linux就该这么学-8 iptables和firewalld

已于 2023-08-23 18:17:19 修改
阅读量126 收藏
点赞数
文章标签: linux 服务器 网络 安全
于 2023-07-08 18:06:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peter6768/article/details/131606515
版权

1 概述

RHEL7中,firewalld取代了iptables防火墙。两者相同点是都是防火墙管理工具,只是配置策略,策略会由内核的netfilter网络过滤器处理,iptables的策略由netfilter处理,firewalld策略由内核nftables包过滤框架处理

2 iptables

2.1 概述

iptables按照从上到下顺序读取策略,如果读到匹配的则执行匹配规则,不继续往下执行

策略 有两种:通与堵

规则 iptables用于处理或过滤流量的策略叫规则,多个规则可组成一个规则链

规则链 根据数据包处理位置分为五种 prerouting, input, output, forward, postrouting

reject和drop区别:reject是直接拒绝,drop是不处理,外界看来这个机器是不存在,因为看不到响应,响应就和它不存在一样

2.1 使用

iptables属于链路层服务

因为iptables是从上到下识别,所以应将优先级高的放前面

查看iptables策略 iptables -L

8300914d061e422786ba1d14c98bed81.png

清空iptables策略 iptables -F

修改INPUT规则链默认为拒绝 iptables -P INPUT DROP,注意,丢弃要是DROP,不能是REJECT

允许ICMP流量进入(即ping时发的流量) iptables -I INPUT -p icmp -j ACCEPT   -I表示插入规则,后面跟规则链、-p表示协议,-P表示target/chain,后面跟规则链和目标两个参数,-j表示目标,目标就是指ACCEPT/DROP这种

iptables无任何策略时,可ping通主机,添加drop策略后就ping不通了

 e8b1ff9945674fa6806852981e3fcfad.png

6a993140215a4770bc6e4804f222e257.png

 删除INPUT中刚加入的规则,并将默认规则设为允许

iptables -D INPUT 1

iptables -P INPUT ACCEPT

设置INPUT只允许指定网段主机访问本机22端口,拒绝其他流量

iptables -I INPUT -s 192.168.1.3/24 -p tcp --dport 22 -j ACCEPT 注意,应该白名单,所以吧允许规则放前面,未匹配的均不允许

规则设定前,网段主机可以正常ssh目标主机

1d4d6b2257764452bdd3054c91def801.png

规则设定后,网段内主机无法ssh目标主机,一直没响应,如果是reject,则ssh直接被拒绝

16e9845504c444e18a3d2537cf7bf472.png

 给INPUT添加拒绝所有人访问本机12345端口的规则

iptables -I INPUT -p tcp --dport 12345 -j REJECT

iptables -I INPUT -p udp --dport 12345 -j REJECT

给INPUT添加拒绝192.168.80.134主机访问本机80端口的策略

iptables -I INPUT -p tcp -s 192.168.80.134 --dport 80 -j REJECT

给INPUT添加拒绝所有主机访问本机1000-1024端口的策略

iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT

iptables -A INPUT -p udp --dport 1000:1024 -j REJECT

注意,下次重启主机,iptables规则会失效,可以使用iptables-save永久保存规则

如果是RHEL567,保存命令未service iptables save

3 firewalld

firewall有命令行和GUI

生效也有runtime和永久生效,命令行如果要永久生效,加入参数--permanent,加入永久生效规则得重启才能生效,如果需要立即生效,执行命令firewall-cmd --reload

和iptables相比,规则不是自上而下识别,而是有优先级,例如富规则比一般规则优先

3.1 使用

1 查看firewalld服务当前使用区域 firewall-cmd --get-default-zone

8cd631e49a1f4c2c98763338fcd755e6.png

2 查询指定网卡在firewalld服务中绑定的区域 firewall-cmd --get-zone-of-interface=ens33

c0adb01f0a154126aa6aae86ff16a5a3.png

 3 吧网卡默认区域该文external,使其永久生效 firewall-cmd --permanent --zone=external --change-interface=ens33

4 吧firewalld服务默认区域改为public firewall-cmd --set-default-zone=public

5 启动或关闭firewalld防火墙服务的应急状态模式 firewall-cmd --panic-on/firewall-cmd --panic-off

a057b48373cd4079b55b199a3d20b3df.png

 6 查询ssh和https协议流量是否允许通过

firewall-cmd --zone=public --query-service=ssh

firewall-cmd --zone=public --query-service=https

8e0e45b0ac224da0b7e1ff50066e8d3b.png

7 把https协议流量设为永久允许并立即生效

firewall-cmd --zone=public --permanent --add-service=https

firewall-cmd --reload 

如果不重启或立即生效,改完再查会发现没改过来

8 把http协议改为永久拒绝,立即生效

firewall-cmd --zone=public --permanent --remove-service=http

firewall-cmd --reload

9 把8080和8081设为允许,仅当前生效

firewall-cmd --zone=public --add-port=8080-8081/tcp

firewall-cmd --zone=public --list-ports

10 把访问本机888端口流量转发到22端口,永久生效

firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.1.1

firewall-cmd --reload

可正常ssh

c1c1682a98814556a9b497b2eef97b2f.png

 11 富规则设定,拒绝某网段所有请求

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.80.0/24" service name="ssh" reject"

