20190925笔记防火墙

最新推荐文章于 2024-06-13 11:32:28 发布
最新推荐文章于 2024-06-13 11:32:28 发布
阅读量113 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42720896/article/details/101275491
版权

selinux

临时关闭

[root@linux-01 network-scripts]# setenforce 0
setenforce: SELinux is disabled

 

永久关闭

[root@linux-01 network-scripts]# vi /etc/selinux/config


# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled

#将SELINUX=enforcing,改为 SELINUX=disabled


# 查询selinux防火墙状态
[root@linux-01 network-scripts]# getenforce
Disabled

 

netfilter、firewall

contos 5、6使用netfilter  到centos7 时改为firewall 。两个软件均支持iptables 命令 关闭或打开指定端口

 centos7下关闭 firewald 开启 netfilter

1.关闭 firewalld
[root@linux-01 ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

2.停止服务
[root@linux-01 ~]# systemctl stop firewalld

3. 安装iptables-services
[root@linux-01 ~]# yum install -y iptables-services

开启 iptables服务
[root@linux-01 ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@linux-01 ~]# systemctl start iptables
[root@linux-01 ~]# 

#iptables服务开启后自带的规则

[root@linux-01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

 

 

 

 

netfilter 5个表

 

filter:
                  This  is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local  sockets),FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets).

过滤器:

这是默认表(如果没有通过- t选项)。它包含内置的链输入(包注定本地套接字),向前(正在路由数据包通过盒子)和输出(来自本地数据包)。
 

NAT:
                  This table is consulted when a packet that creates a new connection is encountered.  It consists of three built-ins:  PREROUTING  (for altering packets as soon as they come in), OUTPUT (for altering locally-generated packets before routing), and POSTROUTING (for altering packets as they are about to go out).  IPv6 NAT support is available since kernel 3.7.

这个表是咨询当遇到包创建一个新的连接。:它由三个内置PREROUTING(改变数据包就进来),输出(改变局部产生数据包路由之前),和POSTROUTING)(改变数据包在他们准备出去)。IPv6 NAT内核3.7以来的支持

 mangle:
                  This table is used for specialized packet alteration.  Until kernel 2.4.17 it had two built-in chains: PREROUTING (for altering incoming  packets  before  routing)  and  OUTPUT (for altering locally-generated packets before routing).  Since kernel 2.4.18, three other built-in chains are also supported: INPUT (for packets coming into the box itself), FORWARD (for altering packets being routed through the box), and POSTROUTING (for altering packets as they are about to go out).

这个表是用来专门包变更。直到内核2.4.17有两个内置链:PREROUTING(改变之前传入的数据包路由)和输出(改变局部产生数据包路由之前)。自内核2.4.18,其他三个内置的连锁店也支持:输入(数据包进入盒本身),向前(改变数据包被定向到盒子),和POSTROUTING)(改变数据包在他们准备出去)。

raw:
                  This table is used mainly for configuring exemptions from connection tracking in combination with the NOTRACK target.  It registers at the netfilter hooks with higher priority and is thus called before ip_conntrack, or any other IP tables.  It  provides  the  following built-in chains: PREROUTING (for packets arriving via any network interface) OUTPUT (for packets generated by local processes)
这个表主要用于配置免征连接跟踪结合NOTRACK目标。它注册在netfilter钩子更高的优先级,因此被称为ip_conntrack之前,或任何其他知识产权表。它提供了以下内置链:PREROUTING(数据包到达通过任何网络接口)输出(包所产生的局部流程)

 

 

  security:
                  This  table is used for Mandatory Access Control (MAC) networking rules, such as those enabled by the SECMARK and CONNSECMARK targets.
                  Mandatory Access Control is implemented by Linux Security Modules such as SELinux.  The security table is called after the filter  ta?
                  ble,  allowing  any Discretionary Access Control (DAC) rules in the filter table to take effect before MAC rules.  This table provides
                  the following built-in chains: INPUT (for packets coming into the box itself), OUTPUT (for altering locally-generated  packets  before
                  routing), and FORWARD (for altering packets being routed through the box).

安全性:

这个表用于强制访问控制(MAC)网络规则,例如SECMARK和CONNSECMARK目标启用的那些规则。

强制访问控制是由Linux安全模块(如SELinux)实现的。安全表在过滤器TA之后调用?

