linux 防火墙相关问题汇总

最新推荐文章于 2023-05-11 14:26:50 发布
最新推荐文章于 2023-05-11 14:26:50 发布
阅读量458 收藏 2
点赞数
分类专栏: 网络基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42226855/article/details/112203620
版权

01. linux 防火墙服务设置

01. 对CentOS 6而言

查看防火墙状态:

[root@ufo130 ~]# service iptables status
iptables:未运行防火墙。

关闭当前防火墙:

[root@ufo130 ~]# service iptables stop
iptables:将链设置为政策 ACCEPT:filter                   	[确定]
iptables:清除防火墙规则:                                	[确定]
iptables:正在卸载模块:                                  	[确定]

开启当前防火墙:

[root@ufo130 ~]# service iptables start
iptables:应用防火墙规则:                                 	[确定]

永久关闭防火墙,开机不会自启动:

  • 查询开启iptables是否启动
[root@ufo130 ~]# chkconfig --list | grep iptables
iptables       	0:off	1:off	2:on	3:on	4:on	5:on	6:off
  • 由此可见:2/3/4/5都是开机启动,执行防火墙关闭
[root@ufo130 ~]# chkconfig iptables off
[root@ufo130 ~]# chkconfig --list | grep iptables
iptables       	0:off	1:off	2:off	3:off	4:off	5:off	6:off

永久开启防火墙,开机会自启动:

[root@ufo130 ~]# chkconfig iptables on
[root@ufo130 ~]# chkconfig --list | grep iptables
iptables       	0:off	1:off	2:on	3:on	4:on	5:on	6:off

02. 对CentOS 7而言

查看当前防火墙状态:

[root@ufo130 ~]# systemctl status firewald.service

关闭当前防火墙状态:

[root@ufo130 ~]# systemctl stop firewald.service

开启当前防火墙状态:

[root@ufo130 ~]# systemctl start firewald.service

永久关闭防火墙,开机不会启动:

[root@ufo130 ~]# systemctl disable firewald.service

永久开启防火墙,开机会自启动:

[root@ufo130 ~]# systemctl enable firewald.service

02. linux 防火墙配置查看(CentOS 6)

01. 查看有哪些端口放开

查看端口是否可以访问:

[root@ufo130 tmp]# telnet 192.168.137.168 5432
[root@ufo130 tmp]# telnet localhost 5432

开放的端口位于 /etc/sysconfig/iptables 文件中

[root@ufo130 tmp]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

或者通过 iptables -nL 命令直接查看

[root@ufo130 tmp]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

使用命令开启某个端口

iptables -A INPUT -p tcp --dport 80 -j REJECT 
#禁止来自80端口访问的数据包
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
#允许来自80端口访问的数据包
iptables -A OUTPUT -p tcp --sport 80 -j REJECT 
#禁止从80端口出去的数据包
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT 
#允许从80端口出去的数据包
iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT
#打开49152~65534之间的端口

也通过修改 /etc/sysconfig/iptables 文件的方式开启端口,然后在文件中增加一行

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 8080 -j ACCEPT

参数说明:

  • –A 参数就看成是添加一条规则
  • –p 指定是什么协议,我们常用的tcp 协议,当然也有udp,例如53端口的DNS
  • –dport 就是目标端口,当数据从外部进入服务器为目标端口
  • –sport 数据从服务器出去,则为数据源端口使用
  • –j 就是指定是 ACCEPT (接收) 或者 DROP (不接收)

保存并重启后生效

/etc/rc.d/init.d/iptables save
/etc/init.d/iptables restart

CentOS 7 相关防火墙设置暂时略…

02. 相关设置示例

只允许访问指定网址

iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.ctohome.com -j ACCEPT
iptables -A Filter -d www.guowaivps.com -j ACCEPT
iptables -A Filter -j DROP

开放一个IP的一些端口,其它都封闭

iptables -A Filter -p tcp --dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -j DROP

以下是端口,先全部封再开某些的IP(常见策略)

iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT

开启多个端口

iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

开启连续端口

iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT

禁止多个端口服务

iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT

只允许PING 202,96,134,133 ,其它公网IP都不许PING

iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP

只允许某些服务,其他都拒绝(2条规则)

iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A Filter -j DROP

禁止某个IP地址的PING:

iptables -A Filter -p icmp -s 192.168.0.1 -j DROP

禁止某个IP地址服务:

iptables -A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables -A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP

禁止某个IP地址的某个端口服务

iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP

禁止某个MAC地址的某个端口服务

iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP

禁止某个MAC地址访问internet:

iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP

03. 相关白名单的配置方式

限制所有

iptables -P INPUT DROP

加白名单

iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT

端口访问限制,限制端口80,443

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP

加白名单 1.2.3.4

iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT

加白名单 1.2.3.[0-255]

iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT

04. 防火墙配置文件不存在或无法启动

1. /etc/sysconfig/iptables不存在?
2. 防火墙无法启动?

