iptables,firewalld防火墙知识再回顾

最新推荐文章于 2023-05-22 18:03:38 发布
最新推荐文章于 2023-05-22 18:03:38 发布
阅读量298 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27546717/article/details/118559716
版权

iptables

首先来看看传统的iptables如何使用。默认的iptables规则表有:fileter表(过滤规则表)、nat表(地址转换规则表)、mangle(修改数据标记位规则表)、raw(跟踪数据表规则表)。每个规则表中包含多个数据链:INPUT(入站数据过滤)、OUTPUT(出站数据过滤)、FORWARD(转发数据过滤)、PREROUTING(路由前过滤)和POSTROUTING(路由后过滤),防火墙规则需要写入到这些具体的数据链中。Linux防火墙的过滤框架,从图中可以看出,如果是外部主机发送数据包给防火墙本机,数据将会经过PREROUTING链与INPUT链;如果是防火墙本机发送数据包到外部主机,数据将会经过OUTPUT链与POSTROUTING链;如果防火墙作为路由负责转发数据,则数据将经过PREROUTING链、FORWARD链以及POSTROUTING链。
在这里插入图片描述
iptables防火墙语法格式

管理员需要使用iptables命令添加、删除防火墙规则,下面我们看看iptables命令的具体用法。命令描述:netfilter防火墙规则管理工具。
用法:iptables[-t 表名]{-A|-D|-I|-D|-F|-L|-Z|-P} 链名 rule-specification
选项:-t 指定需要维护的防火墙规则表,不使用-t时,则默认操作对象为filter表。


-A 追加防火墙规则。
-D 删除防火墙规则。
-I 插入防火墙规则。
-F 清空防火墙规则。
-L 列出防火墙规则。
-R 替换防火墙规则。
-Z 清空防火墙数据表统计信息。
-P 设置链默认规则。
匹配参数:[!]-p  匹配协议,!代表取反[!]
-s  匹配源地址
[!]-d  匹配目标地址
[!]-i  匹配入站网卡接口
[!]-o  匹配出站网卡接口
[!]--sport 匹配源端口
[!]--dport 匹配目标端口
[!]--src-range 匹配源地址范围
[!]--dst-range 匹配目标地址范围
[!]--limit 匹配数据表速率
[!]--mac-source 匹配源MAC地址
[!]--sports 匹配源端口
[!]--dports 匹配目标端口
[!]--state 匹配状态(INVALID、ESTABLISHED、NEW、RELATED)
[!]--string 匹配应用层字串
触发动作: 
ACCEPT 允许数据包通过
DROP  丢弃数据包
REJECT 拒绝数据包通过
LOG  将数据包信息记录
DNAT  目标地址转换
SNAT  源地址转换
MASQUERADE 地址欺骗
REDIRECT 重定向

iptables防火墙规则的顺序非常重要,内核按顺序检查这些规则,如果发现有匹配的规则条目,则立刻执行相关动作,停止继续向下查找规则条目,如果所有的防火墙规则都未能匹配成功,则按照默认策略处理。我们使用-A选项添加防火墙规则会将该规则追加到整个链的最后,而使用-I选项添加的规则默认会插入到链中作为第一条规则。下面通过实例简单演示iptables命令的使用方法。

查看filter表的所有规则:

[root@m01 3]# iptables -nL

查看nat表的所有规则:

[root@m01 3]# iptables -t nat -nL

清空filter表中的所有规则:

[root@m01 3]# iptables -F

往filter表添加一条新的入站规则,丢弃192.168.1.1主机发送给防火墙本机的所有数据包。

[root@m01 3]# iptables -A INPUT -s 192.168.1.1 -j ACCEPT

往filter表插入一条新的入站规则,拒绝192.168.1.22 ping防火墙本机:

[root@m01 3]# iptables -A INPUT -s 192.168.1.22 -p icmp -j REJECT

查看filter表中防火墙规则并显示规则编号:

[root@m01 3]# iptables -nL --line-numbers

删除filter表中INPUT链的第一条规则:

[root@m01 3]# iptables -D INPUT 1

替换filter表中INPUT链的第二条规则,拒绝192.168.1.254之外的任何主机连接防火墙本机:

[root@m01 3]# iptables -A INPUT 2 ! -s 192.168.1.254 -j REJECT

将192.168.1.10主机发送给防火墙本机22端口的所有数据包信息记录到messages日志:

[root@m01 3]# iptables -I INPUT  -s 192.168.1.10 --p tcp --dport 22 -j LOG

允许任何主机从ens33网络接口访问防火墙本机的80端口:

[root@m01 3]# iptables -I INPUT  -i ens33 --p tcp --dport 80 -j ACCEPT

iptables防火墙应用案例:
允许任意客户端访问服务器主机提供的日常服务(HTTP、HTTPS、DNS、NTP、SMTP、POP3、SSH),在Linux系统中,/etc/services文件可以帮助我们找到各种服务所对应的标准端口信息。
在这里插入图片描述
防火墙备份与还原:
CentOS 7系统中防火墙规则默认保存在/etc/sysconfig/iptables文件中,使用iptables-save将规则保存至该文件中可以实现保存防火墙规则的作用,计算机重启后会自动加载该文件中的规则。如果使用iptables-save将规则保存至其他位置,可以实现备份防火墙规则的作用。当防火墙规则需要做还原操作时,可以使用iptables-restore将备份文件直接导入当前防火墙规则。
在这里插入图片描述

firewalld

firewalld将所有的网络流量都分类汇集到zones中,firewalld通过zones管理防火墙规则。每一个进入系统的数据包,都会首先检查她的源IP地址和接口(进出的网卡接口),如果地址与某个zone匹配,则该zone中的规则将生效。而每个zone都会有开启或关闭的服务和端口的列表,以实现允许或拒绝连接服务和端口。如何数据包的源IP地址和网卡接口都不能和任何zone匹配,则该数据包将匹配默认zone,一般情况下是一个名称为public的默认zone。firewalld会提供block、dmz、drop、external、home、internal、public、trusted、work这九个zone

比如,有一个数据包从eno16777736网卡进入本机,根据规则该数据包被导向到了work这个zone,而在work这个zone中有允许访问http服务的规则,则最后该数据包将可以进入本机并访问http服务。

大部分zone都定义的有自己的允许规则,规则通过端口/协议(631/udp)或者预定义的服务(ssh)这种形式设置,如果数据包没有匹配这些允许的规则,则该数据包一般会被防火墙拒绝。但又一个名称为trusted的zone,默认会运行所有的数据流量,如果有一个数据包进入了该zone,则被允许访问所有的资源。

具体的firewalld预定义zone及其描述信息见表

在这里插入图片描述
在这里插入图片描述
在没有特殊要求下使用默认的public zone即可满足大多数使用场景。

firewalld-cmd命令

使用firewall-cmd命令来管理我们的防火墙规则,安装firewalld这个软件包,系统就会提供该命令工具,其语法格式如下:
在这里插入图片描述
常用命令:

查看默认zone

[root@m01 3]# firewall-cmd --get-default-zone

设置默认zone,为home

[root@m01 3]# firewall-cmd --set-default-zone=home
success
[root@m01 3]#

显示当前正在使用的zone信息:

[root@m01 3]# firewall-cmd --get-active-zones
public
  interfaces: ens33
[root@m01 3]#

显示系统预定义的zone,默认为九个zone:

[root@m01 3]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root@m01 3]#

显示系统预定义的服务名称:

[root@m01 3]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

查询ens33接口与哪个zone匹配,网卡与public匹配,则该网卡的流量执行public中定义的规则,默认将允许访问所有服务:

[root@m01 3]# firewall-cmd --get-zone-of-interface=ens33
public

显示所有zone及其对应的规则信息:

[root@m01 3]# firewall-cmd --list-all-zones

在public这个zone中添加允许访问FTP服务的规则:

[root@m01 3]# firewall-cmd --add-service=ftp --zone=public
success

在public这个zone中添加允许访问3306端口的规则:

[root@m01 3]# firewall-cmd --add-port=3306/tcp --zone=public
success

从public这个zone中删除允许访问3306端口的规则:

[root@m01 3]# firewall-cmd --remove-port=3306/tcp --zone=public
success

将ens33网卡与public绑定,以后从该接口进入的流量,匹配public中的规则:

[root@m01 3]# firewall-cmd --add-interface=ens33 --zone=public

success

将ens33网卡接口与public解除绑定:

[root@m01 3]# firewall-cmd --remove-interface=ens33 --zone=public
success

将源IP地址1.1.1.1与public绑定,以后该主机访问本机时匹配public中的规则:

[root@m01 3]# firewall-cmd --add-source=1.1.1.1 --zone=public
success

查看默认zone的规则列表:

[root@m01 3]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 1.1.1.1
  services: dhcpv6-client ftp ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

查看public这个zone的规则列表:

[root@m01 3]# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 1.1.1.1
  services: dhcpv6-client ftp ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

在public这个zone中添加一条永久规则(允许访问3306端口),该规则再重启防火墙后依然有效:

[root@m01 3]# firewall-cmd --permanent --add-port=3306/tcp --zone=public
success

重新加载读取防火墙规则:新添加规则后要重新加载firewall 规则才生效

[root@m01 3]# firewall-cmd --reload 
success
[root@m01 3]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcpv6-client ssh
  ports: 3306/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
黄金大师傅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于centos7.x已关闭firewall 执行iptables -nL仍有防火墙策略的问题
夜雨声声到天明
11-01 874
根源在于未关闭虚拟网卡,偶然发现,记录一下. 查看防火墙状态.可见 [root@jexus ~]# systemctl status firewalld ● f...
iptablesfirewalld防火墙
m0_60655253的博客
11-09 739
三章 firewalld(二) 1、IP地址伪装 通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的原地址更改为NAT的接口地址转发到不同步目的地。当是返回数据包是,会将目的地之修改为原始主机地址并路由。 2、端口转发 也叫端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上不同端口,或不同计算机上的端口。 firewall-cmd高级配置 1、直接规则 1)直接只用iptablesfirewalld语句规则写入管理区域 2)执行优先级最高。优先级:直接规则→.
Firewalld的区域(zone)
javaldk的专栏
01-19 6695
Firewalld 的区域(zone) 概述 区域(zone)是针对特定位置或场景(例如家庭、公共、受信任等)可能具有的各种信任级别的规则集。 不同的区域(zone)可允许不同的网络服务和入站流量的类型,而拒绝其他任何流量。 要分离内部网络和互联网的接口,你可以在internal区域上允许DHCP,但在external区域仅允许HTTP和SSH。 常用 zone 的命令 查看# 查看所有区域 sudo firewall-cmd --list-all-zones # 查看public区域配置 sudo
firewalld 的9个zone及相关操作
qq_42770949的博客
03-26 4621
1、firewalld 的9个zone firewalld 的9个zone及相关操作 前面将 firewalled 关闭,打开了 iptables,现在需要先关闭 iptables开启 firewalld ,具体操作见下图, firewalld 的9个zone及相关操作 接着查看一下规则,输入命令 iptables -nvL ,回车,见下图, 可以看到,规则明显增加非常多,都是 f...
firewalld防火墙总结
weixin_45190065的博客
09-06 3558
最全firewalld总结
CentOS 7中firewalld防火墙)服务中的zones详解
Jack_LEGION的专栏
04-09 6020
在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。 firewall还引入了防火墙的“zone”概念,即事先准备好的若干套防火墙策略模板,一般默认使用公共(public)区域。 首先,将所有网络流量分为多个区域(zone),然后,根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域, 同时,每个区域都定义了自己打开或者关闭的端口和服务列表。 [root@centos7 ~]# firewall-cmd --g.
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法 iptablesfirewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍...
IptablesFirewalld防火墙(MD格式)
最新发布
07-09
IptablesFirewalld防火墙(MD格式)
第8章iptablesfirewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
Centos7的Firewalld防火墙基础命令详解
01-10
Linux系统的防火墙体系基于内核共存:firewalldiptables、ebtables,默认使用firewalld来管理netfilter子系统。 netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核...
firewalld防火墙详细介绍
A1100886的博客
05-22 4818
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
Firewalld防火墙细解
weixin_55609823的博客
05-26 357
Firewalld防火墙firewalld防火墙概述firewalldiptables 的区别firewalld区域的概念firewalld防火墙预定义的9个区域firewalld数据处理流程firewalld检查数据包的源地址的规则firewalld防火墙的配置方法一、区域管理二、服务管理三、端口管理 firewalld防火墙概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptable
firewall防火墙规则
zljszn的博客
01-07 3671
前言:centos7之前的防火墙是叫iptables,但是在centos7的防火墙就叫firewallle 1.我们先查看防火墙的的状态,有着running字样的就表示防火墙是在运行的状态 systemctl status firewalldfirewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled;
FIREWALLD--linux防火墙
Albert__Einstein的博客
11-14 9808
linux防火墙 防火墙的核心是数据报文过滤 工作在主机或者网络的边缘,对进出的数据报文进行检查,监控,并且能够根据事先定义的匹配条件和规则做出相应的动作的组件,机制或者系统 linux一般都是作为服务器系统来使用,对外提供一些基于网络的服务 通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能 常见的访问控制包括:哪些ip可以访问服务器、可以使用哪些协议、哪些接口,是否通过数据包进行修改等 如:服务器可能受到来自某个ip攻击,这时就需要禁止所有来自ip的访问 linux内核集...
CentOS7 自带防火墙Firewalld的实用命令案例
lvshaorong的博客
01-11 2256
在CentOS 6和以前的时代,使用Linux自带的防火墙管理一般都是用iptables来实现,iptables实现是一个很好的方案,内核原生支持,规则灵活准确。唯一不方便的是规则的保存和恢复比较费事,要么把iptables命令写入到rc.local,要么就得使用iptables-save和iptables-restore命令来恢复,不是很方便。另外如果一条命令如果配错,可能会导致连不上服务器了,...
firewalld 端口、富规则
舍人的学习工厂
08-07 6227
​​​​​​​​​​​​章节概述: 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用。 本章节内将会分别使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火墙策略配置服务,够熟练的对请求数据包流量进行过滤,还能够基于服务程序进行允许和关闭操作,从更好的层面保证了Linux系统的安全...
Firewalld 防火墙
luxunlx123的博客
08-14 297
############启用firewalld########## yum install -y firewalld firewall-config #安装防火墙和图形界面 systemctl start firewalld #启动防火墙 systemctl enable firewalld #开机自启动防火墙 systemctl disable firewalld #开机不自启防火...
firewalld防火墙开启端口:9000、8123
09-10
以上步骤完成后,firewalld防火墙将会开放9000和8123端口,以允许TCP流量通过防火墙。这样,你的系统就可以正常与这些端口进行通信了。请注意,在这个过程中,我们使用了sudo命令,这是为了获取管理员权限来执行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值