02架构 12 防火墙

最新推荐文章于 2021-12-17 10:29:10 发布
最新推荐文章于 2021-12-17 10:29:10 发布
阅读量225 收藏 1
点赞数
分类专栏: Linux # Linux 基础 文章标签: 架构 bash 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcywww/article/details/121651249
版权

iptables防火墙

应用场景

1.主机防火墙
2.内部共享上网
3.端口和ip映射

iptables工作流程

1.规则匹配顺序是从上往下的依次执行
2.只要匹配上,就不在往下匹配
3.如果没有匹配到明确的规则,就匹配默认的规则(默认是允许所有,可以修改)
4.防火墙默认的规则是在所有设置规则最后执行的

#注:匹配越多的规则越往前放

iptables四表五链

#四表:
1.Filter表
2.NAT表
3.Managle表
4.Raw表

#五链:
1.INPUT			作用:用于指定到本地套接字的包
2.FORWARD		作用:通过路由的数据包
3.OUTPUT		作用:本地创建的数据
4.PREROUTING	作用:对进来的数据包,立马进行改变
5.POSTRUTING	作用:在数据包即将出去的时候进行改变数据包信息

1.Filter表

主要作用就是阻止和允许访问
包含的链:
1.INPUT:过滤进入主机的数据包
2.FORWARD:负责转发流经主机的数据包
3.OUTPUT:处理从主机出去的数据包

2.NAT表

主要作用就是端口和IP转发
包含的链:
1.OUTPUT:处理从主机出去的数据包
2.PREROUTING:在数据包到达防火墙是进行判断,改写数据包目的地址或端口(端口转发)
3.POSTRUTING:在数据包到达防火墙是进行判断,改写数据包目的地址或端口(局域网共享上网)

iptables准备

1.安装iptables管理命令

[root@m01 ~]# yum install -y iptables-services

2.加载防火墙的内核模块

[root@m01 ~]# modprobe ip_tables
[root@m01 ~]# modprobe iptable_filter
[root@m01 ~]# modprobe iptable_nat
[root@m01 ~]# modprobe ip_conntrack
[root@m01 ~]# modprobe ip_conntrack_ftp
[root@m01 ~]# modprobe ip_nat_ftp
[root@m01 ~]# modprobe ipt_state

#查看加载的模块
[root@m01 ~]# lsmod | egrep 'filter|nat|ipt'

3.停止firewalld,启动iptables

[root@m01 ~]# systemctl stop firewalld
[root@m01 ~]# systemctl disable firewalld
[root@m01 ~]# systemctl start iptables.service

iptables常用操作

1.查看防火墙规则(默认查看filter表)

#查看规则 -L 列出规则  -n 以数字格式展示地址和端口号
[root@m01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@m01 ~]#

2.查看防火墙规则,指定nat表

[root@m01 ~]# iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
[root@m01 ~]#

3.清除防火墙规则

#删除链或所有链中的所有规则
[root@m01 ~]# iptables -F
#删除用户定义的链
[root@m01 ~]# iptables -X
#链清零
[root@m01 ~]# iptables -Z

[root@m01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@m01 ~]#

4.添加防火墙规则

[root@m01 ~]# iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

iptables    命令
-t          指定表
-A          添加规则至最后
-p          指定协议
--dport     指定目标端口
-j          指定匹配后动作
DROP        丢掉,拒绝该请求
ACCEPT      接受,允许该请求

5.删除防火墙规则

#查看规则号码
[root@m01 ~]# iptables -nL --line-numbers 
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
[root@m01 ~]# 


