3.5 开启端口3.6 重启防火墙3.7 查询端口是否开放3.8 移除端口 1 概述 防火墙centos系统默认子带的组件,在centos6上为iptables,centos7升级为firewalld,较之前的版本有
centos7 防火墙命令
tiandao321的专栏
06-29 1421
1.查看已开放的端口(默认不开放任何端口)firewall-cmd --list-ports2.开启80端口firewall-cmd --zone=public(作用域) --add-port=80/tcp(端口和访问类型) --permanent(永久生效)3.重启防火墙firewall-cmd --reload4.停止防火墙systemctl stop firewalld.service5.禁...
centos7操作防火墙
qq_39354297的博客
05-18 77
1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 :systemctl enable firewalld 2.sys...
CentOS 7 Firewalld防火墙基础命令深度解析与实战
CentOS 7中的Firewalld防火墙是一个强大的网络...学习如何创建规则、查看状态、开启/关闭服务,以及理解区域的概念,都是使用CentOS 7 Firewalld防火墙的重要步骤。这不仅可以提高系统安全,也便于管理和维护网络环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huhy~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值