Linux 防火墙

最新推荐文章于 2023-07-05 23:49:03 发布
最新推荐文章于 2023-07-05 23:49:03 发布
阅读量5.5k 收藏 1
点赞数 1
分类专栏: Linux 文章标签: linux 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28426351/article/details/52249710
版权

Iptable防火墙

1. 安装iptables

  • 很多linux 系统默认安装了iptable防火墙

  • 使用如下命令查看是否安装了防火墙,以及查看现有防火墙规则

    // 命令后面的 line-number 为显示行号(将规则一则一则输出,并显示行号)-n 数字格式显示ip和端口
iptables -L -n --line-numbers

    像这样:

    [root@localhost ~]# iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    DOCKER-ISOLATION  all  --  0.0.0.0/0            0.0.0.0/0           
2    DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
5    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain DOCKER (1 references)
num  target     prot opt source               destination         

Chain DOCKER-ISOLATION (1 references)
num  target     prot opt source               destination         
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

按装命令:

CentOS :

yum install iptables

Ubuntu :

apt-get install iptables

2. iptables 规则

  • iptables -F
-F 是清空所有规则设定,可以加参数删除特定table表里的全部规则
  • iptables -X
-X 是删除使用者自定义的 table 表的规则,可以使用 iptables -X xxx 删除。
  • iptables -N
-N 创建一个新的规则table表,使用 iptables -N xxx 新增自订
  • iptables -A
在规则表中添加一个规则
// xxx 代表存在的规则表
iptabls -A xxx -p tcp --dport 22 -j ACCEPT
  • iptables -I
在规则表中插入一个规则
// xxx 代表存在的规则表
iptabls -I xxx -p tcp --dport 22 -j ACCEPT

注意: -A 和 -I 区别:
1. -A默认是把规则插到结尾
2. -I 默认是把规则插到前边,但是可以加参数指定插入到第几行

// 把下面规则插入 xxx 规则表的第2行
iptables -I xxx 2 -p tcp --dport 222 -j ACCEPT
  • iptables -D
-D 删除规则
//把刚才添加的规则删除
iptables -D xxx -p tcp --dport 222 -j ACCEPT

也可以

// 把第一条规则删除
iptables -D xxx 1
  • iptables -C
-C 检查规则,例:
iptables -C xxx -p tcp --dport 222 -j ACCEPT

如果什么都不显示,说明存在这个规则,如果报iptables: Bad rule (does a matching rule exist in that chain?). 说明不存在的规则,可以添加

  • iptables -E
-E 修改规则表名称,不改变链本身规则
  • iptables -L
-L 列出规则
  • iptables -R
-R 替换莫个规则
// 把 xxx 中的 第一条规则22端口改成222端口
iptables -R xxx 1 -p tcp --dport 222 -j ACCEPT
  • iptables -p 和 -m
iptables -A xxx -p tcp -m tcp --dport 22 -j ACCEPT

-m tcp 的意思是使用 tcp 扩展模块的功能 (tcp扩展模块提供了 --dport, --tcp-flags, --sync等功能)
其实只用-p tcp 了话, iptables也会默认的使用 -m tcp 来调用 tcp模块提供的功能。但是 -p tcp-m tcp是两个不同层面的东西,一个是说当前规则作用于 tcp 协议包,而后一是说明要使用iptables的tcp模块的功能 (–dport 等)

  • iptables -Z
-Z 清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节
iptables -Z :清空

firewalld防火墙

1. firewalld简介

  • firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念
  • firewalld有图形界面和工具界面
  • firewalld的字符界面管理工具是 firewall-cmd
  • firewalld默认配置文件有两个:/usr/lib/firewalld/ (系统配置,尽量不要修改)和 /etc/firewalld/ (用户配置地址)

zone概念:

硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域
drop:默认丢弃所有包
block:拒绝所有外部连接,允许内部发起的连接
internal:信任所有连接
public:指定外部连接可以进入
external:这个不太明白,功能上和上面相同,允许指定的外部连接
dmz:和硬件防火墙一样,受限制的公共连接可以进入
work:工作区,概念和workgoup一样,也是指定的外部连接允许
home:类似家庭组

2. 安装 firewalld

root 执行

yum install firewalld firewall-config

3. 运行、重启、停止、状态firewalld

systemctl start/restart/stop/status firewalld 
// 或者
service iptables start/restart/stop/status
//查看状态也可用
firewall-cmd --state

4. firewall-cmd

  • 显示状态
firewall-cmd --state
  • 查看区域信息
firewall-cmd --get-active-zones
  • 拒绝所有包
firewall-cmd --panic-on
  • 取消拒绝状态
firewall-cmd --panic-off
  • 查看是否拒绝
firewall-cmd --query-panic
  • 更新防火墙
firewall-cmd --reload
firewall-cmd --complete-reload