BLE,允许过滤器表中的任意自主访问控制(DAC)规则在MAC规则之前生效。本表提供

以下内置链:INPUT(对于进入盒子本身的包),OUTPUT(用于在以前更改本地生成的包)

路由),并转发(用于更改通过盒子路由的数据包)。

iptables详解 - 永志 - 博客园  https://www.cnblogs.com/metoy/p/4320813.html

 

 

iptables语法

1重启iptables 

 #重启iptables
[root@localhost yum.repos.d]# service iptables restat
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.
[root@localhost yum.repos.d]#

2规则保存目录

# 默认规则保存目录


[root@localhost yum.repos.d]# cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

3 清空规则


 [root@localhost etc]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

#清空规则
[root@localhost etc]# iptables -F

#已经没规则显示,但规则任然保存在/etc/sysconfig/iptables
[root@localhost etc]# iptables -L    
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

  保存当前规则 到/etc/sysconfig/iptables 

  root@localhost etc]#service iptables save 

查看filter表和nat表的规则

# filter表

[root@localhost etc]# iptables -t filter -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  114  8643 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    2   473 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 77 packets, 9122 bytes)
 pkts bytes target     prot opt in     out     source               destination          


# NAT表规则
[root@localhost etc]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

 

清空计数器

 #清空计数器

 pkts 第一列多少个包    bytes        第二列数据量多少字节
  114                  8643


[root@localhost etc]# iptables -Z; iptables  -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

显示规则序列号

[root@localhost etc]# iptables  -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       87  6444 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5        1   229 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 62 packets, 8048 bytes)
num   pkts bytes target     prot opt in     out     source               destination

 

增加一条规则

 

 

# “-A”  增加一条规则 排在最后过滤时最后过滤,若发生与排在前面规则的条件重复时匹配第一条
[root@localhost etc]# iptables -A INPUT -s 192.168.153.1 -p tcp --sport 1234 -d 192.168.153.128 --dport 80 -j DROP

[root@localhost etc]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  424 30700 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    2   473 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    0     0 DROP       tcp  --  *      *       192.168.153.1        192.168.153.128      tcp spt:1234 dpt:80

                       ↑↑↑↑↑↑↑↑↑↑  # 此处增加一条规则 ↑↑↑↑↑↑↑↑↑↑ 
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 25 packets, 4828 bytes)
 pkts bytes target     prot opt in     out     source               destination

 方法2插入规则指定端口

 # “-I”  插入一条规则 排在最前过滤式最先过滤
[root@localhost etc]# iptables -I INPUT  -p tcp --dport 80 -j DROP
[root@localhost etc]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
                  #↑↑↑↑↑↑↑↑↑  # 此处增加一条规则 ↑↑↑↑↑↑↑↑↑↑
 554 39864 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

 

删除规则

使用规则序列号  删除规则

 

默认规则  “-P” 

INPUT、OUTPUT链在没有规则时 使用默认规则 (policy ACCEPT   21 )

 

 

脚本案例

#!/bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.96.0/24 -p tcp --dport 22  -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
 

[root@linux-01 ~]#  vim /usr/local/sbin/iptables.sh

#!/bin/bash
ipt="/usr/sbin/iptables"# 定义量时使用绝对路径
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT#定义策略
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT# RELATED,ESTABLISHED保持连接状态,目的是使连接更舒畅
$ipt -A INPUT -s 192.168.96.0/24 -p tcp--dport 22  -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

 设置禁ping

使本机能ping 通外部 但不能ping本机

[root@linux-01 ~]# service restart iptables.service
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

