Linux防火墙服务——iptables、firewalld

已于 2023-12-08 21:05:16 修改
阅读量1.3k 收藏 3
点赞数 2
分类专栏: Linux 文章标签: 服务器 linux
于 2022-08-01 22:47:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60861848/article/details/126110504
版权

目录

iptables

1、搭建web服务,设置任何人能够通过80端口访问。

2、禁止所有人ssh远程登录该服务器

3、禁止某个主机地址(如192.168.5.129)ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为192.168.5.128

firewalld

1、禁止某个ip地址(如192.168.5.129)进行ssh访问

2、配置端口转发(在192.168.5.0网段的主机访问该服务器的5423端口将被转发到80端口)

3、将本机80端口转发到192.168.5.129的8080端口上

iptables

1、搭建web服务,设置任何人能够通过80端口访问。

#开启iptables服务
[root@server ~]# systemctl start iptables.service 

#在INPUT链头部插入一条允许协议为tcp,目标端口为80的数据包通过的规则
[root@server ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT

#查看
[root@server ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http #添加成功
2    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
3    ACCEPT     icmp --  anywhere             anywhere            
4    ACCEPT     all  --  anywhere             anywhere            
5    ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
6    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

2、禁止所有人ssh远程登录该服务器

#在INPUT链表头部插入规则:拒绝tcp协议的目标端口为22的数据包通过
[root@server ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT

设置完成后ssh会断开与server主机的连接,下面只能在虚拟机上进一步操作

#在虚拟机上查看
[root@server ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable
2    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
3    ACCEPT     icmp --  anywhere             anywhere            
4    ACCEPT     all  --  anywhere             anywhere            
5    ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
6    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination  
#删除1规则,恢复
[root@server ~]# iptables -D INPUT 1

ssh又可以重新连接server

3、禁止某个主机地址(如192.168.5.129)ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为192.168.5.128

拒绝172.24.8.129通过ssh远程连接服务器:
[root@localhost ~]# iptables -I INPUT -p tcp -s 192.168.5.129 --dport 22 -j REJECT
允许172.24.8.129访问服务器的web服务:
[root@localhost ~]# iptables -I INPUT -p tcp -s 192.168.5.129 --dport 80 -j ACCEPT

firewalld

1、禁止某个ip地址(如192.168.5.129)进行ssh访问

#开启firewall服务,注意开启前要关闭iptables服务
[root@server ~]# systemctl stop iptables.service 
[root@server ~]# systemctl start firewalld
[root@server ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vend>
   Active: active (running) since Mon 2022-08-01 22:23:57 CST; 14s ago

#添加富规则
[root@server ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.5.129" service name="ssh" reject' --permanent
success

#重新加载以生效
[root@server ~]# firewall-cmd --reload 
success

#192.168.5.129客户端尝试连接服务器,服务器拒绝
[root@client ~]# ssh root@192.168.5.128
ssh: connect to host 192.168.5.128 port 22: Connection refused

#删除富规则
[root@server ~]# firewall-cmd --remove-rich-rule='rule family="ipv4" source address="192.168.5.129" service name="ssh" reject'
success

#192.168.5.129客户端再次连接服务器,成功连接
[root@client ~]# ssh root@192.168.5.128
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Mon Aug  1 22:17:26 2022 from 192.168.5.1
[root@server ~]#

2、配置端口转发(在192.168.5.0网段的主机访问该服务器的5423端口将被转发到80端口)

[root@server ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.5.0/24" forward-port port="5423" protocol="tcp" to-port="80"'
success