注:两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务

  • 将接口添加到区域,默认接口都在public
firewall-cmd --zone=public --add-interface=eth0

注:永久生效再加上–permanent然后reload防火墙

  • 设置默认接口区域
firewall-cmd --set-default-zone=public

注: 立即生效无需重启

  • 查看所有打开端口
firewall-cmd --zone=dmz --list-ports
  • 加入一个端口到区域
firewall-cmd --zone=dmz --add-port=8080/tcp

注:永久生效再加上–permanent然后reload防火墙

  • 打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹
firewall-cmd --zone=work --add-service=smtp
  • 移除服务
firewall-cmd --zone=work --remove-service=smtp
  • 列出全部启用的区域的特性
firewall-cmd --list-all-zones

Firewall 比较详细的用法

ufw防火墙

1. ufw

一向以简单易用著称Ubuntu在它的发行版中,附带了一个相对iptables简单很多的防火墙配置工具:ufw
ufw默认是没有启用的。 也就是说ubuntu中端口都是默认开放的。

ufw防火墙是一个主机端的iptables类防火墙配置工具。这个工具的目的是提供给用户一个可以轻松驾驭的界面,就像包集成和动态检测开放的端口一样

  • 安装ufw
sudo apt-get install ufw
  • 通过这条命令,我们设置阻止所有外部对本机的访问(默认的规则为allow), 这样除非指明打开的端口, 否则所有端口默认都是关闭的。
sudo ufw default deny
  • 启动ufw。如果下次重新启动机器, ufw也会自动启动。
sudo ufw enable
  • 对于大部分防火墙操作来说, 其实无非就是的打开关闭端口。如果要打开SSH服务器的22端口, 我们可以这样:
sudo ufw allow 22
或者
sudo ufw allow ssh