3.2 图形管理工具

4 服务访问控制列表

此处介绍的是tcpwrapper

看服务是否支持tcpwrapper:ldd service_name|grep wrapper

cfc9f3f4ea0548609d92615b27cec2bf.png

设置tcpwrapper的话,编辑/etc/下的hosts.allow/hosts.deny就好了,先匹配allow,没匹配到再匹配deny

 

 

peter6768
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptablesfirewalld加固服务器安全思维导图
05-05
iptablesfirewalld加固服务器安全思维导图
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行习,内容大致:【命令介绍】【使用介绍】【简化记忆】
防火墙简介(二)——firewalld防火墙
想成功,靠自己
03-19 683
防火墙简介(二)——firewalld防火墙一、firewalld防火墙简介二、firewalldiptables 的区别三、firewalld 区域的概念1、firewalld防火墙9个区域2、区域介绍四、firewalld数据处理流程五、firewalld检查数据包的源地址规则六、firewalld防火墙的配置方法1、使用firewall-cmd 命令行工具2、使用firewall-config 图形工具3、编写/etc/firewalld/中的配置文件七、区域管理八、服务管理九、端口管理 一
Linux防火墙——iptables以及firewalld
GODMAO666的博客
02-04 575
Linux防火墙——iptables以及firewalld
linux防火墙(firewalldiptables)_firewalld 和,五步搞定Linux运维开发环境部署
最新发布
2401_83620927的博客
04-15 703
remove-source= [–zone=] 从指定区域删除源地址的流量,如无–zone= 选项,–add-source=[–zone=] 添加源地址的流量到指定区域,如果无–zone= 选项,使用。–list-all [–zone=] 列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如。–add-service= [–zone=] 允许服务的流量通过,如果无–zone= 选项,使用默。–change-interface=[–zone=] 改变指定接口至新的区域,如果无–zone=
linux的防火墙firewalldiptables区别和用法
weixin_34066347的博客
12-13 858
一、firewalld (注:引入 http://www.cnblogs.com/moxiaoan/p/5683743.html) 1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl s...
12.计算机网络---iptables防火墙管理工具
weixin_43880061的博客
08-01 1160
iptables之前,我们需要先了解防火墙是什么呢?iptables又是如何发挥作用的呢?本文主要iptables的四表五链以及iptables的具体语法等
防火墙
践踏记忆的博客
10-07 753
title: firewall设置 tags: RHCE categories: RHCE abbrlink: 55eac912 date: 2019-05-18 10:40:14 updated: 防火墙一些策略 管理firewalld 要求:server1上使用默认work区域,并且只放行来自server2的https流量 查看默认工作区域 [root@server_1 ~]# firew...
第8章iptablesfirewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalldLinux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍 CentOS 7 中的防火墙配置。 iptables ...
Linux基础课件-iptables安装与启动.pptx
11-02
iptables是一款在Linux系统中用于实现包过滤和网络地址转换的工具,它允许用户定义一系列规则来控制网络流量。 首先,我们需要确认iptables是否已经安装在系统中。可以通过`rpm -qa | grep iptables`命令来查询。...
JSP基于Iptables图形管理工具的设计与实现(源代码+论文).zip
09-02
JSP基于Iptables图形管理工具的设计与实现(源代码+论文).zip
Linux 防火墙配置(iptablesfirewalld
热门推荐
m0_49864110的博客
02-21 1万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
firewall-cmd 和 iptables 的基本使用
qq_34980668的博客
08-11 1803
ConterOS7.0以上默认使用的是firewalld,ConterOS7.0默认以下使用的是iptables。然而很多人习惯了使用iptables,所以本文也一并总结了iptables。不过需要注意:ConterOS7.0以上系统如果还想使用iptables的话,一般需要先安装,再使用。 一、firewalld 命令格式: firewall-cmd [选项 ... ] 查看帮助: firewall-cmd --help 基本使用: 查看防火墙状态:firewall-cmd --state
iptables中的SNAT、DNAT与Firewalld
hy199707的博客
03-05 779
网络世界中,IP地址就如同现实世界中的门牌号码,它为数据包指明了方向。然而,在某些情况下,出于安全、资源优化或网络拓扑的需要,我们必须对这些“门牌号码”进行变换。这就涉及到了网络地址转换(Network Address Translation, NAT)技术,而在Linux环境中,实现NAT功能的主要工具就是iptables。本文将深入探讨iptables中的两种核心NAT类型——源网络地址转换(Source Network Address Translation, SNAT)和目标网络地址转换(Dest
Linux网络服务之iptables防火墙工具
这是博客的简介的简介
08-20 745
I P T A B L E S
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3402
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
Iptables图形管理工具的设计与实现毕业设计
QQ80213251的博客
04-07 317
Netfilter/Iptables防火墙是Linux平台下的包过滤防火墙,Iptables防火墙不仅提供了强大的数据包过滤能力,而且还提供转发,NAT映射等功能,是个人及企业级Linux用户构建网络安全平台的首选工具。本文设计并实现了一个基于Web的Iptables图形管理工具,通过友好的配置界面,简化了Iptables防火墙的管理配置程序,更方便用户对Iptables防火墙的使用。整个工具由添加/删除规则,插入/替换规则,状态机制,关闭/启动/重启防火墙等几个模块组成。
linux防火墙(firewalldiptables
肥猫警长的博客
11-01 4813
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
iptablesfirewalld 区别
11-30
iptablesfirewalld 都是 Linux 系统中的防火墙软件,它们的主要区别如下: 1. 配置文件位置不同:iptables 的配置文件在 /etc/sysconfig/iptables 中,而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值