原因

  • 在新安装的linux系统中,防火墙默认是被禁掉的,一般也没有配置过任何防火墙的策略,所以不存在/etc/sysconfig/iptables文件。

解决

  • 在控制台使用iptables命令随便写一条防火墙规则,如:iptables -P OUTPUT ACCEPT
  • 使用service iptables save进行保存,默认就保存到了/etc/sysconfig目录下的iptables文件中

03. 总结

01. 防火墙分类

  • 包过滤防火墙(pack filtering)在网络层对数据包进行选择过滤,采用访问控制列表(Access control table-ACL)检查数据流的源地址,目的地址,源和目的端口,IP等信息。
  • 代理服务器型防火墙

02. iptables基础

  • 规则(rules):网络管理员预定义的条件
  • 链(chains): 是数据包传播的路径
  • 表(tables):内置3个表filter表,nat表,mangle表分别用于实现包过滤网络地址转换和包重构的功能
  • filter表是系统默认的,INPUT表(进入的包),FORWORD(转发的包),OUTPUT(处理本地生成的包),filter表只能对包进行授受和丢弃的操作。
  • nat表(网络地址转换),PREROUTING(修改即将到来的数据包),OUTPUT(修改在路由之前本地生成的数据包),POSTROUTING(修改即将出去的数据包)
  • mangle表,PREROUTING,OUTPUT,FORWORD,POSTROUTING,INPUT

03. 其它

iptables是按照顺序读取规则,防火墙规则的配置建议

  • 规则力求简单
  • 规则的顺序很重要
  • 尽量优化规则
  • 做好相关备份

04. 配置

iptables命令格式

     iptables [-t] -命令 匹配操作(大小写敏感)

     动作选项:
     ACCEPT          	接收数据包
     DROP             	丢弃数据包
     REDIRECT      		将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务
	 SNAT             	源地址转换
     DNAT             	目的地址转换
     MASQUERADE       	IP伪装
     LOG               	日志功能

定义规则
先拒绝所有的数据包,然后再允许需要的数据包

  iptalbes -P INPUT DROP
  iptables -P FORWARD DROP
  iptables -P OUTPUT ACCEPT

查看nat表所有链的规则列表

  iptables -t nat -L

增加,插入,删除和替换规则

 iptables [-t 表名] <-A|I|D|R> 链名 [规则编号] [-i|o 网卡名称] [-p 协议类型] [-s 源ip|源子网] [--sport 源端口号] [-d 目的IP|目标子网] [--dport 目标端口号] [-j 动作]