[root@linux-01 ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP

qq_42720896
关注
防火墙技术原理学习笔记
DavidChen的博客
10-06 3万+
【课程名称】:防火墙技术原理   【课程内容】: 一、  防火墙技术原理 二、  防火墙的定义 三、  防火墙技术原理   【学习笔记】: 一、防火墙技术原理 1、  防火墙概要介绍 2、  防火墙功能及原理 3、  防火墙典型应用 4、  防火墙存在的问题 二、防火墙的定义 防火墙:一种高级访问控制设备,置于不同网络安全
计算机网络笔记——防火墙
厂危速归的博客
06-14 662
(1)所有的从外部到内部或从内部到外部的通信都必须经过它。(2)只有内部访问策略授权的通信才能被允许通过。(3)系统本身具有很强的可靠性。防火墙是一种网络安全防护手段,其主要目的是通过控制进出一个网络的权限,并对所有经过的数据包进行检查,防止内网受到外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,能监视内网和外网的任何活动,保障内网的安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备——路由器、计算机或其他特别配置的硬件设备。
10.12-10.18netfilter、firewall
qq_42720896的博客
08-28 227
selinux 临时关闭 [root@linux-01 network-scripts]# setenforce 0 setenforce: SELinux is disabled 永久关闭 [root@linux-01 network-scripts]# vi /etc/selinux/config # This file controls the state of S...
Linux网络相关、firewalld和netfilter,netfilter5表5链介绍,iptables语法
weixin_34198453的博客
05-08 164
2019独角兽企业重金招聘Python工程师标准>>> ...
Iptables中文手册
地球是圆的?
04-08 728
NAME iptables - IP包过滤器管理总览iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改] iptables - RI iptables -D chain rule num[option] iptables -LFZ 链名 [选项] iptables -[NX] 指定链 iptables -P chain target[options] i
linux防火墙笔记
lch的博客
06-13 257
Linux防火墙
防火墙学习笔记
TonCC的博客
01-08 724
1. 1.基本概念 基于三层和四层上隔离网络,将需要保护的网络与不可信任的网络进行隔离,隐藏信息并进行安全防护 2.基本功能 访问控制 ACL策略 攻击防护 冗余设计 路由、交换 日志记录 虚拟专网VPN NAT ...
HCIE 第一天防火墙笔记整理
aksu747的博客
04-11 749
笔记整理,练习
DAY2笔记-认识防火墙
wzzzzz06的博客
02-18 104
防火墙部分学习笔记
NaohDuan_chen的博客
02-12 5338
防火墙内容的部分学习内容
iptables防火墙详细笔记文档
07-23
iptables防火墙详细笔记文档
华为防火墙安全笔记.tar
07-04
5虚拟防火墙下.docx 5虚拟防火墙上,docX 4安全策略_4配置安全策略下。docy 4安全策略4配置安全策略中。docx 4安全策略4配置安全策略上。docx 4安全策略3一层三层安全策略的差异。docx 4安全策略2安全策略组成与匹配...
华为防火墙配置 初级学习笔记
06-26
华为防火墙配置 初级学习笔记
Linux学习笔记操作命令防火墙
07-28
Linux学习笔记操作命令防火墙
Microsoft Outlook 2007 Datasheet_CN_Final.doc
10-11
Microsoft Outlook 2007 Datasheet_CN_Final.doc
45_Normalized3secfade.wav
10-11
45_Normalized3secfade.wav
Python本科毕业设计基于协同过滤的图书推荐系统源码+数据库(高分项目)
最新发布
10-11
Python本科毕业设计基于协同过滤的图书推荐系统源码+数据库(高分项目),本项目是一套98分毕业设计系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业,包含:项目源码、项目说明等。该项目可以直接作为毕设使用,项目都经过严格调试,确保可以运行! Python本科毕业设计基于协同过滤的图书推荐系统源码+数据库(高分项目),本项目是一套98分毕业设计系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业,包含:项目源码、项目说明等。该项目可以直接作为毕设使用,项目都经过严格调试,确保可以运行!Python本科毕业设计基于协同过滤的图书推荐系统源码+数据库(高分项目),本项目是一套98分毕业设计系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业,包含:项目源码、项目说明等。该项目可以直接作为毕设使用,项目都经过严格调试,确保可以运行!Python本科毕业设计基于协同过滤的图书推荐系统源码+数据库(高分项目),本项目是一套98分毕业设计系统。
基于深度学习LeNet-5模型的图像分类系统python源码,准确率99.12%.zip
10-11
基于深度学习LeNet-5模型的图像分类系统python源码,准确率99.12%.zip 这是一个本科生毕业设计项目,主要实现了图像分类的功能。项目使用了深度学习技术,采用了LeNet-5模型,并对数据进行了清洗和预处理。经过测试,模型的准确率达到了99.12%。 主要功能点 实现图像分类功能 采用LeNet-5模型进行深度学习 对数据进行清洗和预处理 技术栈 Python 深度学习 LeNet-5模型
一个棋盘生成器和基于MNIST数据集的棋盘识别模型+使用说明.zip
10-11
一个棋盘生成器和基于MNIST数据集的棋盘识别模型+使用说明.zip 这个项目是毕业设计项目。它主要包含了一个棋盘生成器和一个基于MNIST数据集的棋盘识别模型。项目使用了Python、C++和Prolog等技术栈,并提供了相关的安装和运行说明。 主要功能点 棋盘生成器: 能够生成各种棋盘图像 棋盘识别模型: 基于MNIST数据集训练的棋盘识别模型 技术栈 Python C++ Prolog NumPy TensorFlow Keras
ASA防火墙笔记及原理
05-17
ASA防火墙是思科公司开发的一种高级网络安全设备,它可以对网络流量进行过滤和管理,以保护网络中的设备和数据不受未经授权的访问、恶意软件和攻击的影响。下面是ASA防火墙的一些基本原理和笔记: 1. ASA防火墙的基本原理是基于ACL(访问控制列表)和NAT(网络地址转换)实现的。 2. ACL是ASA防火墙的基本过滤规则,它可以根据源和目标IP地址、端口号、协议类型、报文方向等因素进行过滤和管理,以控制网络流量的进出。 3. NAT是ASA防火墙的另一个重要功能,它可以将私有IP地址转换为公网IP地址,以实现网络地址转换和隐藏内部网络拓扑结构。 4. ASA防火墙还可以提供VPN(虚拟专用网络)功能,以加密和保护远程用户和外部设备对内部网络的访问。 5. ASA防火墙还支持多种安全协议,如IPSec、SSL、TLS等,以提供加密和认证等安全保障。 6. ASA防火墙的配置和管理可以通过命令行界面(CLI)、图形界面(ASDM)或者远程管理工具(SSH、Telnet)进行实现。 7. ASA防火墙还支持多种高可用性和容错机制,如冗余模式、主备模式、负载均衡等,以提高网络的可靠性和稳定性。 8. ASA防火墙还可以与其他网络设备、安全系统和管理平台进行集成和协同工作,以实现更高级别的网络安全管理和威胁检测等功能。 总之,ASA防火墙是一种功能强大、易用性高、安全性能优越的网络安全设备,它可以有效地保护企业网络和数据不受各种安全威胁的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值