注意:由于在/etc/services中, 22端口对应的服务名是ssh,所以命令是一样。

  • 查看防火墙状态
sudo ufw status
  • 删除规则
sudo ufw delete allow 22
  • 只打开使用tcp/ip协议的22端口
sudo ufw allow 22/tcp
  • 打开来自192.168.0.1的tcp请求的80端口
sudo ufw allow proto tcp from 192.168.0.1 to any port 22
  • 关闭防火墙
sudu ufw disable
  • 打开或关闭日志
ufw logging on|off
我家猫咪叫黑子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables删除命令中的相关问题.doc
12-15
最近在做一个V*P*N中间件的配置工作,在配置iptables的时候,当用户想删除EIP(即释放当前连接),发现使用iptables的相关命令会提示错误。iptables: Bad rule (does a matching rule exist in that chain?)。我就纳闷了,怎么会出现这个问题,按照官方的文档也有错?以下是我针对iptables删除命令的解决办法。
iptables 报错 Bad rule (does a matching rule exist in that chain?)
weixin_35757191的博客
01-09 2937
iptables 报错 "Bad rule (does a matching rule exist in that chain?)" 的意思是你试图在 iptables 中添加或删除一条规则时出错了,可能是因为在该链中没有匹配的规则。这通常是因为你指定了一个无效的链名称或者规则参数,或者你试图在一条链的开头或结尾添加/删除规则,但是实际上该链为空。 如果你想解决这个问题,可以尝试检查你的 ipta...
iptables删除命令中的相关问题
u014389734的博客
10-18 564
最近在做一个V*P*N中间件的配置工作,在配置iptables的时候,当用户想删除EIP(即释放当前连接),发现使用iptables的相关命令会提示错误。iptables: Bad rule (does a matching rule exist in that chain?)。 我就纳闷了,怎么会出现这个问题,按照官方的文档也有错?以下是我针对iptables删除命令的解决办法。 解决...
linux 检测 iptables 是否有重复的规则
whatday的专栏
01-02 3064
iptables新版本中有 -C 选项进行检测。如下: # iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT iptables: Bad rule (does a matching rule exist in that chain?). # echo $? 1 # iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT # iptables -C INPUT -p tcp --dport 8080 --
centos7 firewalld导致docker网络异常
leoss的博客
11-04 1万+
centos7 自带防火墙是firewalld。在某下情况下可能导致docker 的某些网络问题。 docker 有4种网络模式: 1.bridge模式 2.host模式 3.container模式 4.none模式 默认是bridge 网桥模式,docker会在宿住机配置一个虚拟网卡,并将容器连接到该网卡,而docker网络与宿住机外部网络的通信,是借助nat来实现的。所以当Iptable出现问...
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux防火墙设置
05-22
简单 好用 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 简单 好用
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
firewall:适用于Linux的简单防火墙
03-08
防火墙功能 防火墙旨在启用应用程序级别的数据包过滤。 它是为在Linux操作系统上工作而设计的。 概述 该应用程序的基本流程如下: 使用netfilter捕获传出数据包。 对于捕获的数据包,请找出进程名称。 检查规则以允许或禁止数据包。 DNS捕获 捕获传入的dns数据包(端口== 53)。 解析数据包以获取dns查询。 使用相同的名称(将其存储)可以使规则更具可读性。 进程名称识别[ ] 通过解析/proc/net/{protocol}6?搜索套接字inode /proc/net/{protocol}6? 。 在/proc/{pids}/fd/{fds}搜索文件以链接到socket[{inode}] 。 使用上述步骤中的pid使用/proc/{pid}/exe获取到可执行链接的链接。 去做 添加日志记录以启用调试。 添加规则界面并将其公开给用户。 允许添加新规则。
linux下 arp攻击防火墙 源码
08-27
linux下 arp攻击防火墙 源码,功能丰富,提供了1对1 1对多的通信防护,缓存保护等功能
Linux个人防火墙的设计与实现
06-29
防火墙是网络安全研究的一个重要内容,数据包捕获是包过滤型防火墙的前提,本文对基于Linux主机的个人防火墙的数据包捕获模块进行了研究,重点论述数据包捕获模块的结构、组成以及功能。首先对信息安全及防火墙的重要性进行论述,并给出防火墙的详细分类;然后分析了基于Linux主机的个人防火墙总体设计及软硬件平台原理,接着论述Linux下的数据包捕获模块结构与原理,并详述其具体实现步骤。
Linux 系统的防火墙作用
Wjangia的博客
07-05 308
Linux 系统的防火墙开启作用
大量存在于iptables模块中的BUG
互联网
01-04 477
iptables的maual的BUG一节:BUGS Bugs? What's this? ;-) Well, you might want to have a look at http://bugzilla.netfilter.org/OK,我去netfilter的bug站点...唉,这帮人啊!我相信很多人都遇到过iptables规则无法删除的问题,比如我使用了xtables-addons中的co...
docker、iptablescentos7多个虚拟网卡,网卡容器之间无法通信
Zq
08-06 1047
docker 会创建一定的隔离策略使用的是iptables;包括-p的映射也是通过iptables策略完成的。 今天服务器的两个容器(不同网卡,不同网段)无法正常通信。但是网关有ping的通 执行iptables -nvL 看到下图信息 # 删除,阻止两个不同网段的容器之间ping的规则 # 这个命令多执行几次; [root@localhost ~]# iptables -D DOCKER-ISOLATION-STAGE-1 iptables: Bad rule (does ...
Linux服务器 -- 防火墙
HH_beibei的博客
11-09 1681
防火墙是用来隔离内网与外网之间的设备,主要是防止不安全的数据访问内网,防止内网人员访问存在安全隐患的网站,控制不安全服务等作用。专业的分析,防火墙是位于两个或多个网络间,实施网络控制之间访问控制的一组组件集合。防火墙的本意是指古代使用木制房屋的时候,为了防止火灾的发生与蔓延,人们将坚硬的石块堆砌再房屋周围作为屏障,这种防护构筑物就被称为防火墙防火墙通过策略进行控制数据包的进出。
ea6500 v1 刷梅林_继续测试:Linksys EA6500 v1 的TT固件
weixin_39683241的博客
12-19 2401
system is going downGuest access control is downcommitting syscfgiptables: Bad rule (does a matching rule exist in that chain?).system is going down in 7 seciptables: Bad rule (does a matching rule ex...
linux安装docker,已经遇到的问题
热门推荐
温润如风的博客
10-12 1万+
在实际开发中,我们经常会遇到多台机器配置相同的软件运行环境。 比如配置一个tomcat,mysql...一些环境,其他机器也需要相同的环境时,就会一遍一遍的进行配置,比较麻烦。 而且容器和容器之间是完全隔离的。 在学习的过程中发现Docker可以解决这个问题,所以记录下安装遇到的坑 1、首先我们需要安装linux系统,可以上网 2、接下来需要查看linux内核版本,因为Docker需要L...
重启Linux防火墙
最新发布
08-27
要重启Linux防火墙,可以使用以下命令: ``` service iptables restart ``` 这个命令会重新启动防火墙并且应用之前的配置。 另外,在CentOS 7上,如果使用的是firewalld防火墙,可以使用以下命令来重新启动防火墙:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值