参数:
	-A 增加
    -I 插入
    -D 删除
    -R 替换

相关例子
禁止IP为192.168.1.5的主机从eth0访问本机

iptables -t filter -A INPUT -s 192.168.1.5 -i eth0 -j DROP

禁止子网192.168.5.0访问web服务

iptables -t filter -I INPUT 2 -s 192.168.5.0/24 -p tcp --dport 80 -j DROP

禁止IP为192.168.7.9访问FTP服务

iptables -t filter -I INPUT 2 -s 192.168.7.9 -p tcp --dport ftp -j DROP

查看filter表中INPUT链的规则

iptables -t filter -L INPUT

删除nat表中的所有规则

iptables -t nat -F

禁止访问 www.playboy.com网站

iptables -I FORWARD -d wwww.playboy.com -j DROP

禁止192.168.5.23上网

iptables -I FORWARD -s 192.168.5.23 -j DROP
Zhao.Mr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
Linux 防火墙问题
qq_62200539的博客
04-24 248
本文主要解决 Linux 远程访问时防火墙问题
linux防火墙文件找不到,防火墙问题 Linux系统 /etc/sysconfig/路径下无iptables文件
weixin_39607836的博客
04-29 1281
虚拟机新装了一个CentOs7,而后作防火墙配置的时候找不到iptables文件,解决方法以下:tcp由于默认使用的是firewall做为防火墙,把他停掉装个iptablerestsystemctl stop firewalldsystemctl mask firewalldipyum install -y iptablesyum install iptables-services虚拟机而后就有i...
linux 找不到防火墙设置的,linux怎么样查看防火墙有没开启
weixin_39611031的博客
05-12 2641
我的是linux系统,那么要怎么样才能查看防火墙有没有开启呢?下面由学习啦小编给你做出详细的linux查看防火墙是否开启方法介绍!希望对你有帮助!linux查看防火墙是否开启方法一:service iptables status可以查看到iptables服务的当前状态。但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置 iptables -L在此说一下关于启动和关闭防火墙的命令:1...
Linux防火墙安装与配置
Littleliuing的博客
07-01 1282
Linux防火墙安装与配置流程 一、iptables构建防火墙应用 步骤如下 1、service iptables status 检查是否安装了iptables 2、systemctl stop firewalld 关闭Linux默认防火墙firewalld 3、systemctl mask firewa...
linux防火墙启动失败怎么办,linux防火墙无法启动处理方案——深圳培训linux
weixin_36248747的博客
05-12 2299
这篇文章,主要是linux防火墙的启动和关闭,你有没有试过在linux服务器上装了一个tomcat,整个过程很顺利,但却无法启动,是不是感到烦躁,你莫须烦躁,本文会教你如何解决这个问题。在linux服务器上装了一个tomcat,整个过程很顺利,装上去就可以用。但是今天却无法启动。于是修改tocmat的配置文件,重装tomcat,修改/etc/profile,把各种可能都尝试了好几次。可是tomca...
linux常用命令和关闭防火墙开启防火墙 自己总结全
01-20
linux常用命令 Mkdir 创建 Rm -rf 删除 Chmod -R 777 权限 Mysql -uroot -r quit退出 find / -name svn 查找位置 关闭防火墙和selinux Redhat使用了SELinux来增强安全,关闭的办法为: 永久有效 修改 /etc/selinux...
Linux防火墙.pdf
01-20
中文名: Linux防火墙 原名: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort 别名: Linux,Firewall,防火墙,iptables,psad,fwsnort 作者: (美)拉什译者: 陈健资源格式: PDF 版本:...
linux防火墙iptables规则的查看、添加、删除和修改方法总结
09-15
本文介绍了如何对linux防火墙iptables规则进行查看、添加、删除和修改的操作,大家可以参考一下
Linux 防火墙启动失败问题
最新发布
初心不改
05-11 1853
有看到别的老哥说:其实当输入 firewall-cmd 系列的命令的时候都会报错。
Linux 下没有iptables 防火墙文件
CoreyXuu的博客
03-28 3534
问题:进入到sysconfig目录下没有iptables文件 原因:刚安装的Contos防火墙需要初始化一下 解决办法:初始化项目随便添加一个防火墙规则就好,命令:sudo iptables -P OUTPUT ACCEPT, 然后保存:sudo service iptables save 查看防火墙是否存在 ...
Linux系统下我的/etc/sysconfig/路径下无iptables文件
zzm8421的博客
09-25 1万+
虚拟机新装了一个CentOs7,然后做防火墙配置的时候找不到iptables文件,解决方法如下
防火墙问题 Linux系统 /etc/sysconfig/路径下无iptables文件
ya_nuo的博客
03-21 2162
虚拟机新装了一个CentOs7,然后做防火墙配置的时候找不到iptables文件,解决方法如下:因为默认使用的是firewall作为防火墙,把他停掉装个iptablesystemctl stop firewalld systemctl mask firewalldyum install -y iptables yum install iptables-services然后就有iptables文件,...
linux 防火墙不起作用,linux防火墙,oracle连不上的问题
weixin_42526417的博客
05-12 531
oracle无法链接数据库时:通过重启服务器,来修复监听器.登陆数据库,sqlplus / as sysdba;#startup 启动#shutdown 关闭#lsnrctl stop 关闭服务后,执行关闭监听器#lsnrctl start 然后再启动监听器.开启防火墙的命令systemctl start firewalld.service关闭防火墙的命令systemctl stop firew...
CentOS 6.4 中iptables 配置详解
热门推荐
chtdsl
05-03 2万+
整理之后,再更新。 可以参看:http://blog.51cto.com/tag-iptables.html iptables 指令详解 语法: iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则
DNS扫盲系列之六:擅用日志排除BIND故障
weixin_30878361的博客
12-22 448
DNS扫盲系列之六:擅用日志排除BIND故障 这么多年来耳闻目染,发现网友提出的几乎99%的问题本来是不需要求助就能解决的,追其根源是不擅于(或不知道)使用软件本身提供的运行日志来解决问题。本文就BIND服务器日志简要说明。这里假设一网友反映“启动named进程后配置的域名解析服务不工作”这一简单问题说明怎么使用named的日志来解决。 首先...
linux解决防火墙问题
Awna的博客
01-13 679
1 永久性生效,重启后不会复原 开启: chkconfig iptables on 关闭: chkconfig iptables off 2 即时生效,重启后复原 开启: service iptables start 关闭: service iptables stop 查询TCP连接情况: netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(...
关于linux 防火墙问题(centos6.5)
恋志传奇的博客
08-13 1194
1.出现的问题(重启防火墙出现如下问题) [root@jenkins02 sbin]# service iptables restart iptables:将链设置为政策 ACCEPT:filter [确定] iptables:清除防火墙规则: [确定] iptables:正在卸载模块: [确定] iptables:应用防火墙规则:Ba
关于Linux防火墙问题
墨白千秋
08-21 204
如何在linux系统中开启和关闭防火墙 防火墙开启指定端口
linux 防火墙3306
05-09
Linux 防火墙是用于保护系统安全的重要组成部分,可以防止未经授权的访问和...总结来说,Linux 防火墙是非常重要的安全组件,可以通过配置来开放 MySQL 数据库所使用的 3306 端口,进一步提高系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值