#指定编码删除规则
[root@m01 ~]# iptables -D INPUT 1

iptables实战

1.禁止某个端口访问

[root@m01 ~]
最低0.47元/天 解锁文章
睡神之首
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高性能高可靠性高扩展性分布式防火墙架构
02-27
这就对防火墙系统的架构提出了新的挑战。防火墙产品一直以来都占据着网络安全产品中的重要位置。防火墙产品在经历了X86、NP、ASIC、多核等技术的演化过程,仍能满足大部分用户的需求。像前面提到的高端用户对防火墙...
防火墙、UTM产品硬件平台架构分析
03-03
现在市场上的防火墙、UTM产品从其架构上来说,大概分为三大类。第一类是基于X86平台的,这种平台通常使用一颗或多颗主CPU来处理业务数据,网卡芯片和CPU通过PCI总线来传输数据。第二类,基于ASIC架构防火墙、UTM...
防火墙技术参数
weixin_33953249的博客
01-27 241
并发连接数并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数十万并发连接,存...
防火墙功能指标详解
永远的勿忘我
11-02 2933
产品类型   从防火墙产品和技术发展来看,分为三种类型:基于路由器的包过滤防火墙、基于通用 操作系统的防火墙、基于专用安全操作系统的防火墙。 LAN接口   列出支持的LAN接口类型:防火墙所能保护的网络类型,如以太网、快速以太网、千兆以 太网、ATM、令牌环及FDDI等。   支持的最大LAN接口数:指防火墙所支持的局域网络接口数目,也是其能够保护的不同内 网数目。   服务器平台:防火墙所运行
防火墙详解
qq_42340084的博客
09-22 700
1.概念 防火墙是用于公网和内网之间的一道屏障,有硬件和软件之分,但主要功能都是设置对应的策略对经过防火墙网络包进行过滤。防火墙的策略可以基于源地址、目的地址、端口号、协议、应用等信息去设置策略。 2.iptables和firewalld的区别 iptables和firewalld都不是真正意义上的防火墙,只是用来定义防火墙策略的一个工具而已,也可以说是一种服务。iptables会把配置好的策略交给内核层面的netfilter网络过滤器来处理,而firewalld则把配置好的策略交给内核层面的nftabl
@firewalld防火墙详解
ଲ一笑奈@何
06-15 1303
文章目录firewalld一、防火墙概述二、防火墙区域管理1、区域2、主要的区域三、防火墙基本指令参数1、firewall-cmd命令分类列表四、防火墙区域配置策略1、防火墙(禁用与取消)2、firewalld(状态)3、firewalld(常用命令)4、配置(测试)五、防火墙配置放行策略1、firewalld(放行服务)2、firewalld(端口放行)3、firewalld(网段放行)六、firewalld防火墙(端口转发策略)案列七、firewalld(富规则)1、实列一2、实列二3、实列三4、fir
防火墙硬件架构收集.pdf
02-18
防火墙硬件架构收集.pdf
防火墙硬件架构.pdf
11-16
防火墙硬件架构.pdf
防火墙硬件架构归类.pdf
02-14
防火墙硬件架构归类.pdf
【管理篇 / 诊断】❀ 01. 了解防火墙的性能参数 ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
11-12 1万+
【简介】在选择购买飞塔防火墙的时候,我们会经常疑惑,到底什么样的型号才适合。型号选过了,大炮打蚊子,浪费银两,型号选小了,过不多久就又卡又慢,被BOSS骂得狗血淋头。到底怎么选,先学会看看这些性能指标。 吞吐量 (Throughput)   我曾经被问到过,我有200M的宽带,适合什么样的防火墙。我们先了解一下宽带、带宽、吞吐量的概念。   宽带:是指在同一传输介质上,使......
Linux系统管理之firewalld端口放放行
weixin_43010385的博客
04-20 191
文章目录开启1080端口重启防火墙才能生效查看已经开放的端口 开启1080端口 firewall-cmd --zone=public --add-port=1080/tcp --permanent 重启防火墙才能生效 systemctl restart firewalld 查看已经开放的端口 firewall-cmd --list-ports ...
icmp的回送和回送响应消息_第3篇:Linux防火墙-firewalld与ICMP控制
weixin_39630744的博客
11-24 523
我们上一篇通过一个网络拓扑展示了rich规则配置的技术细节,并且我们用rich规则也配置了如何简单地阻止不可信的网络防火墙的骚扰。我们本篇会深入讨论firewalld对icmp的配置ICMP协议简介互联网控制消息协议(ICMP)是各种网络设备用来发送错误消息和操作信息的支持协议,所述错误消息和操作信息指示连接问题,例如,所请求的服务不可用。ICMP不同于TCP和UDP等传输协议,因为它不用于在系...
firewalld:禁ping设置
刘元林的博客
01-12 9678
目录 1、rich rule禁ping 2、通过icmp-block-inversion实现禁ping 3、通过icmp-block实现禁ping Firewalld禁ping配置,可以通过多种方式实现,这里介绍三种方法: 1、rich rule禁ping 通过rich rule实现禁ping,是我们最容易想到,且效果也符合要求的方案。但是,如果在此基础上还需要配置白名单,允许某些源地址可以Ping通该服务器,将无法实现! rich rule会完全封堵icmp包,不再允许白名单设置:..
centos7禁止ping的两种配置方法
fenglin124的博客
02-10 5939
centos7禁止ping的两种配置方法 第一种方式:firewall-cmd防火墙禁ping firewall-cmd是一个有状态的防火墙 firewall-cmd --reload是不丢失状态的情况下进行reload firewall-cmd --complete-reload是丢掉状态的情况下reload systemctl restart firewalld会丢掉状态 以下命令会禁止pin...
linux之centos7中firewall指定ip段,ip,协议,禁用/启用ping,常用规则命令
m0_51527921的博客
12-17 4736
linux之centos7中firewall指定ip段,ip,协议,禁用/启用ping,常用规则命令
12.16firewalld防火墙、iptables防火墙
weixin_46837396的博客
04-05 332
一、防火墙基本概述 二、防火墙区域管理 三、防火墙基本指令参数 1.firewall-cmd命令分类列表 四、防火墙区域配置策略 1.禁用与取消禁用防火墙 2.操作防火墙 3.firewalld常用命令 1)查看默认使用的区域 2)查看默认区域的规则 3)查看指定区域的默认规则 4)查看区域是否允许某服务 五、防火墙配置 1.firewalld放行服务 1)firewalld放行一个服务 2)firewalld放行多个服务 3)自己添加服务,配置规则 2.firewalld放行端口 1)firewalld放
Linux 防火墙
weixin_55905026的博客
06-16 902
防火墙基础Linux包过滤防火墙概述netfilteriptables的表、链结构包过滤的工作层次规则表数据包过滤袋匹配流程规则表之间的顺序规则链之间的顺序规则链内部各条防火墙规则之间的顺序iptables安装与使用iptables安装iptables的基本语法iptables的管理选项添加新的规则查看规则列表删除,清空规则 Linux包过滤防火墙概述 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” iptables的表、链结构 位于/sbin/iptabl
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2282
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
Linux防火墙的基本架构
最新发布
05-30
Linux防火墙的基本架构包括三个部分:Netfilter、iptables和firewalld。 1. Netfilter是Linux内核中的一个框架,用于处理网络数据包。它通过钩子函数对数据包进行拦截和修改,实现数据包的过滤和转发等功能。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值