3、将本机80端口转发到192.168.5.129的8080端口上

[root@server ~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.5.129 --permanent
success
俗人不俗鸭
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
启动docker容器时报iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport(Docker容器九类常见故障)
weixin_54626591的博客
08-28 8975
这两篇文章写的还是比较透彻的,主要就是防火墙映射转发之类的,需要了解下防火墙相关的只是,因此暂时不做深入了解,等有时间了再好好研究防火墙。##注释掉下面这一行,这行的意思是拒绝掉所有的FORWARD,拒绝的提示信息是icmp-host-prohibited(禁止)网上有的说是只重启docker即可,即只执行systemctl restart docker,我自己也是这样解决掉问题的。网上其他的解决方法:基本都是重置docker0网络,重启docker。##重启docker服务。#重启iptables
iptables常用配置
kwame211的博客
05-13 4990
1. 普通规则1.1 操作规则 iptables -nL 查看本机关于iptables的设置情况,默认查看的是-t filter,可以指定-t nat iptables-save > iptables.rule 会保存当前的防火墙规则设置,命令行下通过iptables配置的规则在下次重启后会失效,当然这也是为了防止错误的配置防火墙。默认读取和保存的配置文件地址为/etc/sysconfig/iptables。 设置chain默认策略 iptable...
iptables的一条拒绝规则
weixin_34360651的博客
03-13 2420
今天排查服务器,发现iptables中有一条规则:-A INPUT -j REJECT --reject-with icmp-host-prohibited这个的意思,拒绝所有的数据包,返回icmp不可达,加上这条规则之后,所有数据包都不能外出,除了在该规则之前声明允许的数据包---一个正确的例子---------*filter:INPUT ACCEPT [46:4000]:...
iptables基础(3)
njchina的博客
03-30 668
原文地址 http://alsww.blog.51cto.com/2001924/826926 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited   这条命令的的解释: 从结果上来看,这条规则的作用是拒绝所有 -j REJECT 在iptables帮助文档里面有一下说明This is
iptables 详解
Choco Lee 的专栏
06-14 1万+
目录 防火墙简介 iptablesfirewalld iptables 基础 3.1 链的概念 3.2 表的概念 3.3 链与表的关系 3.4 数据通过的流程 iptables 语法 iptables nat表的应用 1. 防火墙简介 防火墙是一种应用于网络上的过滤机制,从保护对象上可分为:主机防火墙、...
IptablesFirewalld防火墙
Howie66的博客
02-23 897
8.1 防火墙管理工具众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙(见图8-1)虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可...
Linux学习笔记——入门资料
09-27
理解用户权限模型(如sudo、su),设置root密码,启用防火墙(如iptablesfirewalld),并了解基本的访问控制策略,是保障系统安全的基础。 通过这份“Linux学习笔记”,你将逐步熟悉Linux环境,掌握基本操作,为...
linux精彩问答——为你解惑
09-26
11. **Linux安全**:包括防火墙配置(如`iptables`或`firewalld`)、SSH安全、密码策略以及恶意软件防护。 12. **Docker和虚拟化**:讲解如何使用Docker容器化技术,以及如何管理KVM、VirtualBox等虚拟机。 13. **...
linux基础篇
06-10
12. **防火墙与安全**:了解`iptables`或`firewalld`防火墙规则设置,以及如何保护系统免受恶意攻击。 13. **系统监控**:利用`top`、`htop`、`iotop`等工具监控系统性能,及时发现和解决问题。 通过鸟哥的《私房...
linuxChm文档
05-04
9. **防火墙与安全**:iptablesfirewalld的使用,以及SSH的安全配置。 10. **Linux内核与模块**:内核版本管理,编译自定义内核,加载和卸载模块。 "Setup.exe"可能是一个用于在Windows环境下安装CHM阅读器的程序...
21天学会linux
03-09
在安全方面,学习Linux防火墙(`iptables`或`firewalld`)、SSH安全配置以及理解基本的加密和认证原理,将帮助你保护系统免受攻击。 最后,你将接触Linux的开发环境,了解如何使用Git进行版本控制,以及如何在Linux...
SNAT&DNAT策略
白雪滑落树梢
10-02 2411
文章目录前言一总结 前言 一 总结
linux 端口映射
美好回忆
02-28 749
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited iptables -t nat -A PREROUTING -p tcp --dport -i eth0 -j REDIRECT --to-port
启动docker容器时报iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport错误
热门推荐
ystyaoshengting的专栏
10-14 1万+
错误原因: 在防火墙中默认 nat 是 REJECT的,所以端口映射被拒绝。 解决方法: vim /etc/sysconfig/iptables ##注释掉下面这一行,这行的意思是拒绝掉所有的FORWARD,拒绝的提示信息是icmp-host-prohibited(禁止) #-A FORWARD -j REJECT --reject-with icmp-host-prohibited #...
firewalld防火墙总结
最新发布
weixin_45190065的博客
09-06 3602
最全firewalld总结
关于Linux防火墙'iptables'的面试问答
weixin_33701617的博客
02-09 168
1. 你听说过Linux下面的iptablesFirewalld么?知不知道它们是什么,是用来干什么的? 答案 : iptablesFirewalld我都知道,并且我已经使用iptables好一段时间了。iptables主要由C语言写成,并且以GNU GPL许可证发布。它是从系统管理员的角度写的,最新的稳定版是iptables 1.4.21。iptables通常被用作类UNIX系统中的...
CentOS 防火墙配置与REJECT导致没有生效问题
cuanli6286的博客
04-28 813
Linux系统中我们一般情况下都会设置防火墙,通过防火墙进行拦截和开放一下端口。基于CentOS进行配置防火墙和一些可能配置出错导致不可以进行访问的问题。 iptables防火墙 ...
网络错误定位案例 ICMP host *** unreachable - admin prohibited
weixin_34128501的博客
11-20 1162
1. 环境 一台物理服务器 9.115.251.86,上面创建两个虚机,每个虚机两个网卡: vm1:eth0 - 9.*.*.232 eth1:10.0.0.14 vm2: eth0 - 9.8.*.219 eth1:10.0.0.10,上面运行DHCP Agent,管理 dnsmasq,提供 DHCP 服务 两块 eth1 连到物理机上的一个 bridge 上: bridg...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

俗人不俗鸭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值